symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
E-Voting im Kanton Zürich angeblich erfolgreich
Veröffentlicht durch XTaran am Mittwoch 15. Dezember 2004, 09:23
Aus der Kritische-Stimmen-vermisst Abteilung
Internet xilef schreibt: "Die Schweizer (Online-) Presse überschlägt sich gerade mit Meldungen über die angeblich erfolgreiche Durchführung des e-Voting Versuchs an den Studienratswahlen der Universität Zürich (siehe z.B. NZZ, Tagi, PCtipp). Offizielle Medienmitteilungen gibt es vom Statistischen Amt des Kantons Zürich und von Unisys. Kritische Stimmen, die das ganze hinterfragen und wichtige Fragen betreffend die Sicherheit stellen, scheint es schlicht nicht zu geben."

xilef weiter: "Will man sicher sein, dass die Abstimmung korrekt durchgeführt wurde, so muss man schlicht und einfach der durchführenden Firma (in diesem Fall Unisys) vertrauen. Mehr Kontrolle existiert nicht. Wenn in Zukunft bei einer elektronischen Volksabstimmung das Ergebnis mit den Wünschen des Verwaltungsrats übereinstimmt... tja, dann war das halt 'Zufall'.

Es bleibt die Hoffnung, dass wenigstens in den Leserbriefen die kritischen Stimmen zu Wort kommen."

Neue iPod-Software mag keine Musikstücke von RealNetworks mehr | Druckausgabe | Hikarunix - Knoppixderivat nicht nur für Animefans  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • xilef
  • NZZ
  • Tagi
  • PCtipp
  • Statistischen Amt
  • Unisys
  • Leserbriefen
  • Mehr zu Internet
  • Auch von XTaran
  • Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    eVoting (Score:2)
    Von mgeiser am Wednesday 15. December 2004, 09:50 MEW (#1)
    (User #260 Info) http://www.dodeka.ch
    Kritische Stimmen gibt es dennoch: Die SIUG trifft sich morgen Donnerstag Abend, um das weitere Vorgehen in Sachen eVoting zu besprechen.

    Interessierte Leute sind herzlich eingeladen.

    Beweise vorhanden (Re: eVoting) (Score:0)
    Von Anonymer Feigling am Thursday 16. December 2004, 00:09 MEW (#17)
    SIUG: Ich habe ein Video aufgenommen, das zeigt, dass das eVoting-System bei mir nicht einwandfrei funktioniert hat. Bis jetzt habe ich keine Fulldisclosure gemacht, das kann aber noch kommen. Unisys weiss seit Beginn der Wahlen davon, aber offenbar wurde dieses (und andere) Problem(e) an der Pressekonferenz nicht erwähnt, was ich recht bedenklich finde.

    -h2o
    Re: Beweise vorhanden (Re: eVoting) (Score:2)
    Von spacefight am Thursday 16. December 2004, 10:07 MEW (#19)
    (User #299 Info)
    Full disclosure ist hier angebracht. Poste das Video doch mal.
    Ist nun öffentlich (Score:0)
    Von Anonymer Feigling am Thursday 16. December 2004, 14:13 MEW (#25)
    siehe

    http://www.numlock.ch/tmp/evoting/

    bitte readme.txt vorher lesen

    -h2o
    Nicht ganz so einfach (Score:2)
    Von Gandalf am Wednesday 15. December 2004, 09:53 MEW (#2)
    (User #544 Info)
    Ok, ich bin einverstanden, dass man die Sache kritisch anschauen muss. Aber ganz doof sind die vom Kanton ja auch nicht.

    Einerseits ist der Code für den Kanton einsehbar, auch wenn er nicht für jedermann zur Verfügung steht (aka 'open source'). Zudem werden parallel zu den Wahlen oder Abstimmungen jeweils Tests mit einer Testgemeinde gefahren, um zu sehen, ob sich das System auch am Wahltag korrekt verhält.

    Klar, es gibt immer eine Möglichkeit, die Wahl oder eine Abstimmung zu fälschen. Aber das kann man bei der nicht elektonischen Variante auch. Wie dort golt es auch beim e-Voting die Hürde möglichst hoch zu halten. Der kritische Punkt ist bei beiden die Stimmabgabe. Gibt das System wirklich meine Stimme unverfälscht weiter? Tauscht der Mensch im Wahlbüro meinen Stimmausweis nicht durch einen anderen aus (briefliche Stimmabgabe)? Die weiteren Schritte lassen sich bei beiden Varianten recht gut durch Checks abgesichert.
    Re: Nicht ganz so einfach (Score:0)
    Von Anonymer Feigling am Wednesday 15. December 2004, 11:42 MEW (#4)
    Das elektronische System, so wie es im Moment implementiert ist, gibt gewissen Personen einen Sonderstatus im System, den sie vorher nicht gehabt haben. Wer z.B. die Codes generiert bzw. die Zettel druckt, auf denen die Codes aufgeführt sind, die die Wähler eingeben müssen, hat die volle Kontrolle darüber, wer wie stimmt und kann fast beliebige Angriffe durchführen. Er kann z.B. den Zufallsgenerator durch eine Funktion ersetzen, die die Identität einer Person in einen String codiert, so dass sie später an ihren Codes erkennbar ist oder er kann sich die generierten Codes merken (im Digitalen Zeitalter kopiert er sich das Codefile einfach noch schnell auf eine Diskette oder einen USB-Stick). Er kann Codes vertauschen oder falsche Codes angeben.

    Die Telefongesellschaft, die SMS-Stimmen abwickelt, hat die volle Kontrolle darüber, wer stimmt, bzw. wer überhaupt stimmen darf, wenn sie mit jemandem zusammenarbeitet, der die Codes hat, hat sie die volle Kenntnis über die ganzen Wahlen.

    Die, die die Wahlserver betreiben, kennen ebenfalls die Codes und können einzelne Stimmen verschwinden lassen, ohne dass dies auffällt. Sie können auch einzelne Stimmen dazuerfinden. Beispielsweise ist es denkbar, dass jemand, der die Codes kennt, noch Stimmen von Personen dazufügt, die nicht wählen gegangen sind.

    Alle diese Angriffsszenarien sind denkbar, wenn sich maximal drei Personen zum Wahlbetrug verabreden, teilweise genügt eine einzige. Bei brieflicher Stimmabgabe ist es höchstens denkbar, dass in einem einzelnen Wahlbüro etwas schief läuft, eine einzelne Person kann nicht die Resultate im ganzen Kanton manipulieren. Was hinterher noch durch Checks abgesichert ist, spielt keine Rolle, all die Angriffsszenarien, die ich gennant habe, haben es an sich, dass sie beim gegenwärtig verwendeten elektronischen Protokoll eben gerade nicht erkannt werden können, obschon es elektronische Protokolle gäbe, die dies könnten. Etwas zu checken, über das das verwendete Protokoll ohnehin keinen Aufschluss geben kann, ist völlig sinnlos, es dient allenfalls zur Beruhigung der Stimmberechtigten.

    All diese Probleme könnten gelöst werden, wenn der politische Wille bestünde, sie anzugehen. Mathematische Lösungen dafür gäbe es. Dafür, dass eine einzelne Person die Codes nicht kennt, würde es bereits genügen, wenn jeder Wähler seine Codes selbst generiert (z.B. ein asymmetrisches Keypaar generiert und den Public-Key registrieren lässt, dadurch bleibt sein Secret Key geheim). Gegen die Verletzung des Wahlgeheimnisses könnte man blinde Signaturen verwenden.

    Re: Nicht ganz so einfach (Score:2)
    Von spacefight am Wednesday 15. December 2004, 11:46 MEW (#5)
    (User #299 Info)
    +5 Haarsträubend.
    Re: Nicht ganz so einfach (Score:0)
    Von Anonymer Feigling am Wednesday 15. December 2004, 13:25 MEW (#6)
    Es ist klar, dass wenn man keine Ahnung hat, wie das System implementiert ist, man auf solche Behauptungen und Ideen kommt. 1. Werden die Codes nicht von einer Person generiert, sondern vom System. Und das Zeitgesteuert. 2. Hat wärend der "Urnenöfnung" keine Person Zugriff auf das System. Man kann nichts manipulieren und auch keine Daten "wegkopieren". Geschweige denn in den Sicherheitsraum um den USB-Stick anzuschliessen. Die Telefongesellschaft, die SMS-Stimmen abwickelt, hat die volle Kontrolle darüber, wer stimmt, bzw. wer überhaupt stimmen darf, wenn sie mit jemandem zusammenarbeitet, der die Codes hat, hat sie die volle Kenntnis über die ganzen Wahlen. Pauschalbehauptung die irgendwo aufgelesen wurde. Schon mal überlegt, dass die Post dasselbe machen kann? Ausserdem weiss der Stimmende, ob seine Stimme gezählt wurde oder nicht. Die Telefongesellschaft, die SMS-Stimmen abwickelt, hat die volle Kontrolle darüber, wer stimmt, bzw. wer überhaupt stimmen darf, wenn sie mit jemandem zusammenarbeitet, der die Codes hat, hat sie die volle Kenntnis über die ganzen Wahlen. Volkommener Quatsch. Die Codes werden vom System generiert und sind nicht einsichtig. ...gegenwärtig verwendeten elektronischen Protokoll ... wir sind noch im selben Film, oder? All diese Probleme könnten gelöst werden, wenn der politische Wille bestünde, sie anzugehen. Mathematische Lösungen dafür gäbe es. Dafür, dass eine einzelne Person die Codes nicht kennt, würde es bereits genügen, wenn jeder Wähler seine Codes selbst generiert (z.B. ein asymmetrisches Keypaar generiert und den Public-Key registrieren lässt, ... Lol. Erzähl mal jedem Bürger, dass er zuerst für 50.- einen Key bei einer Zertifizierungsstelle registrieren muss. Bevor Du weiteren Schwachsinn verzapfst, den Du aus diversen mal gelesenen Texten zusammengebastelt hast, solltest Du vielleicht mal das Hirn einschalten.
    Re: Nicht ganz so einfach (Score:0)
    Von Anonymer Feigling am Wednesday 15. December 2004, 13:50 MEW (#8)
    Man darf keine Ahnung haben muessen, wie das System implementiert ist. Ein gutes elektronisches Protokoll garantiert die Sicherheit, voellig egal, wie das System implementiert ist. Der Ausgabe eines modernen sicheren elektronischen Wahlprotokolls kann man ansehen, dass alles mit rechten Dingen zugegangen ist. Beim System des Kantons Zuerich muss man dagegen den Beteuerungen irgendwelcher Personen glauben, die ohnehin kaum jemand kennt.

    Werden die Codes nicht von einer Person generiert, sondern vom System.

    Das spielt keine Rolle. Anstatt einen uniform zufaelligen Wert zu verwenden, kann man z.B. aes(k,Identitaet) als Funktion verwenden, um "zufaellige" Codes zu generieren. Wer den Schluessel k kennt, kann aus allen Codes die Identitaet berechnen, fuer alle anderen sehen die Codes voellig zufaellig aus (das ist eine Eigenschaft von AES und anderen modernen Verschluesselungsalgorithmen). Die bestehene Funktion kann jederzeit durch eine solche ersetzt werden, ohne dass das ein Aussenstehender ueberhaupt merken koennte. Die Codes muessen nicht nur dem Wahlsystem, sondern auch der Druckerei und dem Wahlserver bekannt sein, voellig unnoetige Angriffspunkte gibt es also genug.

    Die Codes werden vom System generiert und sind nicht einsichtig.

    Klar sind die Codes einsichtig. Wie sonst soll der Wahlserver ueberhaupt beurteilen, wer wahlberechtigt ist, wenn man keine asymmetrische Verschluesselung verwendet? Wie kommen die Codes in Abstimmungscouverts, wenn sie nicht einsichtig sind? Ausserdem hat immer ein Administrator auf jedes System Zugriff, schliesslich muss jemand im Fall von Pannen eingreifen koennen.

    Bevor Du weiteren Schwachsinn verzapfst, den Du aus diversen mal gelesenen Texten zusammengebastelt hast, solltest Du vielleicht mal das Hirn einschalten.

    Es ist die Masche diverser Leute, kritische Meinungen durch plumpe Beschimpfungen zu diskreditieren, wenn ihnen die Sachargumente ausgehen. Zusammengefasst: Das heute bestehende System basiert darauf, dass man irgendwelchen Beamten glaubt, dass niemand Zugriff hat, dass die Codes zufaellig generiert werden etc. pp. Das kann heute wahr sein, morgen dagegen schon nicht mehr, ueberpruefen kann das niemand. Das heute verwendete Protokoll macht es fuer einen Aussenstehenden unmoeglich, zu entscheiden, ob intern alles korrekt zugeht oder nicht.

    Re: Nicht ganz so einfach (Score:0)
    Von Anonymer Feigling am Wednesday 15. December 2004, 14:08 MEW (#9)
    Dieses elektronische Protokoll existiert ja. Wer die berechtigung dazu besitz, kann das einsehen. Das spielt keine Rolle. Anstatt einen uniform zufaelligen Wert zu verwenden, kann man z.B. aes(k,Identitaet) als Funktion verwenden, um "zufaellige" Codes zu generieren. Wer den Schluessel k kennt, kann aus allen Codes die Identitaet berechnen, fuer alle anderen sehen die Codes voellig zufaellig aus (das ist eine Eigenschaft von AES und anderen modernen Verschluesselungsalgorithmen). Die bestehene Funktion kann jederzeit durch eine solche ersetzt werden, ohne dass das ein Aussenstehender ueberhaupt merken koennte. Die Codes muessen nicht nur dem Wahlsystem, sondern auch der Druckerei und dem Wahlserver bekannt sein, voellig unnoetige Angriffspunkte gibt es also genug. Wie gesagt, wenn man nicht weiss, wie das System aufgebaut ist, sollte man nicht solche Äusserungen machen. Man kann die Funktion nicht ersetzen, weil man keinen Eingriff machen kann. Punkt. Und die Codes sind der Druckerei ebenfalls nicht einsichtig. Wenn Du dich über das Verfahren schlau gemacht hättest, wüsstest Du das. Ausserdem hat immer ein Administrator auf jedes System Zugriff, schliesslich muss jemand im Fall von Pannen eingreifen koennen. Falsch. Es gibt keine Eingriffsmöglichkeit. Punkt. Wenn das System Probleme bekommen würde, würde es sich abschalten und wäre nicht mehr benutzbar. Bisher getätigte Stimmen würden nachher unter notarieller Aufsicht restauriert.
    Re: Nicht ganz so einfach (Score:1)
    Von c-mon (simon [bei] blubb (punkt) li) am Wednesday 15. December 2004, 16:15 MEW (#14)
    (User #1208 Info) http://blubb.ch
    ist dir klar, dass du von ihm verlangst, dass er sich ueber ein system schlau macht, das nur wenige leute kennen *DUERFEN*? Sorry, aber ich will das system erst sehen bevor ich ihm vertraue.
    Re: Nicht ganz so einfach (Score:0)
    Von Anonymer Feigling am Thursday 16. December 2004, 14:56 MEW (#26)
    Sorry, das klingt mir etwas sehr naiv. Da gibt es also Deiner Meinung nach irgendwo ein System, das völlig autonom ohne jegliche Betreung durch einen Systemadministrator läuft, das ausserdem jeglichen Manipulationsversuch durch sofortigen Funktionsabbruch verunmöglicht und sich ausserdem selbst programmiert hat.

    Denn
    • wenn das System sich nicht selbst programmiert hat dann hat min. das Entwicklungsteam die Möglichkeit, es zu manipulieren - die Quellen liegen ja nicht offen, d.h. ich kann nicht überprüfen, ob's im System mit rechten Dingen zugeht
    • wenn das System sich nicht selbst administriert, dann gibt es irgendwo einen oder mehrere Systemadministratoren, die Zugang zu diesem haben. Selbst wenn komplexe Zugangsmechanismen existieren (z.B. MAC), dann haben alle System- und Applikationsadministratoren zusammen die Möglichkeit der Manipulation oder zumindest der Einsicht
    • Wenn das System sich bei Manipulationen nicht automatisch ausser Betrieb setzt, dann gibt es - entsprechenden Zugang vorausgesetzt - wohl min. die Möglichkeit, bei physischem Zugriff an die Daten zu kommen und diese gegebenenfalls zu manipulieren
    Selbstverständlich ist es möglich, die meisten dieser Schwäche organisatorisch oder technisch weitgehend zu eliminieren (Betonung auf weitgehend). Ohne Einsicht in das Prozedere kann ich allerdings nicht feststellen, ob derartige organisatorische und technische Massnahmen implementiert wurden.

    Wenn Du glaubst, dass das System absolut sicher ist, dann ist das Deine eigene Sache. Die meisten Leser hier dürften aber einen Job im IT-Bereich haben und etwas zu viel über prinzipielle Schwächen von technischen Lösungen in sicherheitskritischen Bereichen zu wissen, um Deinen Glauben ohne Nachweis zu teilen. Typisch für "Gläubige", wie Du es zu sein scheinst, ist, auf kritische Stimmen gleich mit persönlichen Angriffen (entsprechend der Inquisition) zu antworten.
    Re: Nicht ganz so einfach (Score:2)
    Von P2501 am Wednesday 15. December 2004, 14:41 MEW (#10)
    (User #31 Info) http://www.p2501.ch/

    Deine nette, kleine Verschwörungstheorie bedingt, dass irgend jemand unbemerkt eigenen Code in die Wahlcomputer einschleusen kann. Wenn er so weit kommt, kann er jedes System manipulieren. Dementsprechend gut müssen die Server geschützt und überwacht sein. Gefährlich wirds, wenn jemand unbemerkt und in grossem Stil ohne Manipulation an den Computern Wahlfälschung betreiben kann.

    Es wurde auch diskutiert, ein klassisches, asymetrisches Verfahren zu verwenden. Dieses wäre prinzipiell schwieriger angreifbar, erfordert aber eine Zertifizierungsstelle und mehr Fachwissen beim Nutzer. Somit gibt es zwei zusätzliche Schwachstellen. Ausserdem wäre eine Abstimmung per SMS so nicht praktikabel.


    --
    Linux ist eine Turboprop. HURD ist ein Düsenjetprototyp, der seinen Heimatflughafen nie verlassen hat.

    Re: Nicht ganz so einfach (Score:1, Tiefsinnig)
    Von Anonymer Feigling am Wednesday 15. December 2004, 14:58 MEW (#11)
    Deine nette, kleine Verschwörungstheorie bedingt, dass irgend jemand unbemerkt eigenen Code in die Wahlcomputer einschleusen kann. Wenn er so weit kommt, kann er jedes System manipulieren.

    Kann er. Ein sicheres Wahlprotokoll wird nicht verhindern koennen, dass jemand manipuliert, kann jedoch dafuer sorgen, dass Manipulationen an der Ausgabe des Wahlprotokolls erkannt werden. Das kann das momentane Wahlprotokoll nicht. Vertreter der Wahlbehoerden koennen sich zwar darin ueben, zu beteuern, dass alles sicher ist usw., ein kryptografisch sicheres Protokoll beruht dagegen auf der Sicherheit des Protokolls selbst, nicht auf Beteuerungen der Wahlbehoerden. Das Protokoll muss so konstruiert sein, dass man an dessen Ausgabe erkennt, dass alles korrekt zugegangen ist, nicht an dem, was die Wahlbehoerden, die Firmen Unisys, Vodafone oder Swisscom behaupten. Genauso funktioniert es bei Urnenwahlen oder bei Versammlungen. Dort ist die Auszaehlung oeffentlich und jeder kann sich vergewissern, dass die Zaehlung mit rechten Dingen zugeht, egal, was irgendein Politiker oder sonst jemand sagt. Wenn an der Gemeindeversammlung ueberwiegend Ja gestimmt wird und der Gemeindeschreiber nachher "mit grossem Mehr verworfen" ins Protokoll schreibt, weiss jeder, dass manipuliert wird. Beim momentan im Kanton Zuerich verwendeten elektronischen Protokoll ist man auf die Ehrlichkeit aller beteiligten Beamten angewiesen, d.h. die Manipulation ist von aussen nicht mehr erkennbar, genau das ist der Unterschied.

    Im Moment ist es so, dass die Behoerden einfach behaupten, dass alles korrekt zugegangen ist. Das ist im Moment moeglicherweise sogar korrekt. Da das jetzt verwendete Protokoll Manipulationen eben gerade nicht erkennt (bzw. fuer die Allgemeinheit erkennbar macht), ist dies fuer die Zukunft aber nicht garantiert.

    Ausserdem wäre eine Abstimmung per SMS so nicht praktikabel.

    Das hat auch gar nicht praktikabel zu sein. Die zuverlaessige Ermittlung des Volkswillens hat in einer Demokratie immer Vorrang gegenueber solchen netten Gadgets. Volksabstimmungen sind keine Miss Schweiz Wahlen.

    Re: Nicht ganz so einfach (Score:1)
    Von P2501 am Wednesday 15. December 2004, 15:29 MEW (#12)
    (User #31 Info) http://www.p2501.ch/

    Ein sicheres Wahlprotokoll wird nicht verhindern koennen, dass jemand manipuliert, kann jedoch dafuer sorgen, dass Manipulationen an der Ausgabe des Wahlprotokolls erkannt werden.

    Quatsch. Wenn ich unbemerkt beliebigen Code in den Wahlcomputer einschmuggeln kann, dann kann ich nicht nur beliebig manipulieren, sondern auch beliebig vertuschen.

    Genauso funktioniert es bei Urnenwahlen oder bei Versammlungen. Dort ist die Auszaehlung oeffentlich und jeder kann sich vergewissern, dass die Zaehlung mit rechten Dingen zugeht, egal, was irgendein Politiker oder sonst jemand sagt. Wenn an der Gemeindeversammlung ueberwiegend Ja gestimmt wird und der Gemeindeschreiber nachher "mit grossem Mehr verworfen" ins Protokoll schreibt, weiss jeder, dass manipuliert wird.

    Einverstanden, was die Landsgemeinde betrifft. Aber schon bei knappen Ergebnissen (und so selten sind die in der Schweiz nicht), muss man den Stimmenzählern vertrauen. Bei der Urnenwahl ist es noch schlimmer. Gegen die Manipulationsmöglichkeiten, die sich hier bieten, ist die elektronische Stimmabgabe geradezu eine Festung. Wer garantiert, dass nicht Stimmzettel in den Ärmeln der Zähler verschwinden? Oder von dort erscheinen? Das geht so unauffällig, dass es sich praktisch nicht kontrollieren lässt. Weiter: In den meisten, grösseren Orten wird von Hand sortiert und maschinell gezählt. Wer garantiert, dass die Maschinen korrekt zählen? Wer garantiert, dass die Zahlen korrekt ans Wahlbüro weitergeleitet werden? Wer garantiert, dass die Zahlen dort nicht schlicht und einfach ersetzt werden? Aber natürlich versichern uns die Behörden, dass alles in bester Ordnung ist. ;-)


    --
    Linux ist eine Turboprop. HURD ist ein Düsenjetprototyp, der seinen Heimatflughafen nie verlassen hat.

    Re: Nicht ganz so einfach (Score:0)
    Von Anonymer Feigling am Wednesday 15. December 2004, 15:54 MEW (#13)
    Quatsch. Wenn ich unbemerkt beliebigen Code in den Wahlcomputer einschmuggeln kann, dann kann ich nicht nur beliebig manipulieren, sondern auch beliebig vertuschen.

    Dazu verwendet man ein System mit verteilter Berechnung. Man muesste passenden Code auf Dutzenden verschiedener Maschinen einschleusen, die von unterschiedlichen Organisationen betrieben sind, unterschiedliche HW, SW usw. verwenden.

    Einverstanden, was die Landsgemeinde betrifft. Aber schon bei knappen Ergebnissen (und so selten sind die in der Schweiz nicht), muss man den Stimmenzählern vertrauen.

    Nein, man kann ihre Arbeit live ueberpruefen. Viele machen das an Gemeindeversammlungen durchaus.

    Wer garantiert, dass nicht Stimmzettel in den Ärmeln der Zähler verschwinden? Oder von dort erscheinen? Das geht so unauffällig, dass es sich praktisch nicht kontrollieren lässt.

    Wahlhelfer koennen allenfalls einige Stimmen faelschen, aber nicht systematisch eine ganze Wahl. Das ist der grosse Unterschied. An einer Urnenwahl hat niemand die Kontrolle ueber das ganze System. Elektronische Wahlen koennte man auch so verteilen, dass niemand die Kontrolle darueber hat, das tut man aber nicht, sondern zentralisiert die ganze Macht in den Haenden weniger, z.B. unter dem Vorwand, dass man auch per SMS abstimmen koennen soll oder dass es fuer die Bevoelkerung zu kompliziert sei, ein Keypaar selber zu generieren. Lustigerweise kriegen dagegen Banken aehnliche Probleme in den Griff, weil sie ein finanzielles Interesse daran haben, dass keine Betrueger im System sind.

    Wer garantiert, dass die Zahlen korrekt ans Wahlbüro weitergeleitet werden? Wer garantiert, dass die Zahlen dort nicht schlicht und einfach ersetzt werden?

    Das wird dadurch garantiert, dass den Wahlhelfern das Resultat bekannt ist. Wenn im kantonalen Bulletin ein anderes Resultat fuer die entsprechende Gemeinde aufgefuehrt ist, ist die Wahl offensichtlich manipuliert. Zaehlmaschinen werden vor dem Auszaehlen ueberprueft. Zaehlen sie anders, als sie sollten, ist die Wahl manipuliert. Diese Vorgaenge stehen unter oeffentlicher Kontrolle. Zaehlt dagegen der Wahlcomputer nicht so, wie er sollte, faellt das beim jetzigen Protokoll vielleicht einigen Admins auf, sonst niemandem. Dieser Vorgang steht nicht mehr unter oeffentlicher Kontrolle, sondern liegt in den Haenden der Verwaltung.

    Re: Nicht ganz so einfach (Score:1)
    Von P2501 am Wednesday 15. December 2004, 16:44 MEW (#15)
    (User #31 Info) http://www.p2501.ch/

    Dazu verwendet man ein System mit verteilter Berechnung. Man muesste passenden Code auf Dutzenden verschiedener Maschinen einschleusen, die von unterschiedlichen Organisationen betrieben sind, unterschiedliche HW, SW usw. verwenden.

    Wer sagt dir, dass es nicht genau so gemacht wird? Nur weil bei den Testläufen ein zentraler Server verwendet wurde, heisst das noch lange nicht, dass es im scharfen Lauf genau so sein wird.

    Nein, man kann ihre Arbeit live ueberpruefen. Viele machen das an Gemeindeversammlungen durchaus.

    Jepp, man kann eine Nachzählung verlangen. Von denselben Zählern. Und spätestens nach der fünften Nachzählung gibts ne Prügelei. ;-)

    Wahlhelfer koennen allenfalls einige Stimmen faelschen, aber nicht systematisch eine ganze Wahl.

    Glaubst du? Wir hatten in Winterthur kürzlich einen Fall, wo eine Wahl durch ein Missgeschick im Zähllokal umgedreht wurde. Ich will nicht behaupten, dass es ein Manipulationsversuch war. Wäre es einer gewesen, so zweifle ich keine Sekunde daran dass man damit durchgekommen wäre.

    Elektronische Wahlen koennte man auch so verteilen, dass niemand die Kontrolle darueber hat, das tut man aber nicht, sondern zentralisiert die ganze Macht in den Haenden weniger,

    Sagt wer? Vielleicht werden die Codes ja von verschiedenen, unabhängigen Rechnern erzuegt. Vielleicht ist der SMS-Empfänger ein Round-Robin. Vielleicht ist das sogar ziemlich wahrscheinlich.

    Das wird dadurch garantiert, dass den Wahlhelfern das Resultat bekannt ist. Wenn im kantonalen Bulletin ein anderes Resultat fuer die entsprechende Gemeinde aufgefuehrt ist, ist die Wahl offensichtlich manipuliert.

    Schön, was macht er mit diesem Wissen? Bestenfalls kann er eine Nachzählung erreichen, die dann aber garantiert dasselbe Ergebnis bringen wird (wer kontrolliert die Aufbewahrung der Wahlzettel?).

    Zaehlmaschinen werden vor dem Auszaehlen ueberprueft.

    Natürlich werden sie das. Und wenn der Prüfer ein Komplize ist?

    Zaehlt dagegen der Wahlcomputer nicht so, wie er sollte, faellt das beim jetzigen Protokoll vielleicht einigen Admins auf, sonst niemandem.

    Genauso wie ein gut gemachter Manipulationsversuch bei der klassischen Urnenwahl, wenn überhaupt, nur einzelnen Wahlhelfern oder Prüfern auffallen wird. Sorry, aber es ist reichlich blauäugig zu glauben, Wahlen und Abstimmungen in der Schweiz seien vor Manipulationen sicher, nur weil "die Öffentlichkeit darüber wacht". Da überschätzt du "die Öffentlichkeit" massiv.


    --
    Linux ist eine Turboprop. HURD ist ein Düsenjetprototyp, der seinen Heimatflughafen nie verlassen hat.

    Re: Nicht ganz so einfach (Score:0)
    Von Anonymer Feigling am Wednesday 15. December 2004, 19:42 MEW (#16)
    Wer sagt dir, dass es nicht genau so gemacht wird? Nur weil bei den Testläufen ein zentraler Server verwendet wurde, heisst das noch lange nicht, dass es im scharfen Lauf genau so sein wird.

    Die User senden ihre Daten alle an ein und denselben Server. Das Protokoll kann deshalb gar nicht verteilt sein. Es geht alles an diesen Server, wenn der manipuliert ist, ist die ganze Wahl manipuliert. Wer die Erzeugung der zufaelligen Daten manipuliert, hat die Wahl ebenfalls manipuliert. Wer den Druck der Stimmrechtsausweise unter Kontrolle hat, hat die Wahl ebenfalls im Griff. Wer den SMS-Server beherrscht, kann ebenfalls manipulieren. Klar kann nun irgendein Beamter behaupten, dass dies nicht geschehe. Aber was nuetzt das?

    Schön, was macht er mit diesem Wissen? Bestenfalls kann er eine Nachzählung erreichen, die dann aber garantiert dasselbe Ergebnis bringen wird (wer kontrolliert die Aufbewahrung der Wahlzettel?).

    Wissen/herausfinden koennen, ob eine Wahl manipuliert ist oder nicht, ist einer der Hauptbestandteile einer Demokratie.

    Re: Nicht ganz so einfach (Score:2)
    Von P2501 am Thursday 16. December 2004, 10:10 MEW (#20)
    (User #31 Info) http://www.p2501.ch/

    Die User senden ihre Daten alle an ein und denselben Server. Das Protokoll kann deshalb gar nicht verteilt sein. Es geht alles an diesen Server, wenn der manipuliert ist, ist die ganze Wahl manipuliert.

    Die User senden die Daten alle an ein und dieselbe Nummer. Es ist nicht gesagt, dass dahinter nur ein Server steckt. Round Robin ist auch bei SMS möglich.

    Wer die Erzeugung der zufaelligen Daten manipuliert, hat die Wahl ebenfalls manipuliert.

    Ja, aber dazu muss die Maschine selbst unbemerkt manipuliert worden sein. Und wenn das passiert, ist sowieso alles zu spät. Egal, wie die Wahl durchgeführt wird.

    Wer den Druck der Stimmrechtsausweise unter Kontrolle hat, hat die Wahl ebenfalls im Griff.

    Ja, aber dann kann er auch die Urnenwahl manipulieren. Übrigens: Die Druckereien erstellen nur Vordrucke. Die wählerspezifischen Daten werden von den Wahlbehörden per Laserdrucker eingefügt.

    Wer den SMS-Server beherrscht, kann ebenfalls manipulieren.

    siehe oben

    Wissen/herausfinden koennen, ob eine Wahl manipuliert ist oder nicht, ist einer der Hauptbestandteile einer Demokratie.

    Nein. Gegenseitiges Vertrauen zwischen Wahlbehörden und Bevölkerung ist ein Hauptbestandteil der Demokratie. Die Kontrollen dienen hauptsächlich dazu, dieses Vertrauen zu stärken. Denn Wahlbetrügereien effektiv Aufdecken kann man so nicht. Dazu ist es schlichtweg viel zu einfach. Warum, glaubst du, ist es in Pseudodemokratien so ein beliebtes Mittel?


    --
    Linux ist eine Turboprop. HURD ist ein Düsenjetprototyp, der seinen Heimatflughafen nie verlassen hat.

    Re: Nicht ganz so einfach (Score:2)
    Von spacefight am Thursday 16. December 2004, 11:07 MEW (#21)
    (User #299 Info)
    Die User senden die Daten alle an ein und dieselbe Nummer. Es ist nicht gesagt, dass dahinter nur ein Server steckt. Round Robin ist auch bei SMS möglich.

    So, ich wage mal zu behaupten, diese SMS gehen alle über denselben Telco-Anbieter. Round Robin spielt dann keine Rolle mehr. Und wiederum gilt: Wer bei der Telco die Kontrolle über die (von mir aus) n Server hat, kann manipulieren.

    Andere Frage: Wieso braucht es überhaupt gleich _zwei_ neue Systeme? Die Manipulationsmöglichkeiten steigen da bis zu dem Punkt, wo die Daten vom Netz und vom SMS zusammengeführt werden, auf das Doppelte an.
    Re: Nicht ganz so einfach (Score:2)
    Von P2501 am Thursday 16. December 2004, 12:02 MEW (#22)
    (User #31 Info) http://www.p2501.ch/

    So, ich wage mal zu behaupten, diese SMS gehen alle über denselben Telco-Anbieter. Round Robin spielt dann keine Rolle mehr. Und wiederum gilt: Wer bei der Telco die Kontrolle über die (von mir aus) n Server hat, kann manipulieren.

    Aber nur, wenn sie die Codes kennen. Und dafür brauchen sie irgendwie Zugriff auf die Wahlcomputer. Dass sie den auf keinen Fall haben dürfen, versteht sich von selbst (egal, welches System genutzt wird).

    Andere Frage: Wieso braucht es überhaupt gleich _zwei_ neue Systeme?

    Was für zwei Systeme? Mir ist bis dato nur eines bekannt.


    --
    Linux ist eine Turboprop. HURD ist ein Düsenjetprototyp, der seinen Heimatflughafen nie verlassen hat.

    Re: Nicht ganz so einfach (Score:2)
    Von spacefight am Thursday 16. December 2004, 13:36 MEW (#23)
    (User #299 Info)
    Nur wenn Sie die Codes kennen? Sie können doch einfach Anfragen via SMS 'droppen', aber ob das geht weiss ich nicht, kenn' die Architektur ja nicht.

    Ok, eher Untersystem. Internet und SMS, je eine neue Wahlschnittstelle.
    Re: Nicht ganz so einfach (Score:2)
    Von P2501 am Thursday 16. December 2004, 14:08 MEW (#24)
    (User #31 Info) http://www.p2501.ch/

    Meinst du "droppen" im Sinne von "verschwinden lassen", oder im Sinne von "eigene Einschleusen"?

    Falls ersteres der Fall ist: Ja, aber ohne die Codes können sie nicht sehen, wie gestimmt wurde. Man kann höchstens aufgrund der Telefonnummer einzelne Leute ausschliessen. Das gleiche Problem existiert bei der brieflichen Stimmabgabe. Versehentlich verloren gehen kann nichts: Die Wahlcomputer senden Bestätigungen zurück.

    Falls letzteres der Fall ist: Nein, denn ohne die Codes können sie kein gültiges, gefälschtes SMS zusammenstellen.

    Das sind übrigens nicht zwei Untersysteme. Nur zwei Schnittstellen zu einem universell designten System. Bei SMS brauchts lediglich zusätzlich die Codes, da Kurznachrichten ja nicht verschlüsselt sind.


    --
    Linux ist eine Turboprop. HURD ist ein Düsenjetprototyp, der seinen Heimatflughafen nie verlassen hat.

    Re: Nicht ganz so einfach (Score:3, Interessant)
    Von spacefight am Thursday 16. December 2004, 15:44 MEW (#27)
    (User #299 Info)
    Ja, droppen im Sinne von nicht zählen, egal was drin steht. Das Problem ist aber wiederum die Zentralität. Es kann im grossen Stil gedroppt werden, also grossflächig, national. Bei der brieflichen Stimmabgabe geht das nur über dein lokales Wahllokal. Und "einzelne Leute" ausschliessen kannst du auch mit "viele|alle Leute" ersetzen, kannst du eine Person ausschliessen, geht das auch mit mehreren.

    Dann halt zwei Schnittstellen, es gibt dennoch rein logisch gesehen mehr Angriffspunkte als bei nur einer Schnittstelle.
    Re: Nicht ganz so einfach (Score:2)
    Von P2501 am Thursday 16. December 2004, 15:56 MEW (#28)
    (User #31 Info) http://www.p2501.ch/

    Wenn du grossflächig droppst, wirst du aber am Wahlergebniss wahrscheinlich nichts ändern (Gesetz der grossen Zahlen). Ausserdem ist das ein relativ grosser Eingriff am Telco-Server. Damit ist die Wahrscheinlichkeit hoch, dass es auffliegt. Dass die Telco selbst die Fälschung anordnet, ist bei derart ungewissem Nutzen und derart hohem Risiko eher unwahrscheinlich.

    Das mit den Angriffspunkten ist klar: Je mehr Wege es gibt, abzustimmen, desto mehr Angriffspunkte gibt es. Allerdings verteilen sich die Stimmen ja auf die Kanäle. Das heisst: Der potentielle Schaden pro Angriffspunkt sinkt.


    --
    Linux ist eine Turboprop. HURD ist ein Düsenjetprototyp, der seinen Heimatflughafen nie verlassen hat.

    Re: Nicht ganz so einfach (Score:2)
    Von spacefight am Thursday 16. December 2004, 16:09 MEW (#29)
    (User #299 Info)
    Ich gehe jetzt mal davon aus, dass nicht die Telco selbst rogue ist, sondern einer ihrer Mitarbeiter. Der kann (gewusst wie) auch sein System selbst einfach abschalten, um so bei geeignetem momentanen Ergebnis (falls Kenntnis) keine "Wahlzettel" mehr ins System reinzulassen.
    Re: Nicht ganz so einfach (Score:2)
    Von P2501 am Thursday 16. December 2004, 16:36 MEW (#30)
    (User #31 Info) http://www.p2501.ch/

    Dann fällts aber auf, weil keine Bestätigungen zurückkommen. Er müsste das System schon richtig manipulieren. Ausserdem sehe ich keine Möglichkeit, wie er schon wärend des Urnengangs an die Zwischenergebnisse gelangen könnte, es seie denn, das System sei massiv unterwandert worden.

    Aber ich glaube, wir können die Diskussion abkürzen: Ich halte das System keineswegs für absolut sicher. Ich halte es allerdings, nach allem was ich bisher darüber weiss, für etwa gleich sicher, wie die bestehenden Wege. Ausserdem hat man ja die Wahl, welchen Weg man nutzen will. Als Punkte für die Stimmabgabe via WWW/SMS sehe ich:

    • weniger Angriffspunkte als bei Stimmzetteln
    • stärkere Überwachung des Vorgangs
    Als Punkte dagegen sehe ich:
    • weniger transpartent (bis dato)
    • Wenns schief geht, gehts richtig schief.


    --
    Linux ist eine Turboprop. HURD ist ein Düsenjetprototyp, der seinen Heimatflughafen nie verlassen hat.

    Re: Nicht ganz so einfach (Score:2)
    Von spacefight am Thursday 16. December 2004, 17:58 MEW (#31)
    (User #299 Info)
    :) Ok hier mein Fazit:

    Pro
    · höhere Bequemlichkeit (wir sind alle faul)


    Contra
    · wenn etwas manipuliert wird, dann im grossen Stil. (genau, wenns schief geht...)
    · mehr Angriffspunkte als bei Stimmzetteln (es gibt die alten Angriffspunkte plus die neuen, insgesamt also mehr.)
    · mehr Firmenmitmischung auf neuen Ebenen (Internet-Infrastruktur, SMS-Systeme, gemeinsame Software/Systeminfrastruktur)

    Gleich sicher wie die Bestehenden, darin besteht ja das Problem. Zwei so und so unsichere Systeme zusammen ergeben ein so und so und so und so unsicheres System. Einfache Addition der Risiken.
    Inakzeptabel (Score:2)
    Von spacefight am Wednesday 15. December 2004, 11:40 MEW (#3)
    (User #299 Info)
    Der Code sowie das gesamte System muss offen und überprüfbar sein. Punkt.
    Für kritische Stimmen... (Score:0)
    Von Anonymer Feigling am Wednesday 15. December 2004, 13:45 MEW (#7)
    InfoWeek lesen (22/04)
    Re: Für kritische Stimmen... (Score:2)
    Von xilef (felix+symlink@nice.ch) am Thursday 16. December 2004, 01:34 MEW (#18)
    (User #354 Info) http://www.nice.ch/~felix/
    Meinst Du das Editorial Vergoldete Links und E-Voting-Prestige?

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.
    trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen