650 likes | 845 Views
Entwicklung und prototypische Realisierung eines Wahlprotokolls für die Durchführung von Personalratswahlen. Diplomarbeit von Melanie Volkamer 02.03.2004. Inhalt. Einleitung Probleme und Lösungsvorschlag Anwendungsfeld Rechtsgrundlagen Vertrauensmodell Designentscheidung
E N D
Entwicklung und prototypische Realisierung eines Wahlprotokolls für die Durchführung von Personalratswahlen Diplomarbeit von Melanie Volkamer 02.03.2004
Inhalt • Einleitung • Probleme und Lösungsvorschlag • Anwendungsfeld • Rechtsgrundlagen • Vertrauensmodell • Designentscheidung • Architektur und Protokolle • Angriffe/Bedrohungen • Implementierung von SecVote • Zusammenfassung und Ausblick
1. Einleitung x x Wir wollen Internetwahlen ! • Reformen in der Technik von Wahlen • 1867 Reichswahlgesetz: allgemein (Frauen ab 1919), unmittelbar, geheim • 1949 Grundgesetz: zusätzlich frei, gleich • 1957 Briefwahl, 1975 Wahlgeräte • E-Democracy/E-Government • Seit Ende der 90er Internetwahlprojekte • Immernoch aktuell: W.I.E.N.,
1.1 Klassifizierung Einsatz elektronischer Wahlgeräte Wahlen über andere Übertra-gungsmedien Internetwahl-systeme • seit 1975 • §35 BWG Def: Abwicklung einer Wahl über das Internet • Standleitung • Telefonleitung elektronische Wahlsysteme Internetwahl-systeme
1.1 Klassifizierung (2) • Ort der Stimmabgabe • Wahllokal • Wahlkiosk • individuell (PC, mobile) • Vertrauens-modell • keiner • einer • mehreren • (Instanzen vertrauen) • Authenti-fizierung • Wissen (PIN) • Besitz (Sig.) • pers. Eigen- schaften (Fin-gerabdruck) Internetwahl-systeme • kryptogr. Primitive • asym. Ver-schlüsselung • blinde Sig. • MIXE • usw.
1.2 Internetwahlprojekte • Weltweit etwa 40 Internetwahlen • Etwa die Hälfte verbindlich • Meist „individuell“ + PIN/TAN • 15 Internetwahlen in Deutschland • In Deutschland • Wahlkreis 329/Forschungsgruppe Internetwahlen • 10 durchgeführte Wahlen • Meist bei Personal-/Betriebsratswahlen
2. Problematik (allgemein) • Komplexität und Vielschichtigkeit • Fächerübregreifend (IT, Jura, Soziologie) • Authentizität Anonymität • Unterschiedliche rechtliche Vorgaben • Staaten / Anwendungsgebiet (Vereins-wahlen, Bundestagswahlen) • Weitere Unterschiede • Änderbarkeit der Wahlgesetze • Motivation und Publicity des Angreifers • Wählerzahlen und Kosten • Gesetzl. Rahmenbedingungen fehlen
2. Problematik (konkret) • Bisherigere Internetwahlsysteme • Theoretische Ansätze aber unpraktikabel • Systeme sind nicht rechtskonform • Nicht-öffentliche Architekturen/Verfahren • Keine Kriterien zur Verifikation • Sehr geringe Akzeptanz • Zu kostspielig • Probleme teilweise erkannt und gelöst • Gewaltenteilung • Individulle Internetwahl
2. Lösungsvorschlag • Vorgehensweise Rechtsvorlagen Anforderungen auf techn. Ebene Anforderungen auf Design-Ebene Komponentenanforderungen • Architektur Gewaltenteilung • Mechanismus zur unbegrenzten Sicherung des Wahlgeheimnisses Rechtsgrundlagen Sicherheitsanforderungen auf technischer Ebene Sicherheitsanforderungen auf Design-Ebene Komponentenanforderungen
3. Anwendungsfeld Beschäftigtengruppen Beamten Angestellte Arbeiter Bezirks-, Haupt-, Gesamtpersonalrat Bundespersonalvertretungsgesetz Einsatzumgebung 3 Stimmzettel
3. Anwendungsfeld (2) Einsatzumgebung Intranet PC mit Intranetanschluss am Arbeitsplatz mit dem Umgang vertraut Jobkarten (eCard – Initiative)
4. Rechtsgrundlagen Rechtsgrundlagen Sicherheitsanforderungen auf technischer Ebene Sicherheitsanforderungen auf Design-Ebene Komponentenanforderungen
4. Rechtsgrundlagen Artikel 38 [Wahlrechtsgrundsätze; Rechtsstellung der Abgeordneten] (1) Die Abgeordneten des Deutschen Bundestages werden in allgemeiner, unmittelbarer, freier, gleicher und geheimer Wahl gewählt. • Grundgesetz (GG) 5 Wahlrechtsgrundätze • Wahl der Abgeordneten des Deut-schen Bundestages • Bundespersonalvertretungsgesetz (BPersVG) und zugehörige Wahlord-nung (BPersVWO)
4.1 Wahlrechtsgrundsätze allgemein: unmittelbar: frei: gleich: geheim: Gleichheit beim Zugang/ gleiche Voraussetzung Stimmen wirken direkt auf das Ergebnis; keine Mittelsmänner ohne Zwang/Druck/Beeinflussung und ungültige Stimmabgabe Zählwert- und Erfolgswertgleichheit Dauerhafte Sicherung des Wahl- geheimnisses unabhängig vom Fortschritt in Technik und Kryptographie
4.2 BPersVG und BPersVWO • BPersVG • Wahlen sind geheim und unmittelbar • In der Normenhierachie dem GG untergeordnet 5 Wahlrechtsgrundsätze müssen erfüllt sein • BPersVWO – Briefwahlen • §17 Schriftliche Stimmabgabe: „Einem wahlberechtigten Beschäftigten, der im Zeitpunkt der Wahl verhindert ist ...“ • Ausnahmeregelung
5. Vertrauensmodell Rechtsgrundlagen Sicherheitsanforderungen auf technischer Ebene Sicherheitsanforderungen auf Design-Ebene Komponentenanforderungen
5. Vertrauensmodell • Ehrliche Teilnehmer • Wähler • Wahlveranstalter • (Administratoren) • Angreifer • Wahlberechtigte • Kandidaten • Außenstehende • Hersteller der Soft-/Hardware
5.1 Angreifer (Eigenschaften) Können Nachrichten Mitlesen Speichern Verändern Kryptographische Beschränktheit während der Wahl Finanziell beschränkt Keine Beeinflussung der Wähler in der Wahlkabine Erzeugen Löschen
5.1 Angreifer (Ziele) Brechen des Wahlgeheimnisses Eines bestimmten Wählers Beweisbar Direkte Ergebnismanipulation Votum löschen, hinzufügen, verändern Indirekte Ergebnismanipulation Manipulaiton des Wählerverzeichnisses Verhindern der Wahl Zwischenergebnis berechnen
5.2 Ehrliche Teilnehmer • Eigenschaften • Wähler • Bewahren eigene Wahlentscheidung • Übertragen das Identitätsmerkmal nicht • Wahlveranstalter • Befolgen Vorgaben/Schutzmaßnahmen des Systems • Versuchen Angriffe aufzudecken
5.3 Anforderungen • Systemanforderungen • Abgeleitet von den Rechtsgrundlagen • Anforderungen an die Umgebung • Müssen gelten, damit das System obige Anforderungen erfüllt
5.3.1 Systemanforderungen • Allgemeine Wahl • Verfügbarkeit • Verfügbarkeit des Wahlsystems • Keine inkonsistenten Zustände • Keine Systemausfall • Benutzerfreundlichkeit • Zuverlässigkeit • Bei der Datenübtragung und Speicherung • Der eingesetzten Infrastrukturen • Korrektheit • Zählen aller Stimmen
5.3.1 Systemanforderungen (2) • Unmittelbare Wahl • Keine technischen Anforderungen • Freie Wahl • Unerzwingbarkeit • Unbeobachtete Stimmabgabe ermöglichen • Beinflussung im Vorfeld geheime Wahl • Stimmzettelgestaltung • Ungültig Stimmabgabe ermöglichen
5.3.1 Systemanforderungen (3) • Gleiche Wahl • Authentifikation und Autentisierung • Eindeutige Authentifikation • Authentifikationsmerkmal nicht übertragbar • Eindeutige Wahlberechtigungsüberprüfung • Korrektheit • Alle Stimmen genau einmal zählen • Integrität und Authentizität • Bei Datenspeicherung und –übertragung • Vor allem Stimmzettel fälschungssicher • Angreifernachrichten erkennen
5.3.1 Systemanforderungen (4) • Nichtvermehrbarkeit • Keine Stimmzettelvervielfältigung • Mehrfache Stimmabgabe ausgeschlossen • Stimmzettelgestaltung • Gleicher Platz für alle Kandidaten • Rechnerschutz • Unberechtigter Zugriff • Sicherung vor Angriffen über das Internet
5.3.1 Systemanforderungen (5) • Geheime Wahl • Geheimhaltung • Nichtrückverfolgbarkeit • Informationstheoretisch sicher • Unverkaufbarkeit • Stimmabgabe für Käufer nicht prüfbar • Eigene Entscheidung nicht beweisbar • Rechnerschutz • Zugriffsrechte • Briefwahlen • Distanzwahl als Ausnahme
5.3.2 Umgebungsanforderungen • Angreifermächtigkeit • Am Wahltag kryptographisch beschränkt • Max. Zugriff auf eine Komponente • Wählerverhalten • Nicht alle wählen das gleiche • Nicht alle verschwören sich gegen einen • Verhalten der Organisatoren • Sicherung vor Stromausfällen • Einsatz sicherer Rechner • Keine Zusammenarbeit zum Wahlbetrug
6. Designentscheidungen Rechtsgrundlagen Sicherheitsanforderungen auf technischer Ebene Sicherheitsanforderungen auf Design-Ebene Komponentenanforderungen
6. Designentscheidungen • Ort der Stimmabgabe • Methoden der Authentifizierung • Kryptographische Primitive • Ungültige Stimmabgabe • Mehrfache Gewaltenteilung
6.1 Ort der Stimmabgabe Distanzwahl als Ausnahme statt Briefwahl indivi - duelle Internetwahl Verfügbarkeit Briefwahl und indivi- duelle Internetwahl sichere Geräte Internetwahl im Wahllokal Ausschließlich indivi- duelle Internetwahl
6.2 Authentifizierung • Wissen: PIN/TAN • Einfach übertragbar • Persöhnliche Eigenschaften: Fingerabdruck • Zu teuer • Fehlende Technik • Besitz: digitale Signaturkarte • Jobkarten und Infrastruktur vorhanden • In Kombination mit PIN qualifiziert • Nicht übertragbar, da Jobkarte • Einsatz der CA (Gültigkeitsüberprüfung)
6.3 Kryptographische Primitive • Verschlüsselung ist nicht ausreichend für unbegrenzte Geheimhaltung • Asymmetrisch (Problem: kryptographische Annahmen) • Symmetrisch • One-Time-Pad (Problem: zufälliger, einmaliger Schlüssel) • Sonstige (Problem: kryptographische Annahmen) • MIXE : Kommunikation bis zum MIX • Blinde Signaturen: Angreiferdefinition
6.3 Kryptographische Primitive (2) • Zufälliges Auswählen • Erste Stimmabgabe nur Speichern • Zweite Stimmabgabe • Suche zufällig eines der beiden aus • Verschicke diese Stimme • Speichere andere Stimme • Wiederholung bei jeder Stimmabgabe • „Nach“ Wahlende: • Stimme aus Speicher verschicken • Informationstheoretisch sicher
6.3 Kryptographische Primitive (3) • Problem • Zwei letzten verschickten Voten gleich • Aber • Nicht planbar • Geringe Wahrscheinlichkeit • Schwer beweisbar • Votum eines beliebigen Wählers • Verbesserung • Mehr als zwei Voten sammeln • Symmtrische Verschlüsselung wegen Zwischenergebnissen
6.4 Ungültige Stimmabgabe • Textfeld Tastatur erforderlich • Button • Andere Gestalt, aber eh Sende-Button • Ungewollte ungültige Stimmabgabe • Zweifaches Bestätigen • Hinweis Stimmzettel Wählen Sie einen kandidaten, um eine gültige Stimme abzugeben Hans Müller (Öko1) Christel Schmitt (Öko2) Carla Wagner (Öko1) Ralf Hoffmann (Öko3) wählen ungültige Stimme abbrechen
6.5 Gewaltenteilung • Wahlberechtigungsprüfung und Stim-mensammlung trennen • Sonst erreicht Angreifer all seine Ziele • Zwei Komponenten zur Wahlberechti-gungsprüfung • Sonst Ergebnismanipulations möglich • Stimmsammlung und Stimmauszäh-lung trennen • Sonst Zwischenergebnisse • Zwei Rechner pro Wahlkabine • Sonst Wahlgeheimnis nicht sicher
6.6 Design - Zusammenfassung • Internetwahl im Wahllokal • Qualifizierte digitale Signatur • Zufallsmechanismus zur Geheimhal-tung • Symmetrische Verschlüsselung wegen Zwischenergebnissen • Button zur ungültigen Stimmabgabe • Gewaltenteilung an 4 Stellen
7. Architektur und Protokolle Rechtsgrundlagen Sicherheitsanforderungen auf technischer Ebene Sicherheitsanforderungen auf Design-Ebene Komponentenanforderungen
7.1 Architektur Controller UrnServer RegServer CA WahlPC RegPC PIN Sig • Server: • RegServer • CA • UrnServer • Rechner: • Controller • RegPCs • WahlPCs • (VerPCs Für herkömmlich/kombinierte Stimmabgabe)
7.2 Protokolle • Registrierung • Wählerzertifikatsüberprüfung: Controller CA • Initialisierung • Gültigkeitsüberprüfung der Komponen-tenzertifikate: KOMPONENTECA • Wahlstart-Nachricht mit zusätzlichen Infos: ControllerKOMPONENTE • Wahlvorgang • Ergebnisberechnung • Wahlende-Nachricht
7.2 Protokoll - Wahlvorgang (2)Anfrage (3)OK (6) OK (12)Hat gewählt (4)OK, Typ (8) Typ (9) Wahl- zettel (5) Anfrage (11a)ACK (12a) ACK (11)Hat gewählt (1)Anfrage (10)Hat gewählt (13)Votum (7)freischalten, Typ (13a)ACK Sig • Stimmensammlung • Statusänderung • Stimmabgabe • Wahlberechtigungsprüfung UrnServer RegServer CA abge- schlossen Stimm- abgabe Bitte warten Karte ? OK WahlPC Karte ? PIN ? RegPC WahlPC
7.3 Komponentenanforderungen Controller • Anforderungen • Verfügbarkeit des Wählerverzeichnisses sichern • Stimmzettelgestaltung beachten • Integrität/Authentizität • Korrektheit/keine Zwischenergebnisse • Aufgaben • Erzeugung des Wählerverzeichnis-ses • Erzeugen der Stimmzettel • Verteilen der Daten • Ergebnisberechnung
7.3 Komponentenanforderungen • RegServer • Aufgaben: Berechtigungsprüfung • Anforderungen • Eindeutige Authentifikation • Eindeutige Wahlberechtigungsüberprüfung • Verfügbarkeit • CA • Aufgaben: zusätzl. Zertifikatsüberprüfung • Anforderungen: korrekte Überprüfung
7.3 Komponentenanforderungen • RegPC • Aufgaben: Erfragen des Identifikations-merkmals • Anforderungen • Benutzerfreundlichkeit • Verfügbarkeit
7.3 Komponentenanforderungen • WahlPC • Aufgaben: Stimmabgabe • Anforderungen • Benutzerfreundlichkeit • Verfügbarkeit • Nichtvermehrbarkeit (nur eine Stimme) • Geheimhaltung • Integrität und Authentizität bei Übertragung
7.3 Komponentenanforderungen • UrnServer • Aufgaben:Stimmensammlung • Anforderungen • Verfügbarkeit • Nichtvermehrbarkeit • Integrität • Kein Zwischenergebnis
7.3 Komponentenanforderungen • Gesamtes System • Anforderungen • Zuverlässigkeit (Datenverluste, Kommunikation mit Systemkomponente) • Integrität und Authentizität bei der Daten-übertragung • Rechnerschutz