Jagd auf E-Voting-Bugs beginnt

Wie bereits im Mai angekündigt (Computerworld berichtete damals ausführlich), will die Schweizerische Post das in der Entwicklung befindliche E-Voting-System im Rahmen eines öffentlichen Bug-Bounty-Programms auf Herz und Nieren lassen. Bis zu 250'000 Franken Belohnung können sich ethische Hacker sichern, falls sie eine kritische Lücke finden sollten.

Wie Denis Morel, Leiter des E-Government-Bereichs der Post, in einem Mediengespräch betonte, würde die Topprämie dann ausgezahlt, wenn es einem Softwarefehler-Jäger gelänge, eine Lücke im zentralen Verfahren zur Verfizierung der Stimmabgabe und zur Wahrung des Stimmgeheimnisses zu finden, die dieses aushebeln würde. Zu deren Absicherung kommen laut Morel kryptografische Verfahren zur Anwendung, die «Zero Knowledge Proof» (auf deutsch auch als «kenntnisfreier Beweis» bekannt) gewähren können. Damit sei es möglich zu beweisen, dass es keine Änderung an den Stimmen gegeben habe, ohne deren Inhalt selbst kennen zu müssen.

Zudem hat die Post mit 150'000 Codezeilen einen Grossteil der Betaversion des Systems offengelegt, sodass externe Fachleute den Quellcode nun dauerhaft unter die Lupe nehmen können. Weiterentwicklungen werden nun in einem «Korrekturmodus» sichtbar gemacht.

Morel sieht mit Interesse auf die öffentliche Auflage der erarbeiteten Codes und Formeln: «Ich bin gespannt, welche Rückmeldungen aus der weltweiten Fachwelt eingehen werden. Das System befindet sich noch in Entwicklung und die Mitwirkung der externen Fachleute wird uns helfen, Verbesserungen und Schwachstellen im System zu finden und rasch beheben zu können», fasst Morel seine Gemütslage zusammen. «Das ist ein wichtiger Schritt, um den hohen Sicherheitsanforderungen für ein E-Voting in der Schweiz entsprechen zu können».

Läuft mit dem Bug-Bounty-Programm alles nach Plan, sollen 2022 wieder erste E-Voting-Versuche stattfinden können. Derzeit planen die Kantone Basel Stadt, Freiburg, St. Gallen und Thurgau in der zweiten Jahreshälfte 2022 die Wiederaufnahme von E-Voting.