Upload
carla-rathsack
View
112
Download
1
Embed Size (px)
Citation preview
Entwicklung und prototypische Realisierung eines WahlprotokollsWahlprotokolls
für die Durchführung von Personalratswahlen
Diplomarbeit vonMelanie Volkamer
02.03.2004
02.03.2004 2
Inhalt1. Einleitung2. Probleme und Lösungsvorschlag3. Anwendungsfeld4. Rechtsgrundlagen5. Vertrauensmodell6. Designentscheidung7. Architektur und Protokolle8. Angriffe/Bedrohungen9. Implementierung von SecVote10. Zusammenfassung und Ausblick
02.03.2004 3
1. Einleitung
Reformen in der Technik von Wahlen 1867 Reichswahlgesetz: allgemein
(Frauen ab 1919), unmittelbar, geheim 1949 Grundgesetz: zusätzlich frei, gleich 1957 Briefwahl, 1975 Wahlgeräte
E-Democracy/E-Government Seit Ende der 90er
Internetwahlprojekte Immernoch aktuell: W.I.E.N.,
Internetwahlen !Wir wollenx x
0123456789
10
1997 1998 1999 2000 2001 2002 2003
02.03.2004 4
1.1 Klassifizierung
elektronische Wahlsysteme
Einsatz elektronischer
Wahlgeräte
Internetwahl-systeme
Wahlen über andere Übertra-gungsmedien
• seit 1975
• §35 BWG
• Standleitung
• Telefonleitung
Def: Abwicklung einer Wahl über das Internet
Internetwahl-systeme
02.03.2004 5
1.1 Klassifizierung (2)
kryptogr. Primitive
• asym. Ver-schlüsselung
• blinde Sig.
• MIXE
• usw.
Internetwahl-systeme
Ort der Stimmabgabe
• Wahllokal
• Wahlkiosk
• individuell (PC, mobile)
Vertrauens-modell
• keiner
• einer
• mehreren
(Instanzen vertrauen)
Authenti-fizierung
• Wissen (PIN)
• Besitz (Sig.)
• pers. Eigen- schaften (Fin-gerabdruck)
02.03.2004 6
1.2 Internetwahlprojekte
Weltweit etwa 40 Internetwahlen Etwa die Hälfte verbindlich Meist „individuell“ + PIN/TAN 15 Internetwahlen in Deutschland In Deutschland
Wahlkreis 329/Forschungsgruppe Internetwahlen
10 durchgeführte Wahlen Meist bei Personal-/Betriebsratswahlen
02.03.2004 7
2. Problematik (allgemein)
Komplexität und Vielschichtigkeit Fächerübregreifend (IT, Jura, Soziologie) Authentizität Anonymität Unterschiedliche rechtliche Vorgaben
Staaten / Anwendungsgebiet (Vereins-wahlen, Bundestagswahlen)
Weitere Unterschiede Änderbarkeit der Wahlgesetze Motivation und Publicity des Angreifers Wählerzahlen und Kosten
Gesetzl. Rahmenbedingungen fehlen
02.03.2004 8
2. Problematik (konkret)
Bisherigere Internetwahlsysteme Theoretische Ansätze aber unpraktikabel Systeme sind nicht rechtskonform Nicht-öffentliche Architekturen/Verfahren Keine Kriterien zur Verifikation Sehr geringe Akzeptanz Zu kostspielig
Probleme teilweise erkannt und gelöst Gewaltenteilung Individulle Internetwahl
02.03.2004 9
2. Lösungsvorschlag
Vorgehensweise Rechtsvorlagen Anforderungen auf techn. Ebene Anforderungen auf Design-Ebene Komponentenanforderungen
Architektur Gewaltenteilung Mechanismus zur unbegrenzten
Sicherung des Wahlgeheimnisses
Rechtsgrundlagen
Sicherheitsanforderungen auf technischer Ebene
Sicherheitsanforderungen auf Design-Ebene
Komponentenanforderungen
02.03.2004 10
3. Anwendungsfeld
Beschäftigtengruppen Beamten Angestellte Arbeiter
Bezirks-, Haupt-, Gesamtpersonalrat Bundespersonalvertretungsgesetz Einsatzumgebung
3 Stimmzettel
02.03.2004 11
3. Anwendungsfeld (2)
Einsatzumgebung Intranet PC mit Intranetanschluss am Arbeitsplatz
mit dem Umgang vertraut Jobkarten (eCard – Initiative)
02.03.2004 12
4. Rechtsgrundlagen
Rechtsgrundlagen
Sicherheitsanforderungen auf technischer Ebene
Sicherheitsanforderungen auf Design-Ebene
Komponentenanforderungen
02.03.2004 13
4. Rechtsgrundlagen
Grundgesetz (GG) 5 Wahlrechtsgrundätze
Wahl der Abgeordneten des Deut-schen Bundestages
Bundespersonalvertretungsgesetz(BPersVG) und zugehörige Wahlord-nung (BPersVWO)
Artikel 38[Wahlrechtsgrundsätze; Rechtsstellung der Abgeordneten] (1) Die Abgeordneten des Deutschen Bundestages werden in allgemeiner, unmittelbarer, freier, gleicher und geheimer Wahl gewählt.
02.03.2004 14
4.1 Wahlrechtsgrundsätze allgemein:
unmittelbar:
frei:
gleich: geheim:
Gleichheit beim Zugang/gleiche Voraussetzung Stimmen wirken direkt auf dasErgebnis; keine Mittelsmänner ohne Zwang/Druck/Beeinflussung und ungültige Stimmabgabe Zählwert- und Erfolgswertgleichheit Dauerhafte Sicherung des Wahl-geheimnisses unabhängig vom Fortschritt in
Technik und Kryptographie
02.03.2004 15
4.2 BPersVG und BPersVWO
BPersVG Wahlen sind geheim und unmittelbar In der Normenhierachie dem GG
untergeordnet 5 Wahlrechtsgrundsätze müssen erfüllt sein
BPersVWO – Briefwahlen §17 Schriftliche Stimmabgabe:
„Einem wahlberechtigten Beschäftigten, der im Zeitpunkt der Wahl verhindert ist ...“
Ausnahmeregelung
02.03.2004 16
Mittagspause?
02.03.2004 17
5. Vertrauensmodell
Rechtsgrundlagen
Sicherheitsanforderungen auf technischer Ebene
Sicherheitsanforderungen auf Design-Ebene
Komponentenanforderungen
02.03.2004 18
5. Vertrauensmodell
Ehrliche Teilnehmer Wähler Wahlveranstalter (Administratoren)
Angreifer Wahlberechtigte Kandidaten Außenstehende Hersteller der Soft-/Hardware
02.03.2004 19
5.1 Angreifer (Eigenschaften)
Können Nachrichten Mitlesen Speichern Verändern
Kryptographische Beschränktheit während der Wahl
Finanziell beschränkt Keine Beeinflussung der Wähler in der
Wahlkabine
Erzeugen Löschen
02.03.2004 20
5.1 Angreifer (Ziele)
Brechen des Wahlgeheimnisses Eines bestimmten Wählers Beweisbar
Direkte Ergebnismanipulation Votum löschen, hinzufügen, verändern
Indirekte Ergebnismanipulation Manipulaiton des Wählerverzeichnisses
Verhindern der Wahl Zwischenergebnis berechnen
02.03.2004 21
5.2 Ehrliche Teilnehmer
Eigenschaften Wähler
Bewahren eigene Wahlentscheidung Übertragen das Identitätsmerkmal nicht
Wahlveranstalter Befolgen Vorgaben/Schutzmaßnahmen des
Systems Versuchen Angriffe aufzudecken
02.03.2004 22
5.3 Anforderungen
Systemanforderungen Abgeleitet von den Rechtsgrundlagen
Anforderungen an die Umgebung Müssen gelten, damit das System obige
Anforderungen erfüllt
02.03.2004 23
5.3.1 Systemanforderungen Allgemeine Wahl
Verfügbarkeit Verfügbarkeit des Wahlsystems Keine inkonsistenten Zustände Keine Systemausfall
Benutzerfreundlichkeit Zuverlässigkeit
Bei der Datenübtragung und Speicherung Der eingesetzten Infrastrukturen
Korrektheit Zählen aller Stimmen
02.03.2004 24
5.3.1 Systemanforderungen (2) Unmittelbare Wahl
Keine technischen Anforderungen
Freie Wahl Unerzwingbarkeit
Unbeobachtete Stimmabgabe ermöglichen Beinflussung im Vorfeld geheime Wahl
Stimmzettelgestaltung Ungültig Stimmabgabe ermöglichen
02.03.2004 25
5.3.1 Systemanforderungen (3)
Gleiche Wahl Authentifikation und Autentisierung
Eindeutige Authentifikation Authentifikationsmerkmal nicht übertragbar Eindeutige Wahlberechtigungsüberprüfung
Korrektheit Alle Stimmen genau einmal zählen
Integrität und Authentizität Bei Datenspeicherung und –übertragung Vor allem Stimmzettel fälschungssicher Angreifernachrichten erkennen
02.03.2004 26
5.3.1 Systemanforderungen (4)
Nichtvermehrbarkeit Keine Stimmzettelvervielfältigung Mehrfache Stimmabgabe ausgeschlossen
Stimmzettelgestaltung Gleicher Platz für alle Kandidaten
Rechnerschutz Unberechtigter Zugriff Sicherung vor Angriffen über das Internet
02.03.2004 27
5.3.1 Systemanforderungen (5)
Geheime Wahl Geheimhaltung
Nichtrückverfolgbarkeit Informationstheoretisch sicher
Unverkaufbarkeit Stimmabgabe für Käufer nicht prüfbar Eigene Entscheidung nicht beweisbar
Rechnerschutz Zugriffsrechte
Briefwahlen Distanzwahl als Ausnahme
02.03.2004 28
5.3.2 Umgebungsanforderungen
Angreifermächtigkeit Am Wahltag kryptographisch beschränkt Max. Zugriff auf eine Komponente
Wählerverhalten Nicht alle wählen das gleiche Nicht alle verschwören sich gegen einen
Verhalten der Organisatoren Sicherung vor Stromausfällen Einsatz sicherer Rechner Keine Zusammenarbeit zum Wahlbetrug
02.03.2004 29
6. Designentscheidungen
Rechtsgrundlagen
Sicherheitsanforderungen auf technischer Ebene
Sicherheitsanforderungen auf Design-Ebene
Komponentenanforderungen
02.03.2004 30
6. Designentscheidungen
Ort der Stimmabgabe Methoden der Authentifizierung Kryptographische Primitive Ungültige Stimmabgabe Mehrfache Gewaltenteilung
02.03.2004 31
6.1 Ort der Stimmabgabe
Ausschließlich indivi-duelle InternetwahlDistanzwahl als
Ausnahme
statt Briefwahl indivi -duelle Internetwahl
Verfügbarkeit
Briefwahl und indivi-duelle Internetwahl
sichere Geräte
Internetwahl imWahllokal
02.03.2004 32
6.2 Authentifizierung
Wissen: PIN/TAN Einfach übertragbar
Persöhnliche Eigenschaften: Fingerabdruck Zu teuer Fehlende Technik
Besitz: digitale Signaturkarte Jobkarten und Infrastruktur vorhanden In Kombination mit PIN qualifiziert Nicht übertragbar, da Jobkarte Einsatz der CA (Gültigkeitsüberprüfung)
02.03.2004 33
6.3 Kryptographische Primitive
Verschlüsselung ist nicht ausreichend für unbegrenzte Geheimhaltung Asymmetrisch
(Problem: kryptographische Annahmen) Symmetrisch
One-Time-Pad (Problem: zufälliger, einmaliger Schlüssel)
Sonstige (Problem: kryptographische Annahmen)
MIXE : Kommunikation bis zum MIX Blinde Signaturen: Angreiferdefinition
02.03.2004 34
6.3 Kryptographische Primitive (2)
Zufälliges Auswählen Erste Stimmabgabe nur Speichern Zweite Stimmabgabe
Suche zufällig eines der beiden aus Verschicke diese Stimme Speichere andere Stimme
Wiederholung bei jeder Stimmabgabe „Nach“ Wahlende:
Stimme aus Speicher verschicken Informationstheoretisch sicher
02.03.2004 35
6.3 Kryptographische Primitive (3) Problem
Zwei letzten verschickten Voten gleich Aber
Nicht planbar Geringe Wahrscheinlichkeit Schwer beweisbar Votum eines beliebigen Wählers
Verbesserung Mehr als zwei Voten sammeln
Symmtrische Verschlüsselung wegen Zwischenergebnissen
02.03.2004 36
6.4 Ungültige Stimmabgabe
Textfeld Tastatur erforderlich Button
Andere Gestalt, aber eh Sende-Button Ungewollte ungültige Stimmabgabe
Zweifaches Bestätigen Hinweis
StimmzettelWählen Sie einen kandidaten,
um eine gültige Stimme abzugebenHans Müller (Öko1)
Christel Schmitt (Öko2)Carla Wagner (Öko1)
Ralf Hoffmann (Öko3)wählen
ungültige Stimme abbrechen
02.03.2004 37
6.5 Gewaltenteilung Wahlberechtigungsprüfung und Stim-
mensammlung trennen Sonst erreicht Angreifer all seine Ziele
Zwei Komponenten zur Wahlberechti-gungsprüfung Sonst Ergebnismanipulations möglich
Stimmsammlung und Stimmauszäh-lung trennen Sonst Zwischenergebnisse
Zwei Rechner pro Wahlkabine Sonst Wahlgeheimnis nicht sicher
02.03.2004 38
6.6 Design - Zusammenfassung
Internetwahl im Wahllokal Qualifizierte digitale Signatur Zufallsmechanismus zur Geheimhal-
tung Symmetrische Verschlüsselung wegen
Zwischenergebnissen Button zur ungültigen Stimmabgabe Gewaltenteilung an 4 Stellen
02.03.2004 39
Kaffee?
02.03.2004 40
7. Architektur und Protokolle
Rechtsgrundlagen
Sicherheitsanforderungen auf technischer Ebene
Sicherheitsanforderungen auf Design-Ebene
Komponentenanforderungen
02.03.2004 41
7.1 Architektur
Server: RegServer CA UrnServer
Rechner: Controller RegPCs WahlPCs (VerPCs
Für herkömmlich/kombinierte Stimmabgabe)
RegServer
Sig
PIN
RegPC WahlPC
UrnServer
Controller
CA
02.03.2004 42
7.2 Protokolle
Registrierung Wählerzertifikatsüberprüfung:
Controller CA Initialisierung
Gültigkeitsüberprüfung der Komponen-tenzertifikate: KOMPONENTECA
Wahlstart-Nachricht mit zusätzlichen Infos: ControllerKOMPONENTE
Wahlvorgang Ergebnisberechnung
Wahlende-Nachricht
02.03.2004 43
7.2 Protokoll - Wahlvorgang
(1)Anfrage
(4)OK, Typ
(11)Hat gewählt
(11a)ACK
(2)Anfrage
(3)OK
RegServer
Sig
PIN ?
RegPC WahlPC
UrnServerCA
(10)Hat gewählt
(7)freischalten, Typ
(5)Anfrage
(6)OK
(12a) ACK
(12)Hat gewählt
(8) Typ
(9)Wahl-zettel
(13)Votum
(13a)ACK
Karte ?Bitte
warten
OK
WahlPC
Wahlberechtigungsprüfung Statusänderung Stimmabgabe Stimmensammlung
Stimm-
abgabe
abge-
schlossen
Karte
?
02.03.2004 44
Controller Aufgaben
Erzeugung des Wählerverzeichnis-ses
Erzeugen der Stimmzettel
Verteilen der Daten Ergebnisberechnung
Anforderungen Verfügbarkeit des
Wählerverzeichnisses sichern
Stimmzettelgestaltung beachten
Integrität/Authentizität Korrektheit/keine
Zwischenergebnisse
7.3 Komponentenanforderungen
02.03.2004 45
7.3 Komponentenanforderungen
RegServer Aufgaben: Berechtigungsprüfung Anforderungen
Eindeutige Authentifikation Eindeutige Wahlberechtigungsüberprüfung Verfügbarkeit
CA Aufgaben: zusätzl. Zertifikatsüberprüfung Anforderungen: korrekte Überprüfung
02.03.2004 46
7.3 Komponentenanforderungen
RegPC Aufgaben: Erfragen des Identifikations-
merkmals Anforderungen
Benutzerfreundlichkeit Verfügbarkeit
02.03.2004 47
7.3 Komponentenanforderungen
WahlPC Aufgaben: Stimmabgabe Anforderungen
Benutzerfreundlichkeit Verfügbarkeit Nichtvermehrbarkeit (nur eine Stimme) Geheimhaltung Integrität und Authentizität bei Übertragung
02.03.2004 48
7.3 Komponentenanforderungen
UrnServer Aufgaben:Stimmensammlung Anforderungen
Verfügbarkeit Nichtvermehrbarkeit Integrität Kein Zwischenergebnis
02.03.2004 49
7.3 Komponentenanforderungen
Gesamtes System Anforderungen
Zuverlässigkeit (Datenverluste, Kommunikation mit Systemkomponente)
Integrität und Authentizität bei der Daten-übertragung
Rechnerschutz
02.03.2004 50
7.4 Übersichtallgemein frei gleich geheim
Control-ler
Verfügbarkeit,Korrektheit
Stimm-zettel
Stimmzettel, Korrekheit, Integrität,
Authentizität
RegSer-ver, CA
Verfügbarkeit Authentifi-kations,
Autorisierung
RegPC Verfügbarkeit, Benutzerfr.
WahlPC Verfügbarkeit, Benutzerfr.
Uner-zwingbar-
keit
Integrität, Authetizität,
Nichtvermehr.
Geheimhal-tung, Un-
verkaufbar
UrnSer-ver
Verfügbarkeit Nichtvermehr., Integrität
System Zuverlässigkeit Rechner-schutz
Integrität, Authentizität, Rechnerschutz
02.03.2004 51
7.5 Rückblick
Rechtsgrundlagen
Sicherheitsanforderungen auf technischer Ebene
Sicherheitsanforderungen auf Design-Ebene
Komponentenanforderungen
02.03.2004 52
8. Angriffe / Bedrohungen
Daten bei der Übertragung verändern Signatur auf allen Nachrichten Komponentenschlüsselpaar/-zertifikat Signaturkartenlesegerät Öffentliche Schlüssel zur Verifikation
Nachrichten erzeugen Werden ignoriert Signatur nicht erzeugbar
02.03.2004 53
8. Angriffe / Bedrohungen (2)
Nachrichten wiederversenden (Replay) Pro Kommunikationspaar/ Protokollschritt:
Eindeutige Nummer Eindeutiges Format Datum, Empfänger, Sender
Nachrichten nur einmal weiterverarbeiten Nachrichten abfangen
Einzelne: Mechanismus zum Wiederverschicken Alle: Standleitung
02.03.2004 54
8. Angriffe / Bedrohungen (3)
Mitlesen/ analysieren von Nachrichten Daten ausser Votum
Angreifer kennt Nachrichteninhalt Aber keine neue Information Nur wer wählt und welcher Stimmzettel
Votum wegen Zwischenergebnis Symmetrisch verschlüsselt
Wahlgeheimnis Zufallsmechanismus
02.03.2004 55
8. Angriffe / Bedrohungen (4) Zweifache Stimmabgabe
Signaturkarte und Personalausweis Eindeutiger Wählerstatus
Nach Wahlberechtigung Stimmzettel nur bis Stimmabgabe sichtbar
Gestohlene Signaturkarte Deaktivierung bei 3 falschen PIN-
Eingaben Serverausfälle
Back-Up-Server Denial-of-Service - IP und Ports geheim
02.03.2004 56
8. Angriffe / Bedrohungen (5)
Rechnerzugriff Direkt
Passwortgeschütze Rechner und Server In verschlossenen Räumen Rechner in Panzerschränken
Über das Kommunikationsnetz Sichere Rechner Klare Schnittstelldefinition Alle Protokollschritte über extra Port Firewall-Mechanismus
02.03.2004 57
8. Angriffe / Bedrohungen (6)
Zugriff auf eine der Komponenten Controller
Wählerverzeichnis Beschwerde Ergebnisberechnung geprüfte Software
RegServer Wähler ausschließen/ Unberechtigte
zulassen Widerspruch zur Berechtigung von CA
02.03.2004 58
8. Angriffe / Bedrohungen (7) CA
Wahlberechtigte ausschließen/ Unberech-tigte zulassen Widerspruch RegServer
Zertifikatsüberprüfung Anwort bei RegServer speichern
RegPC WahlPC freischalten ohne
Wahlberechtigung Kontrollmechanismus
02.03.2004 59
8. Angriffe / Bedrohungen (8) UrnServer (bzgl. Stimmen)
Hinzufügen Kontrollmechanimus Löschen Kontrollmechanimus Verändern Signatur Austauschen einmalige Zufallszahl
WahlPC Geheimhaltung Nachrichten Mitscannen Eigenes Votum verschicken externe
Signaturkomponente Voten ohne Freischaltung verschicken
Kontrollmechanimus
02.03.2004 60
9. Implementierung von SecVote
Java (2 SDK, JDK 1.3.1) IAIK – Kryptographie – Bibliothek
MySQL Zu Testzwecken: Linux und Windows Algorithmen
RSA mit SHA-1 zur Signatur X509-Zertifikate IDEA zur symmetrischen Verschlüsselung Pseudozufallsgenerator von SUN
02.03.2004 61
9. Implementierung von SecVote
Programme + Dokumentation auf CD ToDo‘s:
Schnittstelle zu Signaturkartenlesegerät Schnittstelle zum sicheren Signiergerät Back-Up-Server Kleinigkeiten: GUI, Wahl der IPs/Ports,
Passwörter Sichere Rechner Lizenzen
02.03.2004 62
9. Implementierung von SecVote
Vorführung des Programms Beispiel mit 3 Wählern Verschiedene Stimmabgaben
Gültige Stimme Ungültige Stimme Versuche einer zweifachen Stimmabgabe Abbruch des Wahlvorgangs
Ergebnisberechnung
02.03.2004 63
10. Zusammenfassung/Ausblick
Vorgehensweise Nach Basis-Methoden der Common
Criteria Besonderheiten
Unbegrenzte Sicherung des Votums Gewaltenteilung an vier Stellen Manipulation einer Komponente wird
akzeptiert Prototypisch umgesetzt (Open
Source)
02.03.2004 64
Fragen?
Vielen Dank!