image

Zwitsers stemsysteem weer kwetsbaar voor verkiezingsfraude

maandag 25 maart 2019, 13:18 door Redactie, 4 reacties

Onderzoekers hebben weer een kwetsbaarheid in het online stemsysteem van Zwitserland ontdekt waardoor het mogelijk is om verkiezingsuitslagen te manipuleren (pdf). De Zwitserse overheid wil straks verkiezingen via het e-votingsysteem organiseren dat door de Zwitserse Post is ontwikkeld.

Systemen voor elektronisch stemmen moeten in Zwitserland eerst een publieke penetratietest ondergaan. De afgelopen maand vond deze test plaats. Hiervoor werd de broncode van het stemsysteem openbaar gemaakt. Onderzoekers Sarah Jamie Lewis, Olivier Pereira en Vanessa Teague besloten niet aan de publieke penetratietest mee te doen, maar wel naar de broncode te kijken. Op 12 maart maakten ze bekend dat het e-votingsysteem van de Zwitserse Post een kwetsbaarheid bevatte waardoor het mogelijk was om onopgemerkt de verkiezingsuitslag te manipuleren. Daarop kwam de Zwitserse Post met een oplossing. Nu melden de onderzoekers dat ze weer een probleem hebben gevonden waardoor frauderen met de verkiezingsuitslag mogelijk is.

Om het stemgeheim van de kiezer te beschermen husselt het stemsysteem de elektronische stemmen door elkaar. Nadat de stemmen door elkaar zijn gehusseld moeten die worden ontsleuteld. Daarbij spelen twee overwegingen een rol. Ten eerste zou het niet veilig zijn om de claim van een willekeurige autoriteit te accepteren over de inhoud van de versleutelde stemmen. De autoriteit kan namelijk een andere uitslag verklaren dan er daadwerkelijk is gestemd.

Daarnaast is het ook niet mogelijk om de private decryptiesleutel van de autoriteit te vragen, omdat daarmee kan worden aangetoond hoe kiezers hebben gestemd. Daarom maakt het e-votingsysteem gebruik van "zero knowledge proof". Hierbij wordt er niets over de decryptiesleutel onthuld, waardoor het stemgeheim is beschermd. Voor het bewijsgedeelte is het mogelijk om een verificatiealgoritme uit te voeren, zodat er kan worden gecontroleerd dat een geclaimde stem ook daadwerkelijk in de versleutelde stem aanwezig is.

De onderzoekers vonden een probleem met het bewijsgedeelte. Het is mogelijk om een bewijs te genereren dat door de verificatie heen komt, maar de inhoud van de versleutelde stem verandert. Zodoende geeft het bewijs aan dat de kiezer op partij A heeft gestemd, terwijl er in werkelijkheid op partij B is gestemd. Iedereen die toegang tot het juiste deel van het stemsysteem heeft kan op deze manier de uitslag manipuleren.

Lewis merkt op dat in tegenstelling tot de vorige aanval deze aanval een spoor zou achterlaten, maar dat het bewijs zou aangeven dat alles klopt. "Het is net alsof je ziet dat er rook uit je automotor komt, maar zonder waarschuwingslichten op het dashboard", aldus de onderzoekster.

Oplossing

De onderzoekers stellen dat ze nu twee verschillende manieren hebben ontdekt hoe een autoriteit op grote schaal verkiezingsfraude kan plegen, terwijl het systeem aangeeft dat alles in orde is. Het eerste probleem zou inmiddels zijn verholpen, maar de onderzoekers hebben dit nog niet kunnen verifiëren. Wat betreft het tweede probleem is dat volgens de onderzoekers niet eenvoudig te verhelpen, of dat een oplossing voor een veilig systeem zal zorgen waarin verkiezingsfraude niet meer mogelijk is. Critici vinden dat met het e-votingsysteem de democratie niet is gewaarborgd en dat de Zwitserse overheid hier per direct mee moet stoppen. De Zwitserse Post heeft de bevindingen van de onderzoekers nog niet bevestigd.

Reacties (4)
25-03-2019, 14:18 door Anoniem
Alleen maar goed dat deze problemen worden gevonden. Hoe is dat in andere landen, waar de broncode al decennialang geheim is, en waar burgers totaal niet weten wat er gebeurt en wat voor zwaktes in de software zitten. Democratisch gevoelige software zoals stemsoftware zou m.i. altijd openbaar moeten zijn. Iedereen moet er naar kunnen kijken. Zoals ook nu weer duidelijk is zien de programmeurs, hoe goed ook, vaak security-problemen over het hoofd. Zwitserse burgers gaan volgende keer dus met weer wat veiligere software stemmen. Prima zaak.
25-03-2019, 21:48 door Anoniem
Door Anoniem: Alleen maar goed dat deze problemen worden gevonden. Hoe is dat in andere landen, waar de broncode al decennialang geheim is, en waar burgers totaal niet weten wat er gebeurt en wat voor zwaktes in de software zitten. Democratisch gevoelige software zoals stemsoftware zou m.i. altijd openbaar moeten zijn. Iedereen moet er naar kunnen kijken. Zoals ook nu weer duidelijk is zien de programmeurs, hoe goed ook, vaak security-problemen over het hoofd. Zwitserse burgers gaan volgende keer dus met weer wat veiligere software stemmen. Prima zaak.
Aan veiliger software heb je niets. Deze moet voor een functionele democratie domweg veilig zijn en dat bestaat niet in computerland.
25-03-2019, 22:01 door Anoniem
Per definitie is met de huidige stand van de techniek is een digitaal stemsysteem zonder een gecontroleerde papertrail per definitie onbetrouwbaar.
Als je dit invoert met een papertrail is dit betrouwbaarder. Mocht er ooit bij een controle van de papertrail een grotere afwijking ontstaan is het vertrouwen in zo'n systeem weg.
De kosten van een nieuw digitaal stemsysteem werd enkele jaren geleden geschat op 2 á 3 euro per stem. En waarvoor?
De uitslag is dan eerder bekend bij de wachtende politici. Verder blijft er dan ook een foutmarge.
26-03-2019, 08:31 door Anoniem
Door Anoniem:
Door Anoniem: Alleen maar goed dat deze problemen worden gevonden. Hoe is dat in andere landen, waar de broncode al decennialang geheim is, en waar burgers totaal niet weten wat er gebeurt en wat voor zwaktes in de software zitten. Democratisch gevoelige software zoals stemsoftware zou m.i. altijd openbaar moeten zijn. Iedereen moet er naar kunnen kijken. Zoals ook nu weer duidelijk is zien de programmeurs, hoe goed ook, vaak security-problemen over het hoofd. Zwitserse burgers gaan volgende keer dus met weer wat veiligere software stemmen. Prima zaak.
Aan veiliger software heb je niets. Deze moet voor een functionele democratie domweg veilig zijn en dat bestaat niet in computerland.

Dat geldt ook voor kerncentrales of onderzeeërs en daar wordt ook met software gewerkt. Iets afschrijven "omdat het toch niet veilig is te krijgen" is onzinnig. Het gaat om een goede risico-afweging, de kans op misbruik, de schaal van misbruik, de gevolgen, de barrières die worden opgeworpen om misbruik tegen te gaan, detectie van misbruik, ondersteunende processen in alle fasen van het stemproces etc. Oftewel een totaalpakket. Dat software lastig veilig te krijgen is geloof ik wel. Dat het niet mogelijk is geloof ik niet, zeker niet als de software niet uit miljoenen regels code bestaat, zoals stemsoftware. De juiste security-mensen moeten er naar kijken. En dat gebeurt nu. Het risico wordt dan heel erg klein.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.