E-Voting-Quellcode der Post liegt öffentlich auf

Das E-Voting Projekt der Post nimmt einen weiteren Schritt: Die Post veröffentlicht mit dem Quellcode ihrer Beta-Version eine weitere Systemkomponente und startet ein globales Bug Bounty-Programm. Die Post macht die Inhalte des E-Voting-Systems konsequent öffentlich. Damit soll das System der Post den höchstmöglichen Sicherheitsstandard erreichen. Fachexpertinnen und System-Tester sind weltweit dazu eingeladen, ihre Inputs und Befunde ihrer Analyse der Post mitzuteilen und einzugeben.

Mit der Veröffentlichung des überarbeiteten Quellcodes und dem Start des Bug-Bounty-Programms geht das E-Voting-System der Post in einen wichtigen Sicherheitsprozess. Die Post veröffentlicht in diesen Tagen den Quellcode als eine der Kernkomponenten ihres E-Voting-Systems. Die Post zeigt den Quellcode in seiner vollen Länge von 150’000 dichtgeschriebenen Codezeilen. Der Code zeigt auf, wie die Software mit allen kryptografischen Elementen geschrieben ist, wie sie funktioniert. IT-Experten und Kryptografinnen rund um die Welt sind dazu eingeladen, die Unterlagen zu prüfen, Befunde aufzuspüren und Ideen auszutauschen. Als Belohnung winken je nach Wichtigkeit der Erkenntnisse bis zu 250’000 Franken.

Der Quellcode E-Voting der Post mit all seinen kryptographischen Codes auf über 150'000 Zeilen liegt öffentlich auf und steht zur weltweiten Prüfung bereit.

Der Quellcode E-Voting der Post mit all seinen kryptographischen Codes auf über 150’000 Zeilen liegt öffentlich auf und steht zur weltweiten Prüfung bereit.

Die Post legt seit Jahresbeginn wichtige Teile der Beta-Version ihres Systems vollständig und dauerhaft offen. Änderungen bei der Weiterentwicklung sind damit für alle sichtbar. Externe Fachkräfte können experimentell dazu beitragen, dass das System den heute höchstmöglichen Stand der Sicherheit erreichen kann. Dieses Vorgehen gilt als international anerkannte, bestmögliche Methode (BestPractice). Das transparente Vorgehen entspricht zudem den Vorgaben des Bundes für E-Voting in der Schweiz. Die rechtlichen Grundlagen geben vor, dass nur E-Voting-Systeme für den Versuchsbetrieb zugelassen werden, die vollständig und dauerhaft offengelegt sind. Die Post geht davon aus, dass sie ihr System interessierten Kantonen 2022 zur Verfügung stellen kann.

Transfer in die digitale Welt

Die Post bringt heute als vertrauenswürdige Transporteurin von sensiblen Daten und Dokumenten jedes Jahr gut 20 Millionen Wahl- und Abstimmungsunterlagen in die Haushalte und zu den Abstimmungsbehörden. Die Post will diesen Transport unter dem Brief- und Postgeheimnis auch in der digitalen Welt anbieten können. Dafür entwickelt sie als staatsnahes und neutrales Unternehmen für interessierte Kantone eine Schweizer Lösung.

Seit 2020 arbeitet ein Spezialisten-Team von Kryptografen und Softwareingenieuren der Post im Kryptografie-Zentrum in Neuenburg an der Weiterentwicklung des E-Voting-Systems. So hat das E-Voting-Team die zentralen Elemente des Systems neu geschrieben, verbessert oder selbst ganz neu entwickelt. Auf die Metapher einer Burg übertragen: Mit den Erkenntnissen und Erfahrungen aus dem Vorgängersystem hat die Post die Burg nicht vollständig aus den Grundmauern neu aufgebaut. Sie hat aber als richtig und schlagkräftig erachtete, dicke Mauern, Schutzwälle und Durchgänge mit den neuen Anlagen verbunden und ins neue Verteidigungsdispositiv integriert.

Für den Betrieb des Systems und der Infrastruktur sind die Informatikteams in Zollikofen (BE) und an den Schweizer Standorten der beiden Post-Rechenzentren zuständig. Alle verwendeten Daten auch in einem künftigen Betrieb bleiben auf den Servern der Post oder denjenigen der Kantone in der Schweiz.

«Gespannt auf Rückmeldungen»

Auch wenn noch weitere Teilaspekte des E-Voting-Systems der Post in den kommenden Monaten programmgemäss erarbeitet werden, steigt mit der erfolgten Veröffentlichung des Quellcodes und Bug-Bounty-Programm die Spannung. Insbesondere im Team um Denis Morel, Leiter E-Government im Bereich Kommunikation Services der Post. Er ist Projektverantwortlicher für die Entwicklung des E-Voting-Systems.

Denis Morel, Leiter E-Government und damit Projektverantwortlicher E-Voting der Post.

Denis Morel, Leiter E-Government und damit Projektverantwortlicher E-Voting der Post.

Als sachlicher Mathematiker weiss er, dass «eins plus eins» nur zwei und nicht drei oder vier geben kann. Dennoch lässt ihn die öffentliche Auflage der erarbeiteten Codes und Formeln nicht kalt: «Ich bin gespannt, welche Rückmeldungen aus der weltweiten Fachwelt eingehen werden. Das System befindet sich noch in Entwicklung und die Mitwirkung der externen Fachleute wird uns helfen, Verbesserungen und Schwachstellen im System zu finden und rasch beheben zu können», fasst Denis Morel seine Gemütslage zusammen. «Das ist ein wichtiger Schritt, um den hohen Sicherheitsanforderungen für ein E-Voting in der Schweiz entsprechen zu können».

 

Link auf Portal E-Voting mit allen fachspezifischen E-Voting-Blogs

Kategorisiert in:

Related Posts