Anforderungskataloge für Online-Wahlen Physikalisch-Technische Bundesanstalt Deutsches Forschungszentrum für Künstliche Intelligenz Anforderungskataloge für Online-Wahlen Melanie Volkamer, Nils Meißner

Übersicht Bundeswahlgeräteverordnung Cybervote Anforderungsanalyse (Network) Voting System Standards Schweizer Gesetzesverordnung Anforderungskatalog der AG IEEE Standard Europaratsempfehlung Weitere Kataloge: Dissertation von M. Schliffni Dissertation von R. Mercuri Voting System Requirements (Safevote) Notwendige technische Anforderungen von P. Wilm Diplomarbeit (M. Volkamer) Anforderungs-katalog der AG Anforderungs- katalog der GI

Anforderungskataloge (2) Bundeswahlgeräteverordnung Seit 1975 sind in Deutschland mechanische, später elektronische stand-alone Wahlmaschinen erlaubt Richtlinien der BWahlGV = Anforderungskatalog für diese Geräte Cybervote Anforderungsanalyse Von der EU-Kommission gefördertes Projekt Thema Sichere und geheime Wahlen via Internet Beteiligt: Deutschland, Frankreich, Niederland, Schweden, England (Network) Voting System Standards (VSS) Standard der Federal Election Commission (FEC) nach dem Debakel bei der Präsidentschaftswahl einberufen Festlegung von Standards für die Wahlmaschinen

Anforderungskataloge (3) Schweizer Gesetzesverordnung Verordnung für die politischen Rechte verankert Anforderungen, damit der Bundesrat die Internet-Wahl genehmigen kann Anforderungskatalog der AG Standard zur Orientierung von Entwicklern und Prüfern von Online-Wahlsystemen Autoren/Bearbeiter: Hartmann, Meißner, Richter von der PTB Im Rahmen des Projektes „Entwicklung von Konzepten für die Prüfung und Zertifizierung von Online-Wahlsystemen“ In den AG „Prüfung und Zertifizierung“ (BSI, DFKI, DLR, …) und „Rechtliche Rahmenbedingungen“ (BMWA, BMI,… ) diskutiert Kein bindender regulativer, sondern empfehlender Charakter Wahlen ausschließlich in vernetzten Wahllokalen Interdisziplinär verständlich

Anforderungskataloge (4) IEEE Standard IEEE P1583/D5.0: Draft Standard for the Evaluation of Voting Equipment Enge Anlehnung an Voting System Standards (VSS) Protection Profile Hervorhebung des Entwicklungsprozesses (Konfigurationsmanagement-Plan, Qualitätssicherungsplan, Versionsmanagement) Europaratsempfehlung Multidisciplinary AdHoc Group of Specialists on Legal, Operational and Technical standards for e-enabeld voting Recommendation of the Committee of Ministers to member states Betonung liegt auf remote Voting Risikoanalyse unter Nutzung der Methodik von CC/ISO 15408,

Anforderungskataloge (5) Anforderungskatalog der GI für Internetbasierte Vereinswahlen Von der PTB vorgeschlagen in der Expertenrunde weiterentwickelt Systemvorgaben: Authentifizierung MitgliedsNr. undWahl-PIN, zwei Server-Architektur Möglichst kompakt Dissertation von M. Schliffni Entwicklung von idealtypischen Anforderungen, die später verwendet werden, um E-Wahlsysteme zu bewerten und zu klassifizieren Dissertation von R. Mercuri Electronic Vote Tabulation Check & Balances Common Criteria

Anforderungskataloge (6) Voting System Requirements (Safevote) 16 Anforderungen Basieren z.T. auf informationstheoretischen Grundsätzen Notwendige technische Anforderungen von P. Wilm An internetbasierte Verfahren für staatliche Volksvertreterwahlen Workshop „eDemocracy - … „ (INFORMATIK 2003) Diplomarbeit (M. Volkamer) In Zusammenarbeit mit dem BSI Vertrauensmodell

Gegenüberstellung bzgl. Aufbau BWahlGV Cybervote VSS 1) Zulassung & Genehmigung 2) Durchführung der Wahl - Wahlbekanntmachung - Einweisung des Wahlvorst. Wahlzelle Eröffnung der Wahlhandl. Stimmabgabe Schluss der Wahlhandl. Zählung der Wähler Übergabe &Verwahrung  organisatorisch 3) Richtlinien für die Bauart Gültigkeitsbereich Anforderungen an d. Bauart (Technischer Aufbau, Funktionsweise, Bedienungsanleitung) 1) Gesetzliche Anf. (Wahlperiode, Stimmrecht,Wähler- liste, Wähleridentif., Stimmabga- bekanal, Auszählung, Audit, Sonstiges) 2) Technische Anf. ( Benutzerfreundl., Sicherheit, Kompatibilität, Stimmabgabe, Auszählung, Robustheit, Verwaltung) 3) Anf. des Wählers (Kontrolle d. Wählers, Interakti- vität, Mehrwert für Wähler, Spra- chen, Sonstiges) 1) Techn. & Perform. Anf. - Funktionale Anf.(phasenorientiert) - Hardware Standards-für alle Geräte - Software Standards (Wahlsoftware und externe Provider) - Telekom.-Standards - Sicherheit-Standards - Qualitätssicherung - Konfig.-Managment - Qualitätstests 2) Testspezifikationen zu den Anf. aus 1)

Gegenüberstellung bzgl. Aufbau (2) Schweizer GV Anford.-katalog der PTB IEEE Standard 1) Voraussetzung der Genehmigung 2) Auflistung von Anf. - Zugriffsberechtigung - Verschlüsselung - Stimmgeheimnis - Einmaligkeit d. Stimmabgabe - Sicherung der Stimme - Technischer Stand - Ermittlung des Ergebnisses - Behebung von Pannen - … 1) Wahlvorbereitung - Vorbereitung Wähleridentif../auth. - Systeminstallation 2) Wahlhandlung - Wähleridentif./auth. - Wählerlistenmanagement - Transport der Stimme - Speicherung der Stimme 3) Ermittlung des Ergebnisses 4) Nachbereitung 5) Übergreifende Funktionen - Soft/Hardwarezuverlässigkeit - Kommunikationssystem - Anonymisierung - Technisches Audit  phasenabhängig 1) Anforderungen an Spezifikationen und Prüfung - Sicherheit/V ertraulichkeit - Zuverlässigkeit/ Genauigkeit - Nutzbarbarkeit/ Zugänglichkeit - Umgebungsbed. - elektromagn. Verträgl. - Sofware/Funktionalität 2) Anhang: (normatives) generisches Schutz-Profil für Vote Recording Equipment

Gegenüberstellung bzgl. Aufbau (3) Europaratsempfehlung Anford.-katalog der GI P. Wilm 1) Gesetzl. Anf. - Grundprinzipien - Verfahrensschutz 2) Durchführungsanf. für die W-Phasen - Transparenz - Nachprüfbarkeit - Sicherheit 3) Technische Anf. - Interoperabilität - Audit - Verfügbarkeit - System-Betrieb - Akkreditierung - Zukunftsfähigkeit 1) Allg. Anf. an Systement- wickler & Wahldurchführ. - System-Doku - Benutzerhandbuch 2) Anf. an die Wahlserver 3) Anforderungen an die Wahlsoftware - allg. Anf. ans System & seine Sicherheit - spez. Funktionsanf. - Anonymisierungsanf. 3) Spez. Anf. Zum Schutz der allg. & gleichen Wahl 4) Ergonom. & Bedienbarkeitsanf. 1) Wahlgeheimnis 2) Korrektheit des Ergebnisses 3) Client-Rechner Sicherheit 4) Verfügbarkeit 5) Transparenz

Gegenüberstellung bzgl. Aufbau (4) M. Schliffni R. Mercuri M. Volkamer 1) Sicherheitsanf. (Auth., Autor., Integr., Korrektheit, Vertraulichk., Nichtvermehrbark, Wahl- geheimnis,….) 2) Realisierungsanf. (Skalierbark., Performance, Ortsunabh., …) 3) Funkt. Anf. (Flexibilität., Änderbarkeit) 4) Organ. Anf. (Rechnerschutz, Verlusttoleranz) 5) Integrationsanf. (Durchgängigkeit, …) 6) Wirtschaftliche Anf. 1) CC Evaluation Process ( System Requirements, Functionality, Correctness, Accountability, Disclosability, Reliability, Integrity, Availability, Fault Tolerance, Data Requirements, Confidentiality, Retention & Recountability, User Requirements, Interface Usability, Documentation, Testing, Paths, Facility Management, Recovery, System Distribution, Compliance with Laws and Regulations) 2) Voting System Criteria 3) Evaluation Assurance Level (EAL) 4) Generic Security Assessement Questions 5) CC Constraint Conflicts 1) Anforderungen der Wähler aus Vertrauensmodell abgeleitet - Sicherheitsanf. - Andere Anf. - Realisierungsanf. 2) Anf. an die Wahlphasen - Registrierung - Initialisierung - Berechtigungsprüfung - Stimmabgabe - Stimmensammlung - Ergebnisauswertung - Gesamtes Wahlsystem

Fazit Viele unterschiedliche Ansätze Was sich herauskristallisiert Phasenorientiert (Problem: phasenübergreifende Anf.) Komponentenorientiert (Problem: Systemunabhängig) Ableitung von den gesetzlichen Vorgaben (WRG beziehen sich auf mehr als eine Phase und eine Komponente) Gemeinsamkeiten Geheime Stimmabgabe Stimmen dürfen nicht unbemerkt verändert/ hinzugefügt/ gelöscht werden Korrekte Ergebnisberechnungsfunktion Was fehlt noch Definition eines Vertrauensmodels (außer [Dip]) Methodik bei der Gliederung  CC Was kann technisch, was organisatorisch gelöst werden?