1 / 64

Diplomarbeit von Melanie Volkamer 02.03.2004

Entwicklung und prototypische Realisierung eines Wahlprotokolls für die Durchführung von Personalratswahlen. Diplomarbeit von Melanie Volkamer 02.03.2004. Inhalt. Einleitung Probleme und Lösungsvorschlag Anwendungsfeld Rechtsgrundlagen Vertrauensmodell Designentscheidung

jui
Download Presentation

Diplomarbeit von Melanie Volkamer 02.03.2004

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Entwicklung und prototypische Realisierung eines Wahlprotokolls für die Durchführung von Personalratswahlen Diplomarbeit von Melanie Volkamer 02.03.2004

  2. Inhalt • Einleitung • Probleme und Lösungsvorschlag • Anwendungsfeld • Rechtsgrundlagen • Vertrauensmodell • Designentscheidung • Architektur und Protokolle • Angriffe/Bedrohungen • Implementierung von SecVote • Zusammenfassung und Ausblick

  3. 1. Einleitung x x Wir wollen Internetwahlen ! • Reformen in der Technik von Wahlen • 1867 Reichswahlgesetz: allgemein (Frauen ab 1919), unmittelbar, geheim • 1949 Grundgesetz: zusätzlich frei, gleich • 1957 Briefwahl, 1975 Wahlgeräte • E-Democracy/E-Government • Seit Ende der 90er Internetwahlprojekte • Immernoch aktuell: W.I.E.N.,

  4. 1.1 Klassifizierung Einsatz elektronischer Wahlgeräte Wahlen über andere Übertra-gungsmedien Internetwahl-systeme • seit 1975 • §35 BWG Def: Abwicklung einer Wahl über das Internet • Standleitung • Telefonleitung elektronische Wahlsysteme Internetwahl-systeme

  5. 1.1 Klassifizierung (2) • Ort der Stimmabgabe • Wahllokal • Wahlkiosk • individuell (PC, mobile) • Vertrauens-modell • keiner • einer • mehreren • (Instanzen vertrauen) • Authenti-fizierung • Wissen (PIN) • Besitz (Sig.) • pers. Eigen- schaften (Fin-gerabdruck) Internetwahl-systeme • kryptogr. Primitive • asym. Ver-schlüsselung • blinde Sig. • MIXE • usw.

  6. 1.2 Internetwahlprojekte • Weltweit etwa 40 Internetwahlen • Etwa die Hälfte verbindlich • Meist „individuell“ + PIN/TAN • 15 Internetwahlen in Deutschland • In Deutschland • Wahlkreis 329/Forschungsgruppe Internetwahlen • 10 durchgeführte Wahlen • Meist bei Personal-/Betriebsratswahlen

  7. 2. Problematik (allgemein) • Komplexität und Vielschichtigkeit • Fächerübregreifend (IT, Jura, Soziologie) • Authentizität  Anonymität • Unterschiedliche rechtliche Vorgaben • Staaten / Anwendungsgebiet (Vereins-wahlen, Bundestagswahlen) • Weitere Unterschiede • Änderbarkeit der Wahlgesetze • Motivation und Publicity des Angreifers • Wählerzahlen und Kosten • Gesetzl. Rahmenbedingungen fehlen

  8. 2. Problematik (konkret) • Bisherigere Internetwahlsysteme • Theoretische Ansätze aber unpraktikabel • Systeme sind nicht rechtskonform • Nicht-öffentliche Architekturen/Verfahren • Keine Kriterien zur Verifikation • Sehr geringe Akzeptanz • Zu kostspielig • Probleme teilweise erkannt und gelöst • Gewaltenteilung • Individulle Internetwahl

  9. 2. Lösungsvorschlag • Vorgehensweise Rechtsvorlagen  Anforderungen auf techn. Ebene  Anforderungen auf Design-Ebene  Komponentenanforderungen • Architektur  Gewaltenteilung • Mechanismus zur unbegrenzten Sicherung des Wahlgeheimnisses Rechtsgrundlagen Sicherheitsanforderungen auf technischer Ebene Sicherheitsanforderungen auf Design-Ebene Komponentenanforderungen

  10. 3. Anwendungsfeld Beschäftigtengruppen Beamten Angestellte Arbeiter Bezirks-, Haupt-, Gesamtpersonalrat Bundespersonalvertretungsgesetz Einsatzumgebung 3 Stimmzettel

  11. 3. Anwendungsfeld (2) Einsatzumgebung Intranet PC mit Intranetanschluss am Arbeitsplatz  mit dem Umgang vertraut Jobkarten (eCard – Initiative)

  12. 4. Rechtsgrundlagen Rechtsgrundlagen Sicherheitsanforderungen auf technischer Ebene Sicherheitsanforderungen auf Design-Ebene Komponentenanforderungen

  13. 4. Rechtsgrundlagen Artikel 38 [Wahlrechtsgrundsätze; Rechtsstellung der Abgeordneten] (1) Die Abgeordneten des Deutschen Bundestages werden in allgemeiner, unmittelbarer, freier, gleicher und geheimer Wahl gewählt. • Grundgesetz (GG)  5 Wahlrechtsgrundätze • Wahl der Abgeordneten des Deut-schen Bundestages • Bundespersonalvertretungsgesetz (BPersVG) und zugehörige Wahlord-nung (BPersVWO)

  14. 4.1 Wahlrechtsgrundsätze allgemein: unmittelbar: frei: gleich: geheim: Gleichheit beim Zugang/ gleiche Voraussetzung Stimmen wirken direkt auf das Ergebnis; keine Mittelsmänner ohne Zwang/Druck/Beeinflussung und ungültige Stimmabgabe Zählwert- und Erfolgswertgleichheit Dauerhafte Sicherung des Wahl- geheimnisses unabhängig vom Fortschritt in Technik und Kryptographie

  15. 4.2 BPersVG und BPersVWO • BPersVG • Wahlen sind geheim und unmittelbar • In der Normenhierachie dem GG untergeordnet  5 Wahlrechtsgrundsätze müssen erfüllt sein • BPersVWO – Briefwahlen • §17 Schriftliche Stimmabgabe: „Einem wahlberechtigten Beschäftigten, der im Zeitpunkt der Wahl verhindert ist ...“ • Ausnahmeregelung

  16. Mittagspause?

  17. 5. Vertrauensmodell Rechtsgrundlagen Sicherheitsanforderungen auf technischer Ebene Sicherheitsanforderungen auf Design-Ebene Komponentenanforderungen

  18. 5. Vertrauensmodell • Ehrliche Teilnehmer • Wähler • Wahlveranstalter • (Administratoren) • Angreifer • Wahlberechtigte • Kandidaten • Außenstehende • Hersteller der Soft-/Hardware

  19. 5.1 Angreifer (Eigenschaften) Können Nachrichten Mitlesen Speichern Verändern Kryptographische Beschränktheit während der Wahl Finanziell beschränkt Keine Beeinflussung der Wähler in der Wahlkabine Erzeugen Löschen

  20. 5.1 Angreifer (Ziele) Brechen des Wahlgeheimnisses Eines bestimmten Wählers Beweisbar Direkte Ergebnismanipulation Votum löschen, hinzufügen, verändern Indirekte Ergebnismanipulation Manipulaiton des Wählerverzeichnisses Verhindern der Wahl Zwischenergebnis berechnen

  21. 5.2 Ehrliche Teilnehmer • Eigenschaften • Wähler • Bewahren eigene Wahlentscheidung • Übertragen das Identitätsmerkmal nicht • Wahlveranstalter • Befolgen Vorgaben/Schutzmaßnahmen des Systems • Versuchen Angriffe aufzudecken

  22. 5.3 Anforderungen • Systemanforderungen • Abgeleitet von den Rechtsgrundlagen • Anforderungen an die Umgebung • Müssen gelten, damit das System obige Anforderungen erfüllt

  23. 5.3.1 Systemanforderungen • Allgemeine Wahl • Verfügbarkeit • Verfügbarkeit des Wahlsystems • Keine inkonsistenten Zustände • Keine Systemausfall • Benutzerfreundlichkeit • Zuverlässigkeit • Bei der Datenübtragung und Speicherung • Der eingesetzten Infrastrukturen • Korrektheit • Zählen aller Stimmen

  24. 5.3.1 Systemanforderungen (2) • Unmittelbare Wahl • Keine technischen Anforderungen • Freie Wahl • Unerzwingbarkeit • Unbeobachtete Stimmabgabe ermöglichen • Beinflussung im Vorfeld geheime Wahl • Stimmzettelgestaltung • Ungültig Stimmabgabe ermöglichen

  25. 5.3.1 Systemanforderungen (3) • Gleiche Wahl • Authentifikation und Autentisierung • Eindeutige Authentifikation • Authentifikationsmerkmal nicht übertragbar • Eindeutige Wahlberechtigungsüberprüfung • Korrektheit • Alle Stimmen genau einmal zählen • Integrität und Authentizität • Bei Datenspeicherung und –übertragung • Vor allem Stimmzettel fälschungssicher • Angreifernachrichten erkennen

  26. 5.3.1 Systemanforderungen (4) • Nichtvermehrbarkeit • Keine Stimmzettelvervielfältigung • Mehrfache Stimmabgabe ausgeschlossen • Stimmzettelgestaltung • Gleicher Platz für alle Kandidaten • Rechnerschutz • Unberechtigter Zugriff • Sicherung vor Angriffen über das Internet

  27. 5.3.1 Systemanforderungen (5) • Geheime Wahl • Geheimhaltung • Nichtrückverfolgbarkeit • Informationstheoretisch sicher • Unverkaufbarkeit • Stimmabgabe für Käufer nicht prüfbar • Eigene Entscheidung nicht beweisbar • Rechnerschutz • Zugriffsrechte • Briefwahlen • Distanzwahl als Ausnahme

  28. 5.3.2 Umgebungsanforderungen • Angreifermächtigkeit • Am Wahltag kryptographisch beschränkt • Max. Zugriff auf eine Komponente • Wählerverhalten • Nicht alle wählen das gleiche • Nicht alle verschwören sich gegen einen • Verhalten der Organisatoren • Sicherung vor Stromausfällen • Einsatz sicherer Rechner • Keine Zusammenarbeit zum Wahlbetrug

  29. 6. Designentscheidungen Rechtsgrundlagen Sicherheitsanforderungen auf technischer Ebene Sicherheitsanforderungen auf Design-Ebene Komponentenanforderungen

  30. 6. Designentscheidungen • Ort der Stimmabgabe • Methoden der Authentifizierung • Kryptographische Primitive • Ungültige Stimmabgabe • Mehrfache Gewaltenteilung

  31. 6.1 Ort der Stimmabgabe Distanzwahl als Ausnahme statt Briefwahl indivi - duelle Internetwahl Verfügbarkeit Briefwahl und indivi- duelle Internetwahl sichere Geräte Internetwahl im Wahllokal Ausschließlich indivi- duelle Internetwahl

  32. 6.2 Authentifizierung • Wissen: PIN/TAN • Einfach übertragbar • Persöhnliche Eigenschaften: Fingerabdruck • Zu teuer • Fehlende Technik • Besitz: digitale Signaturkarte • Jobkarten und Infrastruktur vorhanden • In Kombination mit PIN qualifiziert • Nicht übertragbar, da Jobkarte • Einsatz der CA (Gültigkeitsüberprüfung)

  33. 6.3 Kryptographische Primitive • Verschlüsselung ist nicht ausreichend für unbegrenzte Geheimhaltung • Asymmetrisch (Problem: kryptographische Annahmen) • Symmetrisch • One-Time-Pad (Problem: zufälliger, einmaliger Schlüssel) • Sonstige (Problem: kryptographische Annahmen) • MIXE : Kommunikation bis zum MIX • Blinde Signaturen: Angreiferdefinition

  34. 6.3 Kryptographische Primitive (2) • Zufälliges Auswählen • Erste Stimmabgabe nur Speichern • Zweite Stimmabgabe • Suche zufällig eines der beiden aus • Verschicke diese Stimme • Speichere andere Stimme • Wiederholung bei jeder Stimmabgabe • „Nach“ Wahlende: • Stimme aus Speicher verschicken • Informationstheoretisch sicher

  35. 6.3 Kryptographische Primitive (3) • Problem • Zwei letzten verschickten Voten gleich • Aber • Nicht planbar • Geringe Wahrscheinlichkeit • Schwer beweisbar • Votum eines beliebigen Wählers • Verbesserung • Mehr als zwei Voten sammeln • Symmtrische Verschlüsselung wegen Zwischenergebnissen

  36. 6.4 Ungültige Stimmabgabe • Textfeld  Tastatur erforderlich • Button • Andere Gestalt, aber eh Sende-Button • Ungewollte ungültige Stimmabgabe • Zweifaches Bestätigen • Hinweis Stimmzettel Wählen Sie einen kandidaten, um eine gültige Stimme abzugeben Hans Müller (Öko1) Christel Schmitt (Öko2) Carla Wagner (Öko1) Ralf Hoffmann (Öko3) wählen ungültige Stimme abbrechen

  37. 6.5 Gewaltenteilung • Wahlberechtigungsprüfung und Stim-mensammlung trennen • Sonst erreicht Angreifer all seine Ziele • Zwei Komponenten zur Wahlberechti-gungsprüfung • Sonst Ergebnismanipulations möglich • Stimmsammlung und Stimmauszäh-lung trennen • Sonst Zwischenergebnisse • Zwei Rechner pro Wahlkabine • Sonst Wahlgeheimnis nicht sicher

  38. 6.6 Design - Zusammenfassung • Internetwahl im Wahllokal • Qualifizierte digitale Signatur • Zufallsmechanismus zur Geheimhal-tung • Symmetrische Verschlüsselung wegen Zwischenergebnissen • Button zur ungültigen Stimmabgabe • Gewaltenteilung an 4 Stellen

  39. Kaffee?

  40. 7. Architektur und Protokolle Rechtsgrundlagen Sicherheitsanforderungen auf technischer Ebene Sicherheitsanforderungen auf Design-Ebene Komponentenanforderungen

  41. 7.1 Architektur Controller UrnServer RegServer CA WahlPC RegPC PIN Sig • Server: • RegServer • CA • UrnServer • Rechner: • Controller • RegPCs • WahlPCs • (VerPCs Für herkömmlich/kombinierte Stimmabgabe)

  42. 7.2 Protokolle • Registrierung • Wählerzertifikatsüberprüfung: Controller CA • Initialisierung • Gültigkeitsüberprüfung der Komponen-tenzertifikate: KOMPONENTECA • Wahlstart-Nachricht mit zusätzlichen Infos: ControllerKOMPONENTE • Wahlvorgang • Ergebnisberechnung • Wahlende-Nachricht

  43. 7.2 Protokoll - Wahlvorgang (2)Anfrage (3)OK (6) OK (12)Hat gewählt (4)OK, Typ (8) Typ (9) Wahl- zettel (5) Anfrage (11a)ACK (12a) ACK (11)Hat gewählt (1)Anfrage (10)Hat gewählt (13)Votum (7)freischalten, Typ (13a)ACK Sig • Stimmensammlung • Statusänderung • Stimmabgabe • Wahlberechtigungsprüfung UrnServer RegServer CA abge- schlossen Stimm- abgabe Bitte warten Karte ? OK WahlPC Karte ? PIN ? RegPC WahlPC

  44. 7.3 Komponentenanforderungen Controller • Anforderungen • Verfügbarkeit des Wählerverzeichnisses sichern • Stimmzettelgestaltung beachten • Integrität/Authentizität • Korrektheit/keine Zwischenergebnisse • Aufgaben • Erzeugung des Wählerverzeichnis-ses • Erzeugen der Stimmzettel • Verteilen der Daten • Ergebnisberechnung

  45. 7.3 Komponentenanforderungen • RegServer • Aufgaben: Berechtigungsprüfung • Anforderungen • Eindeutige Authentifikation • Eindeutige Wahlberechtigungsüberprüfung • Verfügbarkeit • CA • Aufgaben: zusätzl. Zertifikatsüberprüfung • Anforderungen: korrekte Überprüfung

  46. 7.3 Komponentenanforderungen • RegPC • Aufgaben: Erfragen des Identifikations-merkmals • Anforderungen • Benutzerfreundlichkeit • Verfügbarkeit

  47. 7.3 Komponentenanforderungen • WahlPC • Aufgaben: Stimmabgabe • Anforderungen • Benutzerfreundlichkeit • Verfügbarkeit • Nichtvermehrbarkeit (nur eine Stimme) • Geheimhaltung • Integrität und Authentizität bei Übertragung

  48. 7.3 Komponentenanforderungen • UrnServer • Aufgaben:Stimmensammlung • Anforderungen • Verfügbarkeit • Nichtvermehrbarkeit • Integrität • Kein Zwischenergebnis

  49. 7.3 Komponentenanforderungen • Gesamtes System • Anforderungen • Zuverlässigkeit (Datenverluste, Kommunikation mit Systemkomponente) • Integrität und Authentizität bei der Daten-übertragung • Rechnerschutz

  50. 7.4 Übersicht

More Related