Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Wahlprotokolls Entwicklung und prototypische Realisierung eines Wahlprotokolls für die Durchführung von Personalratswahlen Diplomarbeit von Melanie Volkamer.

Ähnliche Präsentationen


Präsentation zum Thema: "Wahlprotokolls Entwicklung und prototypische Realisierung eines Wahlprotokolls für die Durchführung von Personalratswahlen Diplomarbeit von Melanie Volkamer."—  Präsentation transkript:

1 Wahlprotokolls Entwicklung und prototypische Realisierung eines Wahlprotokolls für die Durchführung von Personalratswahlen Diplomarbeit von Melanie Volkamer

2 2 Inhalt 1.Einleitung 2.Probleme und Lösungsvorschlag 3.Anwendungsfeld 4.Rechtsgrundlagen 5.Vertrauensmodell 6.Designentscheidung 7.Architektur und Protokolle 8.Angriffe/Bedrohungen 9.Implementierung von SecVote 10.Zusammenfassung und Ausblick

3 Einleitung Reformen in der Technik von Wahlen 1867 Reichswahlgesetz: allgemein (Frauen ab 1919), unmittelbar, geheim 1949 Grundgesetz: zusätzlich frei, gleich 1957 Briefwahl, 1975 Wahlgeräte E-Democracy/E-Government Seit Ende der 90er Internetwahlprojekte Immernoch aktuell: W.I.E.N., Internetwahlen ! Wir wollen x x

4 Klassifizierung elektronische Wahlsysteme Einsatz elektronischer Wahlgeräte Internetwahl- systeme Wahlen über andere Übertra- gungsmedien seit 1975 §35 BWG Standleitung Telefonleitung Def: Abwicklung einer Wahl über das Internet Internetwahl- systeme

5 Klassifizierung (2) kryptogr. Primitive asym. Ver- schlüsselung blinde Sig. MIXE usw. Internetwahl- systeme Ort der Stimmabgabe Wahllokal Wahlkiosk individuell (PC, mobile) Vertrauens- modell keiner einer mehreren (Instanzen vertrauen) Authenti- fizierung Wissen (PIN) Besitz (Sig.) pers. Eigen- schaften (Fin- gerabdruck)

6 Internetwahlprojekte Weltweit etwa 40 Internetwahlen Etwa die Hälfte verbindlich Meist individuell + PIN/TAN 15 Internetwahlen in Deutschland In Deutschland Wahlkreis 329/Forschungsgruppe Internetwahlen 10 durchgeführte Wahlen Meist bei Personal-/Betriebsratswahlen

7 Problematik (allgemein) Komplexität und Vielschichtigkeit Fächerübregreifend (IT, Jura, Soziologie) Authentizität Anonymität Unterschiedliche rechtliche Vorgaben Staaten / Anwendungsgebiet (Vereins- wahlen, Bundestagswahlen) Weitere Unterschiede Änderbarkeit der Wahlgesetze Motivation und Publicity des Angreifers Wählerzahlen und Kosten Gesetzl. Rahmenbedingungen fehlen

8 Problematik (konkret) Bisherigere Internetwahlsysteme Theoretische Ansätze aber unpraktikabel Systeme sind nicht rechtskonform Nicht-öffentliche Architekturen/Verfahren Keine Kriterien zur Verifikation Sehr geringe Akzeptanz Zu kostspielig Probleme teilweise erkannt und gelöst Gewaltenteilung Individulle Internetwahl

9 Lösungsvorschlag Vorgehensweise Rechtsvorlagen Anforderungen auf techn. Ebene Anforderungen auf Design-Ebene Komponentenanforderungen Architektur Gewaltenteilung Mechanismus zur unbegrenzten Sicherung des Wahlgeheimnisses Rechtsgrundlagen Sicherheitsanforderungen auf technischer Ebene Sicherheitsanforderungen auf Design-Ebene Komponentenanforderungen

10 Anwendungsfeld Beschäftigtengruppen Beamten Angestellte Arbeiter Bezirks-, Haupt-, Gesamtpersonalrat Bundespersonalvertretungsgesetz Einsatzumgebung 3 Stimmzettel

11 Anwendungsfeld (2) Einsatzumgebung Intranet PC mit Intranetanschluss am Arbeitsplatz mit dem Umgang vertraut Jobkarten (eCard – Initiative)

12 Rechtsgrundlagen Rechtsgrundlagen Sicherheitsanforderungen auf technischer Ebene Sicherheitsanforderungen auf Design-Ebene Komponentenanforderungen

13 Rechtsgrundlagen Grundgesetz (GG) 5 Wahlrechtsgrundätze Wahl der Abgeordneten des Deut- schen Bundestages Bundespersonalvertretungsgesetz (BPersVG) und zugehörige Wahlord- nung (BPersVWO) Artikel 38 [Wahlrechtsgrundsätze; Rechtsstellung der Abgeordneten] (1) Die Abgeordneten des Deutschen Bundestages werden in allgemeiner, unmittelbarer, freier, gleicher und geheimer Wahl gewählt.

14 Wahlrechtsgrundsätze allgemein: unmittelbar: frei: gleich: geheim: Gleichheit beim Zugang/ gleiche Voraussetzung Stimmen wirken direkt auf das Ergebnis; keine Mittelsmänner ohne Zwang/Druck/Beeinflussung und ungültige Stimmabgabe Zählwert- und Erfolgswertgleichheit Dauerhafte Sicherung des Wahl- geheimnisses unabhängig vom Fortschritt in Technik und Kryptographie

15 BPersVG und BPersVWO BPersVG Wahlen sind geheim und unmittelbar In der Normenhierachie dem GG untergeordnet 5 Wahlrechtsgrundsätze müssen erfüllt sein BPersVWO – Briefwahlen §17 Schriftliche Stimmabgabe: Einem wahlberechtigten Beschäftigten, der im Zeitpunkt der Wahl verhindert ist... Ausnahmeregelung

16 Mittagspause?

17 Vertrauensmodell Rechtsgrundlagen Sicherheitsanforderungen auf technischer Ebene Sicherheitsanforderungen auf Design-Ebene Komponentenanforderungen

18 Vertrauensmodell Ehrliche Teilnehmer Wähler Wahlveranstalter (Administratoren) Angreifer Wahlberechtigte Kandidaten Außenstehende Hersteller der Soft-/Hardware

19 Angreifer (Eigenschaften) Können Nachrichten Mitlesen Speichern Verändern Kryptographische Beschränktheit während der Wahl Finanziell beschränkt Keine Beeinflussung der Wähler in der Wahlkabine Erzeugen Löschen

20 Angreifer (Ziele) Brechen des Wahlgeheimnisses Eines bestimmten Wählers Beweisbar Direkte Ergebnismanipulation Votum löschen, hinzufügen, verändern Indirekte Ergebnismanipulation Manipulaiton des Wählerverzeichnisses Verhindern der Wahl Zwischenergebnis berechnen

21 Ehrliche Teilnehmer Eigenschaften Wähler Bewahren eigene Wahlentscheidung Übertragen das Identitätsmerkmal nicht Wahlveranstalter Befolgen Vorgaben/Schutzmaßnahmen des Systems Versuchen Angriffe aufzudecken

22 Anforderungen Systemanforderungen Abgeleitet von den Rechtsgrundlagen Anforderungen an die Umgebung Müssen gelten, damit das System obige Anforderungen erfüllt

23 Systemanforderungen Allgemeine Wahl Verfügbarkeit Verfügbarkeit des Wahlsystems Keine inkonsistenten Zustände Keine Systemausfall Benutzerfreundlichkeit Zuverlässigkeit Bei der Datenübtragung und Speicherung Der eingesetzten Infrastrukturen Korrektheit Zählen aller Stimmen

24 Systemanforderungen (2) Unmittelbare Wahl Keine technischen Anforderungen Freie Wahl Unerzwingbarkeit Unbeobachtete Stimmabgabe ermöglichen Beinflussung im Vorfeld geheime Wahl Stimmzettelgestaltung Ungültig Stimmabgabe ermöglichen

25 Systemanforderungen (3) Gleiche Wahl Authentifikation und Autentisierung Eindeutige Authentifikation Authentifikationsmerkmal nicht übertragbar Eindeutige Wahlberechtigungsüberprüfung Korrektheit Alle Stimmen genau einmal zählen Integrität und Authentizität Bei Datenspeicherung und –übertragung Vor allem Stimmzettel fälschungssicher Angreifernachrichten erkennen

26 Systemanforderungen (4) Nichtvermehrbarkeit Keine Stimmzettelvervielfältigung Mehrfache Stimmabgabe ausgeschlossen Stimmzettelgestaltung Gleicher Platz für alle Kandidaten Rechnerschutz Unberechtigter Zugriff Sicherung vor Angriffen über das Internet

27 Systemanforderungen (5) Geheime Wahl Geheimhaltung Nichtrückverfolgbarkeit Informationstheoretisch sicher Unverkaufbarkeit Stimmabgabe für Käufer nicht prüfbar Eigene Entscheidung nicht beweisbar Rechnerschutz Zugriffsrechte Briefwahlen Distanzwahl als Ausnahme

28 Umgebungsanforderungen Angreifermächtigkeit Am Wahltag kryptographisch beschränkt Max. Zugriff auf eine Komponente Wählerverhalten Nicht alle wählen das gleiche Nicht alle verschwören sich gegen einen Verhalten der Organisatoren Sicherung vor Stromausfällen Einsatz sicherer Rechner Keine Zusammenarbeit zum Wahlbetrug

29 Designentscheidungen Rechtsgrundlagen Sicherheitsanforderungen auf technischer Ebene Sicherheitsanforderungen auf Design-Ebene Komponentenanforderungen

30 Designentscheidungen Ort der Stimmabgabe Methoden der Authentifizierung Kryptographische Primitive Ungültige Stimmabgabe Mehrfache Gewaltenteilung

31 Ort der Stimmabgabe Ausschließlich indivi- duelle Internetwahl Distanzwahl als Ausnahme statt Briefwahl indivi - duelle Internetwahl Verfügbarkeit Briefwahl und indivi- duelle Internetwahl sichere Geräte Internetwahl im Wahllokal

32 Authentifizierung Wissen: PIN/TAN Einfach übertragbar Persöhnliche Eigenschaften: Fingerabdruck Zu teuer Fehlende Technik Besitz: digitale Signaturkarte Jobkarten und Infrastruktur vorhanden In Kombination mit PIN qualifiziert Nicht übertragbar, da Jobkarte Einsatz der CA (Gültigkeitsüberprüfung)

33 Kryptographische Primitive Verschlüsselung ist nicht ausreichend für unbegrenzte Geheimhaltung Asymmetrisch (Problem: kryptographische Annahmen) Symmetrisch One-Time-Pad (Problem: zufälliger, einmaliger Schlüssel) Sonstige (Problem: kryptographische Annahmen) MIXE : Kommunikation bis zum MIX Blinde Signaturen: Angreiferdefinition

34 Kryptographische Primitive (2) Zufälliges Auswählen Erste Stimmabgabe nur Speichern Zweite Stimmabgabe Suche zufällig eines der beiden aus Verschicke diese Stimme Speichere andere Stimme Wiederholung bei jeder Stimmabgabe Nach Wahlende: Stimme aus Speicher verschicken Informationstheoretisch sicher

35 Kryptographische Primitive (3) Problem Zwei letzten verschickten Voten gleich Aber Nicht planbar Geringe Wahrscheinlichkeit Schwer beweisbar Votum eines beliebigen Wählers Verbesserung Mehr als zwei Voten sammeln Symmtrische Verschlüsselung wegen Zwischenergebnissen

36 Ungültige Stimmabgabe Textfeld Tastatur erforderlich Button Andere Gestalt, aber eh Sende-Button Ungewollte ungültige Stimmabgabe Zweifaches Bestätigen Hinweis Stimmzettel Wählen Sie einen kandidaten, um eine gültige Stimme abzugeben Hans Müller (Öko1) Christel Schmitt (Öko2) Carla Wagner (Öko1) Ralf Hoffmann (Öko3) wählen ungültige Stimmeabbrechen

37 Gewaltenteilung Wahlberechtigungsprüfung und Stim- mensammlung trennen Sonst erreicht Angreifer all seine Ziele Zwei Komponenten zur Wahlberechti- gungsprüfung Sonst Ergebnismanipulations möglich Stimmsammlung und Stimmauszäh- lung trennen Sonst Zwischenergebnisse Zwei Rechner pro Wahlkabine Sonst Wahlgeheimnis nicht sicher

38 Design - Zusammenfassung Internetwahl im Wahllokal Qualifizierte digitale Signatur Zufallsmechanismus zur Geheimhal- tung Symmetrische Verschlüsselung wegen Zwischenergebnissen Button zur ungültigen Stimmabgabe Gewaltenteilung an 4 Stellen

39 Kaffee?

40 Architektur und Protokolle Rechtsgrundlagen Sicherheitsanforderungen auf technischer Ebene Sicherheitsanforderungen auf Design-Ebene Komponentenanforderungen

41 Architektur Server: RegServer CA UrnServer Rechner: Controller RegPCs WahlPCs (VerPCs Für herkömmlich/kombinierte Stimmabgabe)

42 Protokolle Registrierung Wählerzertifikatsüberprüfung: Controller CA Initialisierung Gültigkeitsüberprüfung der Komponen- tenzertifikate: KOMPONENTE CA Wahlstart-Nachricht mit zusätzlichen Infos: Controller KOMPONENTE Wahlvorgang Ergebnisberechnung Wahlende-Nachricht

43 Protokoll - Wahlvorgang (1)Anfrage (4)OK, Typ (11)Hat gewählt (11a)ACK (2)Anfrage (3)OK RegServer Sig PIN ? RegPCWahlPC UrnServer CA (10)Hat gewählt (7)freischalten, Typ (5) Anfrage (6) OK (12a) ACK (12)Hat gewählt (8) Typ (9) Wahl- zettel (13)Votum (13a)ACK Karte ? Bitte warten OK WahlPC Wahlberechtigungsprüfung Statusänderung Stimmabgabe Stimmensammlung Stimm- abgabe abge- schlossen Karte ?

44 Controller Aufgaben Erzeugung des Wählerverzeichnis- ses Erzeugen der Stimmzettel Verteilen der Daten Ergebnisberechnung Anforderungen Verfügbarkeit des Wählerverzeichnisses sichern Stimmzettelgestaltung beachten Integrität/Authentizität Korrektheit/keine Zwischenergebnisse 7.3 Komponentenanforderungen

45 Komponentenanforderungen RegServer Aufgaben: Berechtigungsprüfung Anforderungen Eindeutige Authentifikation Eindeutige Wahlberechtigungsüberprüfung Verfügbarkeit CA Aufgaben: zusätzl. Zertifikatsüberprüfung Anforderungen: korrekte Überprüfung

46 Komponentenanforderungen RegPC Aufgaben: Erfragen des Identifikations- merkmals Anforderungen Benutzerfreundlichkeit Verfügbarkeit

47 Komponentenanforderungen WahlPC Aufgaben: Stimmabgabe Anforderungen Benutzerfreundlichkeit Verfügbarkeit Nichtvermehrbarkeit (nur eine Stimme) Geheimhaltung Integrität und Authentizität bei Übertragung

48 Komponentenanforderungen UrnServer Aufgaben:Stimmensammlung Anforderungen Verfügbarkeit Nichtvermehrbarkeit Integrität Kein Zwischenergebnis

49 Komponentenanforderungen Gesamtes System Anforderungen Zuverlässigkeit (Datenverluste, Kommunikation mit Systemkomponente) Integrität und Authentizität bei der Daten- übertragung Rechnerschutz

50 Übersicht allgemeinfreigleichgeheim Control- ler Verfügbarkeit, Korrektheit Stimm- zettel Stimmzettel, Korrekheit, Integrität, Authentizität RegSer- ver, CA VerfügbarkeitAuthentifi- kations, Autorisierung RegPCVerfügbarkeit, Benutzerfr. WahlPCVerfügbarkeit, Benutzerfr. Uner- zwingbar- keit Integrität, Authetizität, Nichtvermehr. Geheimhal- tung, Un- verkaufbar UrnSer- ver VerfügbarkeitNichtvermehr., Integrität SystemZuverlässigkeitRechner- schutz Integrität, Authentizität, Rechnerschutz

51 Rückblick Rechtsgrundlagen Sicherheitsanforderungen auf technischer Ebene Sicherheitsanforderungen auf Design-Ebene Komponentenanforderungen

52 Angriffe / Bedrohungen Daten bei der Übertragung verändern Signatur auf allen Nachrichten Komponentenschlüsselpaar/-zertifikat Signaturkartenlesegerät Öffentliche Schlüssel zur Verifikation Nachrichten erzeugen Werden ignoriert Signatur nicht erzeugbar

53 Angriffe / Bedrohungen (2) Nachrichten wiederversenden (Replay) Pro Kommunikationspaar/ Protokollschritt: Eindeutige Nummer Eindeutiges Format Datum, Empfänger, Sender Nachrichten nur einmal weiterverarbeiten Nachrichten abfangen Einzelne: Mechanismus zum Wiederverschicken Alle: Standleitung

54 Angriffe / Bedrohungen (3) Mitlesen/ analysieren von Nachrichten Daten ausser Votum Angreifer kennt Nachrichteninhalt Aber keine neue Information Nur wer wählt und welcher Stimmzettel Votum wegen Zwischenergebnis Symmetrisch verschlüsselt Wahlgeheimnis Zufallsmechanismus

55 Angriffe / Bedrohungen (4) Zweifache Stimmabgabe Signaturkarte und Personalausweis Eindeutiger Wählerstatus Nach Wahlberechtigung Stimmzettel nur bis Stimmabgabe sichtbar Gestohlene Signaturkarte Deaktivierung bei 3 falschen PIN- Eingaben Serverausfälle Back-Up-Server Denial-of-Service - IP und Ports geheim

56 Angriffe / Bedrohungen (5) Rechnerzugriff Direkt Passwortgeschütze Rechner und Server In verschlossenen Räumen Rechner in Panzerschränken Über das Kommunikationsnetz Sichere Rechner Klare Schnittstelldefinition Alle Protokollschritte über extra Port Firewall-Mechanismus

57 Angriffe / Bedrohungen (6) Zugriff auf eine der Komponenten Controller Wählerverzeichnis Beschwerde Ergebnisberechnung geprüfte Software RegServer Wähler ausschließen/ Unberechtigte zulassen Widerspruch zur Berechtigung von CA

58 Angriffe / Bedrohungen (7) CA Wahlberechtigte ausschließen/ Unberech- tigte zulassen Widerspruch RegServer Zertifikatsüberprüfung Anwort bei RegServer speichern RegPC WahlPC freischalten ohne Wahlberechtigung Kontrollmechanismus

59 Angriffe / Bedrohungen (8) UrnServer (bzgl. Stimmen) Hinzufügen Kontrollmechanimus Löschen Kontrollmechanimus Verändern Signatur Austauschen einmalige Zufallszahl WahlPC Geheimhaltung Nachrichten Mitscannen Eigenes Votum verschicken externe Signaturkomponente Voten ohne Freischaltung verschicken Kontrollmechanimus

60 Implementierung von SecVote Java (2 SDK, JDK 1.3.1) IAIK – Kryptographie – Bibliothek MySQL Zu Testzwecken: Linux und Windows Algorithmen RSA mit SHA-1 zur Signatur X509-Zertifikate IDEA zur symmetrischen Verschlüsselung Pseudozufallsgenerator von SUN

61 Implementierung von SecVote Programme + Dokumentation auf CD ToDos: Schnittstelle zu Signaturkartenlesegerät Schnittstelle zum sicheren Signiergerät Back-Up-Server Kleinigkeiten: GUI, Wahl der IPs/Ports, Passwörter Sichere Rechner Lizenzen

62 Implementierung von SecVote Vorführung des Programms Beispiel mit 3 Wählern Verschiedene Stimmabgaben Gültige Stimme Ungültige Stimme Versuche einer zweifachen Stimmabgabe Abbruch des Wahlvorgangs Ergebnisberechnung

63 Zusammenfassung/Ausblick Vorgehensweise Nach Basis-Methoden der Common Criteria Besonderheiten Unbegrenzte Sicherung des Votums Gewaltenteilung an vier Stellen Manipulation einer Komponente wird akzeptiert Prototypisch umgesetzt (Open Source)

64 Fragen? Vielen Dank!


Herunterladen ppt "Wahlprotokolls Entwicklung und prototypische Realisierung eines Wahlprotokolls für die Durchführung von Personalratswahlen Diplomarbeit von Melanie Volkamer."

Ähnliche Präsentationen


Google-Anzeigen