Wahlprotokolls Entwicklung und prototypische Realisierung eines Wahlprotokolls für die Durchführung von Personalratswahlen Diplomarbeit von Melanie Volkamer

Entwicklung und prototypische Realisierung eines WahlprotokollsWahlprotokolls

für die Durchführung von Personalratswahlen

Diplomarbeit vonMelanie Volkamer

02.03.2004

02.03.2004 2

Inhalt1. Einleitung2. Probleme und Lösungsvorschlag3. Anwendungsfeld4. Rechtsgrundlagen5. Vertrauensmodell6. Designentscheidung7. Architektur und Protokolle8. Angriffe/Bedrohungen9. Implementierung von SecVote10. Zusammenfassung und Ausblick

02.03.2004 3

1. Einleitung

Reformen in der Technik von Wahlen 1867 Reichswahlgesetz: allgemein

(Frauen ab 1919), unmittelbar, geheim 1949 Grundgesetz: zusätzlich frei, gleich 1957 Briefwahl, 1975 Wahlgeräte

E-Democracy/E-Government Seit Ende der 90er

Internetwahlprojekte Immernoch aktuell: W.I.E.N.,

Internetwahlen !Wir wollenx x

0123456789

10

1997 1998 1999 2000 2001 2002 2003

02.03.2004 4

1.1 Klassifizierung

elektronische Wahlsysteme

Einsatz elektronischer

Wahlgeräte

Internetwahl-systeme

Wahlen über andere Übertra-gungsmedien

• seit 1975

• §35 BWG

• Standleitung

• Telefonleitung

Def: Abwicklung einer Wahl über das Internet


02.03.2004 5

1.1 Klassifizierung (2)

kryptogr. Primitive

• asym. Ver-schlüsselung

• blinde Sig.

• MIXE

• usw.


Ort der Stimmabgabe

• Wahllokal

• Wahlkiosk

• individuell (PC, mobile)

Vertrauens-modell

• keiner

• einer

• mehreren

(Instanzen vertrauen)

Authenti-fizierung

• Wissen (PIN)

• Besitz (Sig.)

• pers. Eigen- schaften (Fin-gerabdruck)

02.03.2004 6

1.2 Internetwahlprojekte

Weltweit etwa 40 Internetwahlen Etwa die Hälfte verbindlich Meist „individuell“ + PIN/TAN 15 Internetwahlen in Deutschland In Deutschland

Wahlkreis 329/Forschungsgruppe Internetwahlen

10 durchgeführte Wahlen Meist bei Personal-/Betriebsratswahlen

02.03.2004 7

2. Problematik (allgemein)

Komplexität und Vielschichtigkeit Fächerübregreifend (IT, Jura, Soziologie) Authentizität Anonymität Unterschiedliche rechtliche Vorgaben

Staaten / Anwendungsgebiet (Vereins-wahlen, Bundestagswahlen)

Weitere Unterschiede Änderbarkeit der Wahlgesetze Motivation und Publicity des Angreifers Wählerzahlen und Kosten

Gesetzl. Rahmenbedingungen fehlen

02.03.2004 8

2. Problematik (konkret)

Bisherigere Internetwahlsysteme Theoretische Ansätze aber unpraktikabel Systeme sind nicht rechtskonform Nicht-öffentliche Architekturen/Verfahren Keine Kriterien zur Verifikation Sehr geringe Akzeptanz Zu kostspielig

Probleme teilweise erkannt und gelöst Gewaltenteilung Individulle Internetwahl

02.03.2004 9

2. Lösungsvorschlag

Vorgehensweise Rechtsvorlagen Anforderungen auf techn. Ebene Anforderungen auf Design-Ebene Komponentenanforderungen

Architektur Gewaltenteilung Mechanismus zur unbegrenzten

Sicherung des Wahlgeheimnisses

Rechtsgrundlagen

Sicherheitsanforderungen auf technischer Ebene

Sicherheitsanforderungen auf Design-Ebene

Komponentenanforderungen

02.03.2004 10

3. Anwendungsfeld

Beschäftigtengruppen Beamten Angestellte Arbeiter

Bezirks-, Haupt-, Gesamtpersonalrat Bundespersonalvertretungsgesetz Einsatzumgebung

3 Stimmzettel

02.03.2004 11

3. Anwendungsfeld (2)

Einsatzumgebung Intranet PC mit Intranetanschluss am Arbeitsplatz

mit dem Umgang vertraut Jobkarten (eCard – Initiative)

02.03.2004 12

4. Rechtsgrundlagen

Rechtsgrundlagen




02.03.2004 13

4. Rechtsgrundlagen

Grundgesetz (GG) 5 Wahlrechtsgrundätze

Wahl der Abgeordneten des Deut-schen Bundestages

Bundespersonalvertretungsgesetz(BPersVG) und zugehörige Wahlord-nung (BPersVWO)

Artikel 38[Wahlrechtsgrundsätze; Rechtsstellung der Abgeordneten] (1) Die Abgeordneten des Deutschen Bundestages werden in allgemeiner, unmittelbarer, freier, gleicher und geheimer Wahl gewählt.

02.03.2004 14

4.1 Wahlrechtsgrundsätze allgemein:

unmittelbar:

frei:

gleich: geheim:

Gleichheit beim Zugang/gleiche Voraussetzung Stimmen wirken direkt auf dasErgebnis; keine Mittelsmänner ohne Zwang/Druck/Beeinflussung und ungültige Stimmabgabe Zählwert- und Erfolgswertgleichheit Dauerhafte Sicherung des Wahl-geheimnisses unabhängig vom Fortschritt in

Technik und Kryptographie

02.03.2004 15

4.2 BPersVG und BPersVWO

BPersVG Wahlen sind geheim und unmittelbar In der Normenhierachie dem GG

untergeordnet 5 Wahlrechtsgrundsätze müssen erfüllt sein

BPersVWO – Briefwahlen §17 Schriftliche Stimmabgabe:

„Einem wahlberechtigten Beschäftigten, der im Zeitpunkt der Wahl verhindert ist ...“

Ausnahmeregelung

02.03.2004 16

Mittagspause?

02.03.2004 17

5. Vertrauensmodell

Rechtsgrundlagen




02.03.2004 18

5. Vertrauensmodell

Ehrliche Teilnehmer Wähler Wahlveranstalter (Administratoren)

Angreifer Wahlberechtigte Kandidaten Außenstehende Hersteller der Soft-/Hardware

02.03.2004 19

5.1 Angreifer (Eigenschaften)

Können Nachrichten Mitlesen Speichern Verändern

Kryptographische Beschränktheit während der Wahl

Finanziell beschränkt Keine Beeinflussung der Wähler in der

Wahlkabine

Erzeugen Löschen

02.03.2004 20

5.1 Angreifer (Ziele)

Brechen des Wahlgeheimnisses Eines bestimmten Wählers Beweisbar

Direkte Ergebnismanipulation Votum löschen, hinzufügen, verändern

Indirekte Ergebnismanipulation Manipulaiton des Wählerverzeichnisses

Verhindern der Wahl Zwischenergebnis berechnen

02.03.2004 21

5.2 Ehrliche Teilnehmer

Eigenschaften Wähler

Bewahren eigene Wahlentscheidung Übertragen das Identitätsmerkmal nicht

Wahlveranstalter Befolgen Vorgaben/Schutzmaßnahmen des

Systems Versuchen Angriffe aufzudecken

02.03.2004 22

5.3 Anforderungen

Systemanforderungen Abgeleitet von den Rechtsgrundlagen

Anforderungen an die Umgebung Müssen gelten, damit das System obige

Anforderungen erfüllt

02.03.2004 23

5.3.1 Systemanforderungen Allgemeine Wahl

Verfügbarkeit Verfügbarkeit des Wahlsystems Keine inkonsistenten Zustände Keine Systemausfall

Benutzerfreundlichkeit Zuverlässigkeit

Bei der Datenübtragung und Speicherung Der eingesetzten Infrastrukturen

Korrektheit Zählen aller Stimmen

02.03.2004 24

5.3.1 Systemanforderungen (2) Unmittelbare Wahl

Keine technischen Anforderungen

Freie Wahl Unerzwingbarkeit

Unbeobachtete Stimmabgabe ermöglichen Beinflussung im Vorfeld geheime Wahl

Stimmzettelgestaltung Ungültig Stimmabgabe ermöglichen

02.03.2004 25

5.3.1 Systemanforderungen (3)

Gleiche Wahl Authentifikation und Autentisierung

Eindeutige Authentifikation Authentifikationsmerkmal nicht übertragbar Eindeutige Wahlberechtigungsüberprüfung

Korrektheit Alle Stimmen genau einmal zählen

Integrität und Authentizität Bei Datenspeicherung und –übertragung Vor allem Stimmzettel fälschungssicher Angreifernachrichten erkennen

02.03.2004 26


Nichtvermehrbarkeit Keine Stimmzettelvervielfältigung Mehrfache Stimmabgabe ausgeschlossen

Stimmzettelgestaltung Gleicher Platz für alle Kandidaten

Rechnerschutz Unberechtigter Zugriff Sicherung vor Angriffen über das Internet

02.03.2004 27


Geheime Wahl Geheimhaltung

Nichtrückverfolgbarkeit Informationstheoretisch sicher

Unverkaufbarkeit Stimmabgabe für Käufer nicht prüfbar Eigene Entscheidung nicht beweisbar

Rechnerschutz Zugriffsrechte

Briefwahlen Distanzwahl als Ausnahme

02.03.2004 28

5.3.2 Umgebungsanforderungen

Angreifermächtigkeit Am Wahltag kryptographisch beschränkt Max. Zugriff auf eine Komponente

Wählerverhalten Nicht alle wählen das gleiche Nicht alle verschwören sich gegen einen

Verhalten der Organisatoren Sicherung vor Stromausfällen Einsatz sicherer Rechner Keine Zusammenarbeit zum Wahlbetrug

02.03.2004 29

6. Designentscheidungen

Rechtsgrundlagen




02.03.2004 30

6. Designentscheidungen

Ort der Stimmabgabe Methoden der Authentifizierung Kryptographische Primitive Ungültige Stimmabgabe Mehrfache Gewaltenteilung

02.03.2004 31

6.1 Ort der Stimmabgabe

Ausschließlich indivi-duelle InternetwahlDistanzwahl als

Ausnahme

statt Briefwahl indivi -duelle Internetwahl

Verfügbarkeit

Briefwahl und indivi-duelle Internetwahl

sichere Geräte

Internetwahl imWahllokal

02.03.2004 32

6.2 Authentifizierung

Wissen: PIN/TAN Einfach übertragbar

Persöhnliche Eigenschaften: Fingerabdruck Zu teuer Fehlende Technik

Besitz: digitale Signaturkarte Jobkarten und Infrastruktur vorhanden In Kombination mit PIN qualifiziert Nicht übertragbar, da Jobkarte Einsatz der CA (Gültigkeitsüberprüfung)

02.03.2004 33

6.3 Kryptographische Primitive

Verschlüsselung ist nicht ausreichend für unbegrenzte Geheimhaltung Asymmetrisch

(Problem: kryptographische Annahmen) Symmetrisch

One-Time-Pad (Problem: zufälliger, einmaliger Schlüssel)

Sonstige (Problem: kryptographische Annahmen)

MIXE : Kommunikation bis zum MIX Blinde Signaturen: Angreiferdefinition

02.03.2004 34

6.3 Kryptographische Primitive (2)

Zufälliges Auswählen Erste Stimmabgabe nur Speichern Zweite Stimmabgabe

Suche zufällig eines der beiden aus Verschicke diese Stimme Speichere andere Stimme

Wiederholung bei jeder Stimmabgabe „Nach“ Wahlende:

Stimme aus Speicher verschicken Informationstheoretisch sicher

02.03.2004 35

6.3 Kryptographische Primitive (3) Problem

Zwei letzten verschickten Voten gleich Aber

Nicht planbar Geringe Wahrscheinlichkeit Schwer beweisbar Votum eines beliebigen Wählers

Verbesserung Mehr als zwei Voten sammeln

Symmtrische Verschlüsselung wegen Zwischenergebnissen

02.03.2004 36

6.4 Ungültige Stimmabgabe

Textfeld Tastatur erforderlich Button

Andere Gestalt, aber eh Sende-Button Ungewollte ungültige Stimmabgabe

Zweifaches Bestätigen Hinweis

StimmzettelWählen Sie einen kandidaten,

um eine gültige Stimme abzugebenHans Müller (Öko1)

Christel Schmitt (Öko2)Carla Wagner (Öko1)

Ralf Hoffmann (Öko3)wählen

ungültige Stimme abbrechen

02.03.2004 37

6.5 Gewaltenteilung Wahlberechtigungsprüfung und Stim-

mensammlung trennen Sonst erreicht Angreifer all seine Ziele

Zwei Komponenten zur Wahlberechti-gungsprüfung Sonst Ergebnismanipulations möglich

Stimmsammlung und Stimmauszäh-lung trennen Sonst Zwischenergebnisse

Zwei Rechner pro Wahlkabine Sonst Wahlgeheimnis nicht sicher

02.03.2004 38

6.6 Design - Zusammenfassung

Internetwahl im Wahllokal Qualifizierte digitale Signatur Zufallsmechanismus zur Geheimhal-

tung Symmetrische Verschlüsselung wegen

Zwischenergebnissen Button zur ungültigen Stimmabgabe Gewaltenteilung an 4 Stellen

02.03.2004 39

Kaffee?

02.03.2004 40

7. Architektur und Protokolle

Rechtsgrundlagen




02.03.2004 41

7.1 Architektur

Server: RegServer CA UrnServer

Rechner: Controller RegPCs WahlPCs (VerPCs

Für herkömmlich/kombinierte Stimmabgabe)

RegServer

Sig

PIN

RegPC WahlPC

UrnServer

Controller

CA

02.03.2004 42

7.2 Protokolle

Registrierung Wählerzertifikatsüberprüfung:

Controller CA Initialisierung

Gültigkeitsüberprüfung der Komponen-tenzertifikate: KOMPONENTECA

Wahlstart-Nachricht mit zusätzlichen Infos: ControllerKOMPONENTE

Wahlvorgang Ergebnisberechnung

Wahlende-Nachricht

02.03.2004 43

7.2 Protokoll - Wahlvorgang

(1)Anfrage

(4)OK, Typ

(11)Hat gewählt

(11a)ACK

(2)Anfrage

(3)OK

RegServer

Sig

PIN ?

RegPC WahlPC

UrnServerCA

(10)Hat gewählt

(7)freischalten, Typ

(5)Anfrage

(6)OK

(12a) ACK

(12)Hat gewählt

(8) Typ

(9)Wahl-zettel

(13)Votum

(13a)ACK

Karte ?Bitte

warten

OK

WahlPC

Wahlberechtigungsprüfung Statusänderung Stimmabgabe Stimmensammlung

Stimm-

abgabe

abge-

schlossen

Karte

?

02.03.2004 44

Controller Aufgaben

Erzeugung des Wählerverzeichnis-ses

Erzeugen der Stimmzettel

Verteilen der Daten Ergebnisberechnung

Anforderungen Verfügbarkeit des

Wählerverzeichnisses sichern

Stimmzettelgestaltung beachten

Integrität/Authentizität Korrektheit/keine

Zwischenergebnisse

7.3 Komponentenanforderungen

02.03.2004 45


RegServer Aufgaben: Berechtigungsprüfung Anforderungen

Eindeutige Authentifikation Eindeutige Wahlberechtigungsüberprüfung Verfügbarkeit

CA Aufgaben: zusätzl. Zertifikatsüberprüfung Anforderungen: korrekte Überprüfung

02.03.2004 46


RegPC Aufgaben: Erfragen des Identifikations-

merkmals Anforderungen

Benutzerfreundlichkeit Verfügbarkeit

02.03.2004 47


WahlPC Aufgaben: Stimmabgabe Anforderungen

Benutzerfreundlichkeit Verfügbarkeit Nichtvermehrbarkeit (nur eine Stimme) Geheimhaltung Integrität und Authentizität bei Übertragung

02.03.2004 48


UrnServer Aufgaben:Stimmensammlung Anforderungen

Verfügbarkeit Nichtvermehrbarkeit Integrität Kein Zwischenergebnis

02.03.2004 49


Gesamtes System Anforderungen

Zuverlässigkeit (Datenverluste, Kommunikation mit Systemkomponente)

Integrität und Authentizität bei der Daten-übertragung

Rechnerschutz

02.03.2004 50

7.4 Übersichtallgemein frei gleich geheim

Control-ler

Verfügbarkeit,Korrektheit

Stimm-zettel

Stimmzettel, Korrekheit, Integrität,

Authentizität

RegSer-ver, CA

Verfügbarkeit Authentifi-kations,

Autorisierung

RegPC Verfügbarkeit, Benutzerfr.

WahlPC Verfügbarkeit, Benutzerfr.

Uner-zwingbar-

keit

Integrität, Authetizität,

Nichtvermehr.

Geheimhal-tung, Un-

verkaufbar

UrnSer-ver

Verfügbarkeit Nichtvermehr., Integrität

System Zuverlässigkeit Rechner-schutz

Integrität, Authentizität, Rechnerschutz

02.03.2004 51

7.5 Rückblick

Rechtsgrundlagen




02.03.2004 52

8. Angriffe / Bedrohungen

Daten bei der Übertragung verändern Signatur auf allen Nachrichten Komponentenschlüsselpaar/-zertifikat Signaturkartenlesegerät Öffentliche Schlüssel zur Verifikation

Nachrichten erzeugen Werden ignoriert Signatur nicht erzeugbar

02.03.2004 53

8. Angriffe / Bedrohungen (2)

Nachrichten wiederversenden (Replay) Pro Kommunikationspaar/ Protokollschritt:

Eindeutige Nummer Eindeutiges Format Datum, Empfänger, Sender

Nachrichten nur einmal weiterverarbeiten Nachrichten abfangen

Einzelne: Mechanismus zum Wiederverschicken Alle: Standleitung

02.03.2004 54


Mitlesen/ analysieren von Nachrichten Daten ausser Votum

Angreifer kennt Nachrichteninhalt Aber keine neue Information Nur wer wählt und welcher Stimmzettel

Votum wegen Zwischenergebnis Symmetrisch verschlüsselt

Wahlgeheimnis Zufallsmechanismus

02.03.2004 55

8. Angriffe / Bedrohungen (4) Zweifache Stimmabgabe

Signaturkarte und Personalausweis Eindeutiger Wählerstatus

Nach Wahlberechtigung Stimmzettel nur bis Stimmabgabe sichtbar

Gestohlene Signaturkarte Deaktivierung bei 3 falschen PIN-

Eingaben Serverausfälle

Back-Up-Server Denial-of-Service - IP und Ports geheim

02.03.2004 56


Rechnerzugriff Direkt

Passwortgeschütze Rechner und Server In verschlossenen Räumen Rechner in Panzerschränken

Über das Kommunikationsnetz Sichere Rechner Klare Schnittstelldefinition Alle Protokollschritte über extra Port Firewall-Mechanismus

02.03.2004 57


Zugriff auf eine der Komponenten Controller

Wählerverzeichnis Beschwerde Ergebnisberechnung geprüfte Software

RegServer Wähler ausschließen/ Unberechtigte

zulassen Widerspruch zur Berechtigung von CA

02.03.2004 58

8. Angriffe / Bedrohungen (7) CA

Wahlberechtigte ausschließen/ Unberech-tigte zulassen Widerspruch RegServer

Zertifikatsüberprüfung Anwort bei RegServer speichern

RegPC WahlPC freischalten ohne

Wahlberechtigung Kontrollmechanismus

02.03.2004 59

8. Angriffe / Bedrohungen (8) UrnServer (bzgl. Stimmen)

Hinzufügen Kontrollmechanimus Löschen Kontrollmechanimus Verändern Signatur Austauschen einmalige Zufallszahl

WahlPC Geheimhaltung Nachrichten Mitscannen Eigenes Votum verschicken externe

Signaturkomponente Voten ohne Freischaltung verschicken

Kontrollmechanimus

02.03.2004 60

9. Implementierung von SecVote

Java (2 SDK, JDK 1.3.1) IAIK – Kryptographie – Bibliothek

MySQL Zu Testzwecken: Linux und Windows Algorithmen

RSA mit SHA-1 zur Signatur X509-Zertifikate IDEA zur symmetrischen Verschlüsselung Pseudozufallsgenerator von SUN

02.03.2004 61


Programme + Dokumentation auf CD ToDo‘s:

Schnittstelle zu Signaturkartenlesegerät Schnittstelle zum sicheren Signiergerät Back-Up-Server Kleinigkeiten: GUI, Wahl der IPs/Ports,

Passwörter Sichere Rechner Lizenzen

02.03.2004 62


Vorführung des Programms Beispiel mit 3 Wählern Verschiedene Stimmabgaben

Gültige Stimme Ungültige Stimme Versuche einer zweifachen Stimmabgabe Abbruch des Wahlvorgangs

Ergebnisberechnung

02.03.2004 63

10. Zusammenfassung/Ausblick

Vorgehensweise Nach Basis-Methoden der Common

Criteria Besonderheiten

Unbegrenzte Sicherung des Votums Gewaltenteilung an vier Stellen Manipulation einer Komponente wird

akzeptiert Prototypisch umgesetzt (Open

Source)

02.03.2004 64

Fragen?

Vielen Dank!

Documents

Wahlprotokolls Entwicklung und prototypische Realisierung eines Wahlprotokolls für die Durchführung von Personalratswahlen Diplomarbeit von Melanie Volkamer