Update: Post veröffentlicht Tool zur Verifizierbarkeit des Wahlvorgangs
Die Schweizerische Post hat einen weiteren Teil seines E-Voting-Systems für die Bug-Jagd veröffentlicht. Das neue Stück beinhaltet ein Tool für die allgemeine Verifizierbarkeit des Wahlvorgangs. Kantone sollen damit künftig in der Lage sein, manipulierte Stimmabgaben zu identifizieren.
Update vom 18.11.21: Die Schweizerische Post hat einen wesentlichen Bestandteil ihres E-Voting-Systems veröffentlicht. Diese Veröffentlichung beinhaltet ein Tool zur allgmeinen Verifizierbarkeit des Wahlvorgangs, teilt die Post mit. Bisher sei solch eine Software in der Schweiz noch nie eingesetzt worden. Frühere Systeme hätten nur eine individuelle Verifizierung geboten, um einem Wähler oder einer Wählerin zu bestätigen, dass eine Stimme korrekt eingegangen ist. Mit der neuen, durchgängigen Überprüfbarkeit sollen Stimmzähler nun nach Ende der Wahl feststellen können, ob Stimmen manipuliert oder gar entwendet worden seien. Zukünftig sind vom Bund nur noch Systeme mit diesem Level an Sicherheit erlaubt. Dafür würde zurzeit eine gesetzliche Grundlage geschaffen.
Update vom 29.10.2021:
Hunderte Fachpersonen klopfen E-Voting-System der Post auf Fehler ab
Die Post hat einen ersten Zwischenbericht zum Bug-Bounty-Programm ihres E-Voting-Systems veröffentlicht. Demnach haben sich bisher "mehrere Hundert Personen, darunter sowohl Spezialistinnen und Spezialisten aus der Wissenschaft als auch ethische Hackerinnen und Hacker am Community-Programm der Post beteiligt", heisst es im Blogbeitrag.
Bislang seien 111 Befunde zu Schwachstellen eingegangen, die wiederum in vier Schweregrade unterteilt werden. Den höchsten Grad "Kritisch" erreichte kein Befund, schreibt die Post. Mit "Hoch" wurden drei Befunde bewertet. Zwei davon seien bereits vor dem Start des öffentlichen Bug-Bounty-Programms gemeldet worden, und einen neuen Befund habe das E-Voting-Team der Post "dank der Analyse der unabhängigen Expertinnen und Experten des Bundes" festgestellt.
Zu allen drei Befunden habe man Lösungsvorschläge vorgelegt. In einem Fall sei die Korrektur bereits umgesetzt worden. Die Post will "alle schwerwiegenden Befunde" korrigieren, bevor sie das E-Voting-System für den Einsatz in den Kantonen bereitstellt.
Auch Geld ist für die eingegangenen Meldungen bereits geflossen. Laut dem Blogbeitrag zahlte die Post bis zum 28. Oktober 52'450 Euro aus. Sämtliche Hinweise zur Bug-Jagd, auch Fragen, Bemerkungen und Befunde, veröffentlicht die Post auf der Plattform Gitlab.
Originalmeldung vom 03.09.2021:
Post veröffentlicht E-Voting-Quellcode und eröffnet Bug-Jagd
Die Schweizerische Post hat den Quellcode der Beta-Version ihres E-Voting-Systems veröffentlicht. Zudem startet sie - wie bereits angekündigt - das globale Bug-Bounty-Programm, wie die Post mitteilt.
Experten, Expertinnen, Tester und Testerinnen rund um die Welt seien eingeladen, die Unterlagen zu prüfen, Befunde aufzuspüren und Ideen auszutauschen. Je nach Wichtigkeit der Erkenntnisse gibt es eine Belohnung bis zu 250'000 Franken.
Dieses Vorgehen gelte als international anerkannte Best Practice und entspreche den Vorgaben des Bundes für E-Voting in der Schweiz. Die Post rechnet damit, dass ihr System interessierten Kantonen im Jahr 2022 zur Verfügung stehen wird.
Interessierte finden hier auf der Webseite der Post alle notwendigen Informationen zum E-Voting und zum Bug-Bounty-Programm.