Schweizerische Post
12.05.2021, 09:44 Uhr
Mit Offenlegung und Bug-Bounty zum neuen E-Voting-System
Die Schweizerische Post ist daran, ein neues E-Voting-System zu entwickeln. Über die Fortschritte und die Offenlegung der Systemteile hat der Gelbe Riese in einem Pressegespräch informiert.
Denis Morel, Leiter des E-Government-Bereichs der Schweizerischen Post, gibt Auskunft darüber, wie die Post das neue E-Voting-System entwickeln will.
(Quelle: Videostill: jst/nmgz)
Vor Kurzem hat der Bundesrat das Vernehmlassungsverfahren für die Neuausrichtung des Versuchsbetriebs mit der elektronischen Stimmabgabe (E-Voting) eröffnet. Die Vorlage sieht unter anderem vor, dass die Kantone in begrenztem Umfang wieder E-Voting-Versuche durchführen können. Damit diesen auch ein den Vorgaben entsprechendes System zur Verfügung gestellt werden kann, entwickelt die Schweizerische Post derzeit ein entsprechendes System.
Wie Denis Morel, Leiter des E-Government-Bereichs der Post, in einem Mediengespräch meinte, sei man seit Mitte 2020 an der Entwicklung des neuen Systems. Dieses weise keinen Code mehr von Scytl auf, erklärte er. Das System der spanischen Firma bildete die Grundlage des ersten, gescheiterten Versuchs der Post ein E-Voting-System in einigen Schweizer Kantonen zu etablieren.
Vielmehr setzt die Post nun auf vollständige «Swissness». So wird die Software nun intern in Neuenburg entwickelt. Dadurch erhalte man ein «System in der Schweiz, aus der Schweiz und für die Schweiz», wie Morel betonte.
Neu am neuen E-Voting-System der Post ist, dass die Stimmabgabe vollständig verifizierbar sein muss, was auch eine Vorgabe des Bundes ist. Bislang seien die Verfahren nur individuell verifizierbar gewesen, das heisst, nur die Stimmbürgerin und der Stimmbürger habe nachvollziehen können, dass die eigene Stimme tatsächlich in der elektronischen Urne gelandet sei. Mit der universellen Verifizierbarkeit könne nun auch die Wahlkommission nachkontrollieren, ob mit der elektronischen Stimmabgabe alles in Ordnung war.
Sukzesive Offenlegung der Systemteile
Unterdessen hat die Post damit begonnen, die Teile des Systems schrittweise zu veröffentlichen und einer «Community» aus nationalen und internationalen Fachleuten zur Begutachtung vorzulegen. So wurden Anfang Jahr das kryptografische Protokoll und eine Open Source-Library mit zentralen kryptografischen Algorithmen offengelegt.
Und die Post erhält erste Rückmeldungen aus der Community. So seien seit dem Start der Offenlegung 13 Meldungen eingegangen, berichtet Morel. Zumindest eine der Medlungen habe einen Befund mit hohem Stellenwert gehabt. Um auch bei den Meldungen für eine gewisse Transparenz zu sorgen, veröffentlicht die Post die eingehenden Meldungen auf GitLab.
Basierend auf den eingegangenen Meldungen hat die Post eigenen Angaben zufolge verschiedene Verbesserungen der in der Open Source-Library veröffentlichten Algorithmen identifiziert. Die neue Version des kryptografischen Protokolls, die nun veröffentlicht werde, enthalte unter anderem eine Korrektur bezüglich der individuellen Verifizierbarkeit, die im Rahmen der Offenlegung gemeldet wurde.