Diplomarbeit von Melanie Volkamer 02.03.2004 Entwicklung und prototypische Realisierung eines Wahlprotokolls für die Durchführung von Personalratswahlen Diplomarbeit von Melanie Volkamer 02.03.2004 Entwicklung eines Internetwahlsystems für Personalratswahlen, also ein Wahlsystem, mit dem die nächsten Personalratswahlen über das Internetabgewickelt werden können. (Def. IW)

Inhalt Einleitung Probleme und Lösungsvorschlag Anwendungsfeld Rechtsgrundlagen Vertrauensmodell Designentscheidung Architektur und Protokolle Angriffe/Bedrohungen Implementierung von SecVote Zusammenfassung und Ausblick 02.03.2004

1. Einleitung Reformen in der Technik von Wahlen 1867 Reichswahlgesetz: allgemein (Frauen ab 1919), unmittelbar, geheim 1949 Grundgesetz: zusätzlich frei, gleich 1957 Briefwahl, 1975 Wahlgeräte E-Democracy/E-Government Seit Ende der 90er Internetwahlprojekte Immernoch aktuell: W.I.E.N., Internetwahlen ! Wir wollen x E-Government mehr Verwaltungsabläufe Idee schon vor der Etablierung des Internets, 1981 chaum: Untreacable mail.... 02.03.2004

1.1 Klassifizierung elektronische Wahlsysteme Einsatz elektronischer Wahlgeräte Internetwahl-systeme Wahlen über andere Übertra-gungsmedien seit 1975 §35 BWG Standleitung Telefonleitung Def: Abwicklung einer Wahl über das Internet Internetwahl-systeme BWG = Bundeswahlgesetz 02.03.2004

Internetwahl-systeme 1.1 Klassifizierung (2) Internetwahl-systeme Ort der Stimmabgabe Wahllokal Wahlkiosk individuell (PC, mobile) Vertrauens-modell keiner einer mehreren (Instanzen vertrauen) Authenti-fizierung Wissen (PIN) Besitz (Sig.) pers. Eigen- schaften (Fin-gerabdruck) kryptogr. Primitive asym. Ver-schlüsselung blinde Sig. MIXE usw. Wahllokal freie Wahl des Wahllokals Kioskwahl = Wahllokal bei Personalratswahlen Testwahlcharakter und Alternative 02.03.2004

1.2 Internetwahlprojekte Weltweit etwa 40 Internetwahlen Etwa die Hälfte verbindlich Meist „individuell“ + PIN/TAN 15 Internetwahlen in Deutschland In Deutschland Wahlkreis 329/Forschungsgruppe Internetwahlen 10 durchgeführte Wahlen Meist bei Personal-/Betriebsratswahlen Erste rechtsgültige IW wurde von Forschungsgruppe Internetwahlen im Feb. 2000 bei den Wahlen des Studentenparalamentes an der Universität Osnabrück durchgeführt. Gründer: Prof. Dr. Otten 02.03.2004

2. Problematik (allgemein) Komplexität und Vielschichtigkeit Fächerübregreifend (IT, Jura, Soziologie) Authentizität  Anonymität Unterschiedliche rechtliche Vorgaben Staaten / Anwendungsgebiet (Vereins-wahlen, Bundestagswahlen) Weitere Unterschiede Änderbarkeit der Wahlgesetze Motivation und Publicity des Angreifers Wählerzahlen und Kosten Gesetzl. Rahmenbedingungen fehlen 02.03.2004

2. Problematik (konkret) Bisherigere Internetwahlsysteme Theoretische Ansätze aber unpraktikabel Systeme sind nicht rechtskonform Nicht-öffentliche Architekturen/Verfahren Keine Kriterien zur Verifikation Sehr geringe Akzeptanz Zu kostspielig Probleme teilweise erkannt und gelöst Gewaltenteilung Individulle Internetwahl Zu kostspielig : extra geräte, betreibssystem, ballot receipt,... 02.03.2004

2. Lösungsvorschlag Vorgehensweise Architektur  Gewaltenteilung Rechtsvorlagen  Anforderungen auf techn. Ebene  Anforderungen auf Design-Ebene  Komponentenanforderungen Architektur  Gewaltenteilung Mechanismus zur unbegrenzten Sicherung des Wahlgeheimnisses Rechtsgrundlagen Sicherheitsanforderungen auf technischer Ebene Sicherheitsanforderungen auf Design-Ebene Komponentenanforderungen 02.03.2004

3. Anwendungsfeld Beschäftigtengruppen Beamten Angestellte Arbeiter Bezirks-, Haupt-, Gesamtpersonalrat Bundespersonalvertretungsgesetz Einsatzumgebung 3 Stimmzettel 02.03.2004

3. Anwendungsfeld (2) Einsatzumgebung Intranet PC mit Intranetanschluss am Arbeitsplatz  mit dem Umgang vertraut Jobkarten (eCard – Initiative) eCards Als Ziel des aktionsprogrammes „Informationsgesellschaft Deutschland 2006“ 02.03.2004

4. Rechtsgrundlagen Rechtsgrundlagen Sicherheitsanforderungen auf technischer Ebene Sicherheitsanforderungen auf Design-Ebene Komponentenanforderungen 02.03.2004

4. Rechtsgrundlagen Grundgesetz (GG)  5 Wahlrechtsgrundätze Wahl der Abgeordneten des Deut-schen Bundestages Bundespersonalvertretungsgesetz (BPersVG) und zugehörige Wahlord-nung (BPersVWO) Artikel 38 [Wahlrechtsgrundsätze; Rechtsstellung der Abgeordneten] (1) Die Abgeordneten des Deutschen Bundestages werden in allgemeiner, unmittelbarer, freier, gleicher und geheimer Wahl gewählt. 02.03.2004

4.1 Wahlrechtsgrundsätze allgemein: unmittelbar: frei: gleich: geheim: Gleichheit beim Zugang/ gleiche Voraussetzung Stimmen wirken direkt auf das Ergebnis; keine Mittelsmänner ohne Zwang/Druck/Beeinflussung und ungültige Stimmabgabe Zählwert- und Erfolgswertgleichheit Dauerhafte Sicherung des Wahl- geheimnisses Gleiche: aktiv und passiv unabhängig vom Fortschritt in Technik und Kryptographie 02.03.2004

4.2 BPersVG und BPersVWO BPersVG BPersVWO – Briefwahlen Wahlen sind geheim und unmittelbar In der Normenhierachie dem GG untergeordnet  5 Wahlrechtsgrundsätze müssen erfüllt sein BPersVWO – Briefwahlen §17 Schriftliche Stimmabgabe: „Einem wahlberechtigten Beschäftigten, der im Zeitpunkt der Wahl verhindert ist ...“ Ausnahmeregelung 02.03.2004

Mittagspause? eCards Als Ziel des aktionsprogrammes „Informationsgesellschaft Deutschland 2006“ 02.03.2004

5. Vertrauensmodell Rechtsgrundlagen Sicherheitsanforderungen auf technischer Ebene Sicherheitsanforderungen auf Design-Ebene Komponentenanforderungen 02.03.2004

5. Vertrauensmodell Ehrliche Teilnehmer Angreifer Wähler Wahlveranstalter (Administratoren) Angreifer Wahlberechtigte Kandidaten Außenstehende Hersteller der Soft-/Hardware 02.03.2004

5.1 Angreifer (Eigenschaften) Können Nachrichten Mitlesen Speichern Verändern Kryptographische Beschränktheit während der Wahl Finanziell beschränkt Keine Beeinflussung der Wähler in der Wahlkabine Erzeugen Löschen Kein Chipanalyselabor 02.03.2004

5.1 Angreifer (Ziele) Brechen des Wahlgeheimnisses Eines bestimmten Wählers Beweisbar Direkte Ergebnismanipulation Votum löschen, hinzufügen, verändern Indirekte Ergebnismanipulation Manipulaiton des Wählerverzeichnisses Verhindern der Wahl Zwischenergebnis berechnen Kein Chipanalyselabor Manipulation des Wählerverzeichnisses: unberechtigter Ausschluss berechtigter und zulassen unberechtigter 02.03.2004

5.2 Ehrliche Teilnehmer Eigenschaften Wähler Wahlveranstalter Bewahren eigene Wahlentscheidung Übertragen das Identitätsmerkmal nicht Wahlveranstalter Befolgen Vorgaben/Schutzmaßnahmen des Systems Versuchen Angriffe aufzudecken Admins sind im prinzip Wahlveranstalter. 02.03.2004

5.3 Anforderungen Systemanforderungen Anforderungen an die Umgebung Abgeleitet von den Rechtsgrundlagen Anforderungen an die Umgebung Müssen gelten, damit das System obige Anforderungen erfüllt Müssen gelten... Wie bei allen technischen Systeme 02.03.2004

5.3.1 Systemanforderungen Allgemeine Wahl Verfügbarkeit Verfügbarkeit des Wahlsystems Keine inkonsistenten Zustände Keine Systemausfall Benutzerfreundlichkeit Zuverlässigkeit Bei der Datenübtragung und Speicherung Der eingesetzten Infrastrukturen Korrektheit Zählen aller Stimmen Müssen gelten... Wie bei allen technischen Systeme 02.03.2004

5.3.1 Systemanforderungen (2) Unmittelbare Wahl Keine technischen Anforderungen Freie Wahl Unerzwingbarkeit Unbeobachtete Stimmabgabe ermöglichen Beinflussung im Vorfeld geheime Wahl Stimmzettelgestaltung Ungültig Stimmabgabe ermöglichen Müssen gelten... Wie bei allen technischen Systeme 02.03.2004

5.3.1 Systemanforderungen (3) Gleiche Wahl Authentifikation und Autentisierung Eindeutige Authentifikation Authentifikationsmerkmal nicht übertragbar Eindeutige Wahlberechtigungsüberprüfung Korrektheit Alle Stimmen genau einmal zählen Integrität und Authentizität Bei Datenspeicherung und –übertragung Vor allem Stimmzettel fälschungssicher Angreifernachrichten erkennen Müssen gelten... Wie bei allen technischen Systeme 02.03.2004

5.3.1 Systemanforderungen (4) Nichtvermehrbarkeit Keine Stimmzettelvervielfältigung Mehrfache Stimmabgabe ausgeschlossen Stimmzettelgestaltung Gleicher Platz für alle Kandidaten Rechnerschutz Unberechtigter Zugriff Sicherung vor Angriffen über das Internet Müssen gelten... Wie bei allen technischen Systeme 02.03.2004

5.3.1 Systemanforderungen (5) Geheime Wahl Geheimhaltung Nichtrückverfolgbarkeit Informationstheoretisch sicher Unverkaufbarkeit Stimmabgabe für Käufer nicht prüfbar Eigene Entscheidung nicht beweisbar Rechnerschutz Zugriffsrechte Briefwahlen Distanzwahl als Ausnahme Müssen gelten... Wie bei allen technischen Systeme 02.03.2004

5.3.2 Umgebungsanforderungen Angreifermächtigkeit Am Wahltag kryptographisch beschränkt Max. Zugriff auf eine Komponente Wählerverhalten Nicht alle wählen das gleiche Nicht alle verschwören sich gegen einen Verhalten der Organisatoren Sicherung vor Stromausfällen Einsatz sicherer Rechner Keine Zusammenarbeit zum Wahlbetrug Müssen gelten... Wie bei allen technischen Systeme 02.03.2004

6. Designentscheidungen Rechtsgrundlagen Sicherheitsanforderungen auf technischer Ebene Sicherheitsanforderungen auf Design-Ebene Komponentenanforderungen 02.03.2004

6. Designentscheidungen Ort der Stimmabgabe Methoden der Authentifizierung Kryptographische Primitive Ungültige Stimmabgabe Mehrfache Gewaltenteilung 02.03.2004

6.1 Ort der Stimmabgabe Ausschließlich indivi- duelle Internetwahl Distanzwahl als Ausnahme statt Briefwahl indivi - duelle Internetwahl Verfügbarkeit Briefwahl und indivi- duelle Internetwahl Sichere Geräte, wahlbetriebssystem, von CD booten,... Aber zur zeit noch nicht vorhanden. sichere Geräte Internetwahl im Wahllokal 02.03.2004

6.2 Authentifizierung Wissen: PIN/TAN Einfach übertragbar Persöhnliche Eigenschaften: Fingerabdruck Zu teuer Fehlende Technik Besitz: digitale Signaturkarte Jobkarten und Infrastruktur vorhanden In Kombination mit PIN qualifiziert Nicht übertragbar, da Jobkarte Einsatz der CA (Gültigkeitsüberprüfung) 02.03.2004

6.3 Kryptographische Primitive Verschlüsselung ist nicht ausreichend für unbegrenzte Geheimhaltung Asymmetrisch (Problem: kryptographische Annahmen) Symmetrisch One-Time-Pad (Problem: zufälliger, einmaliger Schlüssel) Sonstige MIXE : Kommunikation bis zum MIX Blinde Signaturen: Angreiferdefinition 02.03.2004

6.3 Kryptographische Primitive (2) Zufälliges Auswählen Erste Stimmabgabe nur Speichern Zweite Stimmabgabe Suche zufällig eines der beiden aus Verschicke diese Stimme Speichere andere Stimme Wiederholung bei jeder Stimmabgabe „Nach“ Wahlende: Stimme aus Speicher verschicken Informationstheoretisch sicher 02.03.2004

6.3 Kryptographische Primitive (3) Problem Zwei letzten verschickten Voten gleich Aber Nicht planbar Geringe Wahrscheinlichkeit Schwer beweisbar Votum eines beliebigen Wählers Verbesserung Mehr als zwei Voten sammeln Symmtrische Verschlüsselung wegen Zwischenergebnissen 02.03.2004

6.4 Ungültige Stimmabgabe Textfeld  Tastatur erforderlich Button Andere Gestalt, aber eh Sende-Button Ungewollte ungültige Stimmabgabe Zweifaches Bestätigen Hinweis Stimmzettel Wählen Sie einen kandidaten, um eine gültige Stimme abzugeben Hans Müller (Öko1) Christel Schmitt (Öko2) Carla Wagner (Öko1) Ralf Hoffmann (Öko3) wählen ungültige Stimme abbrechen 02.03.2004

6.5 Gewaltenteilung Wahlberechtigungsprüfung und Stim-mensammlung trennen Sonst erreicht Angreifer all seine Ziele Zwei Komponenten zur Wahlberechti-gungsprüfung Sonst Ergebnismanipulations möglich Stimmsammlung und Stimmauszäh-lung trennen Sonst Zwischenergebnisse Zwei Rechner pro Wahlkabine Sonst Wahlgeheimnis nicht sicher 02.03.2004

6.6 Design - Zusammenfassung Internetwahl im Wahllokal Qualifizierte digitale Signatur Zufallsmechanismus zur Geheimhal-tung Symmetrische Verschlüsselung wegen Zwischenergebnissen Button zur ungültigen Stimmabgabe Gewaltenteilung an 4 Stellen 02.03.2004

Kaffee? eCards Als Ziel des aktionsprogrammes „Informationsgesellschaft Deutschland 2006“ 02.03.2004

7. Architektur und Protokolle Rechtsgrundlagen Sicherheitsanforderungen auf technischer Ebene Sicherheitsanforderungen auf Design-Ebene Komponentenanforderungen 02.03.2004

7.1 Architektur Server: Rechner: RegServer CA UrnServer Controller RegPCs WahlPCs (VerPCs Für herkömmlich/kombinierte Stimmabgabe) RegServer Sig PIN RegPC WahlPC UrnServer Controller CA Welche Geräte für was zuständig 02.03.2004

7.2 Protokolle Registrierung Initialisierung Wahlvorgang Wählerzertifikatsüberprüfung: Controller CA Initialisierung Gültigkeitsüberprüfung der Komponen-tenzertifikate: KOMPONENTECA Wahlstart-Nachricht mit zusätzlichen Infos: ControllerKOMPONENTE Wahlvorgang Ergebnisberechnung Wahlende-Nachricht Was tun die komponenten nach erhalt der nachricht 02.03.2004

7.2 Protokoll - Wahlvorgang Stimmensammlung Stimmabgabe Statusänderung Wahlberechtigungsprüfung (2)Anfrage (3)OK RegServer CA UrnServer (13a)ACK (12)Hat gewählt (13)Votum (12a) ACK (4)OK, Typ (11)Hat gewählt (5) Anfrage (8) Typ (9) Wahl- zettel (1)Anfrage (11a)ACK (6) OK Wahlvorgang als eine der sechs Grundprozesse: Was tun die komponenten nach erhalt der nachricht abge- schlossen Karte ? OK WahlPC Bitte warten Karte ? Stimm- abgabe PIN ? (10)Hat gewählt (7)freischalten, Typ Sig RegPC WahlPC 02.03.2004

7.3 Komponentenanforderungen Controller Aufgaben Erzeugung des Wählerverzeichnis-ses Erzeugen der Stimmzettel Verteilen der Daten Ergebnisberechnung Anforderungen Verfügbarkeit des Wählerverzeichnisses sichern Stimmzettelgestaltung beachten Integrität/Authentizität Korrektheit/keine Zwischenergebnisse Was tun die komponenten nach erhalt der nachricht 02.03.2004

7.3 Komponentenanforderungen RegServer Aufgaben: Berechtigungsprüfung Anforderungen Eindeutige Authentifikation Eindeutige Wahlberechtigungsüberprüfung Verfügbarkeit CA Aufgaben: zusätzl. Zertifikatsüberprüfung Anforderungen: korrekte Überprüfung 02.03.2004

7.3 Komponentenanforderungen RegPC Aufgaben: Erfragen des Identifikations-merkmals Anforderungen Benutzerfreundlichkeit Verfügbarkeit Was tun die komponenten nach erhalt der nachricht 02.03.2004

7.3 Komponentenanforderungen WahlPC Aufgaben: Stimmabgabe Anforderungen Benutzerfreundlichkeit Verfügbarkeit Nichtvermehrbarkeit (nur eine Stimme) Geheimhaltung Integrität und Authentizität bei Übertragung Was tun die komponenten nach erhalt der nachricht 02.03.2004

7.3 Komponentenanforderungen UrnServer Aufgaben:Stimmensammlung Anforderungen Verfügbarkeit Nichtvermehrbarkeit Integrität Kein Zwischenergebnis Was tun die komponenten nach erhalt der nachricht 02.03.2004

7.3 Komponentenanforderungen Gesamtes System Anforderungen Zuverlässigkeit (Datenverluste, Kommunikation mit Systemkomponente) Integrität und Authentizität bei der Daten-übertragung Rechnerschutz Was tun die komponenten nach erhalt der nachricht 02.03.2004

7.4 Übersicht allgemein frei gleich geheim Control-ler Verfügbarkeit, Korrektheit Stimm-zettel Stimmzettel, Korrekheit, Integrität, Authentizität RegSer-ver, CA Verfügbarkeit Authentifi-kations, Autorisierung RegPC Verfügbarkeit, Benutzerfr. WahlPC Uner-zwingbar-keit Integrität, Authetizität, Nichtvermehr. Geheimhal-tung, Un-verkaufbar UrnSer-ver Nichtvermehr., Integrität System Zuverlässigkeit Rechner-schutz Integrität, Authentizität, Rechnerschutz Was tun die komponenten nach erhalt der nachricht 02.03.2004

7.5 Rückblick Rechtsgrundlagen Sicherheitsanforderungen auf technischer Ebene Sicherheitsanforderungen auf Design-Ebene Komponentenanforderungen 02.03.2004

8. Angriffe / Bedrohungen Daten bei der Übertragung verändern Signatur auf allen Nachrichten Komponentenschlüsselpaar/-zertifikat Signaturkartenlesegerät Öffentliche Schlüssel zur Verifikation Nachrichten erzeugen Werden ignoriert Signatur nicht erzeugbar Was tun die komponenten nach erhalt der nachricht 02.03.2004

8. Angriffe / Bedrohungen (2) Nachrichten wiederversenden (Replay) Pro Kommunikationspaar/ Protokollschritt: Eindeutige Nummer Eindeutiges Format Datum, Empfänger, Sender Nachrichten nur einmal weiterverarbeiten Nachrichten abfangen Einzelne: Mechanismus zum Wiederverschicken Alle: Standleitung Was tun die komponenten nach erhalt der nachricht 02.03.2004

8. Angriffe / Bedrohungen (3) Mitlesen/ analysieren von Nachrichten Daten ausser Votum Angreifer kennt Nachrichteninhalt Aber keine neue Information Nur wer wählt und welcher Stimmzettel Votum wegen Zwischenergebnis Symmetrisch verschlüsselt Wahlgeheimnis Zufallsmechanismus Was tun die komponenten nach erhalt der nachricht 02.03.2004

8. Angriffe / Bedrohungen (4) Zweifache Stimmabgabe Signaturkarte und Personalausweis Eindeutiger Wählerstatus Nach Wahlberechtigung Stimmzettel nur bis Stimmabgabe sichtbar Gestohlene Signaturkarte Deaktivierung bei 3 falschen PIN-Eingaben Serverausfälle Back-Up-Server Denial-of-Service - IP und Ports geheim Was tun die komponenten nach erhalt der nachricht 02.03.2004

8. Angriffe / Bedrohungen (5) Rechnerzugriff Direkt Passwortgeschütze Rechner und Server In verschlossenen Räumen Rechner in Panzerschränken Über das Kommunikationsnetz Sichere Rechner Klare Schnittstelldefinition Alle Protokollschritte über extra Port Firewall-Mechanismus PWD secret sharimg 02.03.2004

8. Angriffe / Bedrohungen (6) Zugriff auf eine der Komponenten Controller Wählerverzeichnis  Beschwerde Ergebnisberechnung  geprüfte Software RegServer Wähler ausschließen/ Unberechtigte zulassen  Widerspruch zur Berechtigung von CA Abgleich der wählerverzeichnisse 02.03.2004

8. Angriffe / Bedrohungen (7) CA Wahlberechtigte ausschließen/ Unberech-tigte zulassen  Widerspruch RegServer Zertifikatsüberprüfung  Anwort bei RegServer speichern RegPC WahlPC freischalten ohne Wahlberechtigung  Kontrollmechanismus Abgleich der wählerverzeichnisse 02.03.2004

8. Angriffe / Bedrohungen (8) UrnServer (bzgl. Stimmen) Hinzufügen  Kontrollmechanimus Löschen  Kontrollmechanimus Verändern  Signatur Austauschen  einmalige Zufallszahl WahlPC Geheimhaltung  Nachrichten Mitscannen Eigenes Votum verschicken  externe Signaturkomponente Voten ohne Freischaltung verschicken  Kontrollmechanimus Was tun die komponenten nach erhalt der nachricht 02.03.2004

9. Implementierung von SecVote Java (2 SDK, JDK 1.3.1) IAIK – Kryptographie – Bibliothek MySQL Zu Testzwecken: Linux und Windows Algorithmen RSA mit SHA-1 zur Signatur X509-Zertifikate IDEA zur symmetrischen Verschlüsselung Pseudozufallsgenerator von SUN 02.03.2004

9. Implementierung von SecVote Programme + Dokumentation auf CD ToDo‘s: Schnittstelle zu Signaturkartenlesegerät Schnittstelle zum sicheren Signiergerät Back-Up-Server Kleinigkeiten: GUI, Wahl der IPs/Ports, Passwörter Sichere Rechner Lizenzen PWD – Secret Sharing. Datenträger automatisch erzeugen 02.03.2004

9. Implementierung von SecVote Vorführung des Programms Beispiel mit 3 Wählern Verschiedene Stimmabgaben Gültige Stimme Ungültige Stimme Versuche einer zweifachen Stimmabgabe Abbruch des Wahlvorgangs Ergebnisberechnung PWD – Secret Sharing. Datenträger automatisch erzeugen 02.03.2004

10. Zusammenfassung/Ausblick Vorgehensweise Nach Basis-Methoden der Common Criteria Besonderheiten Unbegrenzte Sicherung des Votums Gewaltenteilung an vier Stellen Manipulation einer Komponente wird akzeptiert Prototypisch umgesetzt (Open Source) Gezeigt wie ein System zu entwickeln ist 02.03.2004

Fragen? Vielen Dank! 02.03.2004