Diskussion zu einer gemeinsamen Antwort zur eidgenössischen Vernehmlassung 2021/61: Änderung der Verordnung über die politischen Rechte (VPR) und der Verordnung der BK über die elektronische Stimmabgabe (VEleS)
Creative Commons Zero v1.0 Universal
13
stars
1
forks
source link
Anhang VEleS Ziff. 3. Anforderungen an vertrauenswürdige Komponenten nach Ziffer 2 und deren Betrieb #38
3. Anforderungen an vertrauenswürdige Komponenten nach Ziffer 2 und deren Betrieb
3.1 Der Betrieb der Setup - Komponente und mindestens einer Kontrollkomponente der Gruppe, die einen Teil des Schlüssels zur Entschlüsselung der Stimmen enthält, gehört in die direkte Zuständigkeit des Kantons und muss in dessen Infrastruktur erfolgen. Die Auslagerung an einen privaten Systembetreiber ist unzulässig.
3.2 Für die Wahl von Zufallswerten namentlich für Setup - Komponenten und Kontrollkomponenten ist die Verwendung von genügend Entropie sicherzustellen.
3.3 Prüferinnen oder Prüfer müssen die Beweise nach Ziffer 2.6 mindestens einmal prüfen und dazu ein technisches Hilfsmittel nach Ziffer 2 einsetzen.
3.4 Die betrieblichen Anforderungen für Setup - Komponenten nach Ziffer 3 gelten auch für technische Hilfsmittel der Prüferinnen und Prüfer. Die Prüferinnen und Prüfer können im Rahmen ihrer Verantwortung, die durch das kantonale Recht festgelegt wird, Abweichungen vorsehen.
3.5 Der Kanton kann mit Ausnahme der unter Ziffern 3.1 und 3.3 genannten Komponenten den Betrieb beliebiger Teile des Systems, einschliesslich der Kontrollkomponenten sowie der Druckkomponente an private Dienstleister delegieren. Ein privater Betreiber der Druckkomponente darf ausschliesslich betriebliche Aufgaben wahrnehmen, die für die Aufbereitung, Verpackung und Zustellung eine Voraussetzung bilden.
3.6 Vertrauenswürdige Komponenten (Setup - Komponenten, Druckkomponenten, technische Hilfsmittel der Prüferinnen und Prüfer sowie Kontrollkomponenten) müssen in einem beobachtbaren Prozess aufgesetzt, aktualisiert, konfiguriert und abgesichert werden.
3.7 Vor der Installation einer Software ist für sämtliche Programme anhand einer publizierten Referenz zu prüfen, ob es sich bei den Dateien um die korrekte und unverfälschte Version handelt.
3.8 Der Zeitpunkt für die Aktualisierung der gesamten Software von vertrauenswürdigen Komponenten ist so zu wählen, dass sie dadurch erwarteten Vorteile gegenüber den möglichen Gefahren überwiegen.
3.9 Setup-Komponenten, Druckkomponenten und technische Hilfsmittel der Prüferinnen und Prüfer, die in irgendeiner Form an der Bearbeitung von kritischen Daten beteiligt sind, müssen während der gesamten Rechenzeit und bis zur Löschung allfälliger kritischer Daten oder bis zur sicheren Aufbewahrung im Vieraugenprinzip physisch überwacht werden. Sie dürfen höchstens über sichtbare physische Kabel untereinander verbunden sein, so dass bis zur Vernichtung der vertraulichen Daten ersichtlicherweise keine weiteren Maschinen auf sie zugreifen können.
3.10 Für die Installation oder die Aktualisi erung von Software dürfen vertrauenswürdige Komponenten nicht mit dem Internet verbunden werden.
3.11 Im Grundsatz müssen kritische Daten nach ihrer Verwendung vernichtet werden. Beim Vorliegen guter Gründe ist als Alternative auch eine sichere Aufbewahrung des Datenträgers erlaubt.
3.12 Datenträger für den Datenaustausch oder die Aufbewahrung von Daten, wie USB-Sticks, müssen nach dem Aufspielen der Daten in die vertrauenswürdige Komponente entfernt werden und dürfen vor der Vernichtung der Daten nur dann wiederverwendet werden, wenn sich auf der vertrauenswürdigen Komponente vor dem Aufspielen der Daten keine kritischen
Daten befunden haben. Datenträger für den Datenaustausch müssen vor der Verwendung mithilfe einer Komponente, die entsprechend den Anforderungen an vertrauenswürdige Komponenten betrieben wird, neu formatiert und allfällige Daten darauf müssen vernichtet werden.
3.13 Es darf kein logischer Zugriff auf oder physischer Zugang zu vertrauenswürdigen Komponenten oder Datenträgern mit kritischen Daten möglich sein, ohne dass eine andere Person dies bemerkt, beispielsweise indem sie für die Gewährung des Zugriffs mitwirken muss (strenges Vieraugenprinzip).
3.14 Ein geglückter unerlaubter Zugriff auf eine Kontrollkomponente soll möglichst keinen Vorteil beim Versuch verschaffen, auf eine weitere Kontrollkomponente unbemerkt zuzugreifen. Zusätzlich zu den übrigen Anforderungen nach Ziffer 3 gelten dahingehend die folgenden Anforderungen:
Hat eine Person physischen oder logischen Zugriff auf eine Kontrollkomponente, so darf sie keinen Zugriff auf eine andere Kontrollkomponente haben.
Die Hardware, die Betriebssysteme und die Überwachungssysteme der Kontrollkomponenten sollen sich unterscheiden.
Die Kontrollkomponenten sollen an unterschiedliche Netzwerke angeschlossen sein.
Eine Kontrollkomponente muss durch ein physisches Gerät realisiert werden. Virtualisierung über mehrere physische Geräte ist nicht zulässig.
3.15 Kontrollkomponenten müssen darauf ausgerichtet sein, unerlaubte Zugriffe zu erkennen und die verantwortlichen Personen zu alarmieren. Die verantwortlichen Personen sollen externe Überwachungsmassnahmen vorsehen, wie beispielsweise die Überwachung und die manipulationsresistente Protokollierung des Netzverkehrs oder die physische Überwachung mit Kameras, die ihrer Kontrolle unterliegen. Die verantwortlichen Personen müssen als besonders vertrauenswürdig und zuverlässig gelten.
3.16 Vertrauenswürdige Komponenten müssen ausschliesslich die vorgesehenen Operationen durchführen.
3.17 Die Software des technischen Hilf smittels der Prüferinnen und Prüfer muss von einem anderen Systementwickler bezogen werden als jenem, der den grössten Teil der Software der übrigen Systembestandteile entwickelt hat.
Die Publikation der Software des technischen Hilfsmittels unter einer Lizenz, die die Kriterien nach Open Source Software (vgl. dazu die Definition im Praxis-Leitfaden Open Source Software in der Bundesverwaltung, Version 1. vom 19.12.2019, Kap. 1; beziehbar bei: Schweizerische Bundeskanzlei, CH- 30 03 Bern; http://www.bk.admin.ch > Digitale Transformation und IKT Lenkung > Bundesarchitektur > Open Source Software (OSS).) erfüllt, kann eine Ausnahme begründen. Bringen Prüferinnen oder Prüfer mehrere technische Hilfsmittel zum Einsatz, so gilt diese Bestimmung für mindestens eines.
3.18 Alle Abläufe im Umgang mit vertrauenswürd igen Komponenten müssen schriftlich und für die betroffenen Personen leicht verständlich dokumentiert sein.
3.19 Jeder Zugriff und jede Verwendung einer vertrauenswürdigen Komponente oder eines Datenträgers mit kritischen Daten müssen protokolliert werden.
Referenzen
Bericht der Bundeskanzlei, S. 26:
Ziff. 3 Anforderungen an vertrauenswürdige Komponenten nach Ziffer 2 und deren Betrieb
Hier werden Anforderungen an die Komponenten gestellt, die gemäss dem kryptografischen Protokoll bei der Erfüllung mindestens einer der Anforderungen nach Ziffern 2.5–2.8 als vertrauenswürdig angenommen werden. Es kann sich dabei um folgende Komponenten handeln:
Setup-Komponenten
Druckkomponenten
Kontrollkomponenten
Technische Hilfsmittel der Prüferinnen und Prüfer
Ziff. 3.1: Dazu gehört das Aufsetzen (Betriebssystem, Laufzeitumgebung, Software für die elektronische Stimmabgabe), die Prüfung der Korrektheit der Dateien mit der Software für die elektronische Stimmabgabe, das Aktualisieren, Konfigurieren und das Absichern. Vgl. auch Erläuterungen zu Ziffer 2.9.3.
Ziff. 3.4: Die konkrete Organisation und Ausgestaltung des Einsatzes von Prüferinnen und Prüfern richtet sich nach kantonalem Recht (vgl. dazu auch die Erläuterungen zu Art. 27m Abs. 4 E-VPR).
Ziff. 3.7: Damit ist nebst der Software für die elektronische Stimmabgabe auch die Software der Infrastruktur, wie beispielsweise Betriebssysteme, gemeint.
Wortlaut der Vorlage
3. Anforderungen an vertrauenswürdige Komponenten nach Ziffer 2 und deren Betrieb
3.1 Der Betrieb der Setup - Komponente und mindestens einer Kontrollkomponente der Gruppe, die einen Teil des Schlüssels zur Entschlüsselung der Stimmen enthält, gehört in die direkte Zuständigkeit des Kantons und muss in dessen Infrastruktur erfolgen. Die Auslagerung an einen privaten Systembetreiber ist unzulässig.
3.2 Für die Wahl von Zufallswerten namentlich für Setup - Komponenten und Kontrollkomponenten ist die Verwendung von genügend Entropie sicherzustellen.
3.3 Prüferinnen oder Prüfer müssen die Beweise nach Ziffer 2.6 mindestens einmal prüfen und dazu ein technisches Hilfsmittel nach Ziffer 2 einsetzen.
3.4 Die betrieblichen Anforderungen für Setup - Komponenten nach Ziffer 3 gelten auch für technische Hilfsmittel der Prüferinnen und Prüfer. Die Prüferinnen und Prüfer können im Rahmen ihrer Verantwortung, die durch das kantonale Recht festgelegt wird, Abweichungen vorsehen.
3.5 Der Kanton kann mit Ausnahme der unter Ziffern 3.1 und 3.3 genannten Komponenten den Betrieb beliebiger Teile des Systems, einschliesslich der Kontrollkomponenten sowie der Druckkomponente an private Dienstleister delegieren. Ein privater Betreiber der Druckkomponente darf ausschliesslich betriebliche Aufgaben wahrnehmen, die für die Aufbereitung, Verpackung und Zustellung eine Voraussetzung bilden.
3.6 Vertrauenswürdige Komponenten (Setup - Komponenten, Druckkomponenten, technische Hilfsmittel der Prüferinnen und Prüfer sowie Kontrollkomponenten) müssen in einem beobachtbaren Prozess aufgesetzt, aktualisiert, konfiguriert und abgesichert werden.
3.7 Vor der Installation einer Software ist für sämtliche Programme anhand einer publizierten Referenz zu prüfen, ob es sich bei den Dateien um die korrekte und unverfälschte Version handelt.
3.8 Der Zeitpunkt für die Aktualisierung der gesamten Software von vertrauenswürdigen Komponenten ist so zu wählen, dass sie dadurch erwarteten Vorteile gegenüber den möglichen Gefahren überwiegen.
3.9 Setup-Komponenten, Druckkomponenten und technische Hilfsmittel der Prüferinnen und Prüfer, die in irgendeiner Form an der Bearbeitung von kritischen Daten beteiligt sind, müssen während der gesamten Rechenzeit und bis zur Löschung allfälliger kritischer Daten oder bis zur sicheren Aufbewahrung im Vieraugenprinzip physisch überwacht werden. Sie dürfen höchstens über sichtbare physische Kabel untereinander verbunden sein, so dass bis zur Vernichtung der vertraulichen Daten ersichtlicherweise keine weiteren Maschinen auf sie zugreifen können.
3.10 Für die Installation oder die Aktualisi erung von Software dürfen vertrauenswürdige Komponenten nicht mit dem Internet verbunden werden.
3.11 Im Grundsatz müssen kritische Daten nach ihrer Verwendung vernichtet werden. Beim Vorliegen guter Gründe ist als Alternative auch eine sichere Aufbewahrung des Datenträgers erlaubt.
3.12 Datenträger für den Datenaustausch oder die Aufbewahrung von Daten, wie USB-Sticks, müssen nach dem Aufspielen der Daten in die vertrauenswürdige Komponente entfernt werden und dürfen vor der Vernichtung der Daten nur dann wiederverwendet werden, wenn sich auf der vertrauenswürdigen Komponente vor dem Aufspielen der Daten keine kritischen Daten befunden haben. Datenträger für den Datenaustausch müssen vor der Verwendung mithilfe einer Komponente, die entsprechend den Anforderungen an vertrauenswürdige Komponenten betrieben wird, neu formatiert und allfällige Daten darauf müssen vernichtet werden.
3.13 Es darf kein logischer Zugriff auf oder physischer Zugang zu vertrauenswürdigen Komponenten oder Datenträgern mit kritischen Daten möglich sein, ohne dass eine andere Person dies bemerkt, beispielsweise indem sie für die Gewährung des Zugriffs mitwirken muss (strenges Vieraugenprinzip).
3.14 Ein geglückter unerlaubter Zugriff auf eine Kontrollkomponente soll möglichst keinen Vorteil beim Versuch verschaffen, auf eine weitere Kontrollkomponente unbemerkt zuzugreifen. Zusätzlich zu den übrigen Anforderungen nach Ziffer 3 gelten dahingehend die folgenden Anforderungen:
3.15 Kontrollkomponenten müssen darauf ausgerichtet sein, unerlaubte Zugriffe zu erkennen und die verantwortlichen Personen zu alarmieren. Die verantwortlichen Personen sollen externe Überwachungsmassnahmen vorsehen, wie beispielsweise die Überwachung und die manipulationsresistente Protokollierung des Netzverkehrs oder die physische Überwachung mit Kameras, die ihrer Kontrolle unterliegen. Die verantwortlichen Personen müssen als besonders vertrauenswürdig und zuverlässig gelten.
3.16 Vertrauenswürdige Komponenten müssen ausschliesslich die vorgesehenen Operationen durchführen.
3.17 Die Software des technischen Hilf smittels der Prüferinnen und Prüfer muss von einem anderen Systementwickler bezogen werden als jenem, der den grössten Teil der Software der übrigen Systembestandteile entwickelt hat. Die Publikation der Software des technischen Hilfsmittels unter einer Lizenz, die die Kriterien nach Open Source Software (vgl. dazu die Definition im Praxis-Leitfaden Open Source Software in der Bundesverwaltung, Version 1. vom 19.12.2019, Kap. 1; beziehbar bei: Schweizerische Bundeskanzlei, CH- 30 03 Bern; http://www.bk.admin.ch > Digitale Transformation und IKT Lenkung > Bundesarchitektur > Open Source Software (OSS).) erfüllt, kann eine Ausnahme begründen. Bringen Prüferinnen oder Prüfer mehrere technische Hilfsmittel zum Einsatz, so gilt diese Bestimmung für mindestens eines.
3.18 Alle Abläufe im Umgang mit vertrauenswürd igen Komponenten müssen schriftlich und für die betroffenen Personen leicht verständlich dokumentiert sein.
3.19 Jeder Zugriff und jede Verwendung einer vertrauenswürdigen Komponente oder eines Datenträgers mit kritischen Daten müssen protokolliert werden.
Referenzen
Ziff. 3 Anforderungen an vertrauenswürdige Komponenten nach Ziffer 2 und deren Betrieb
Hier werden Anforderungen an die Komponenten gestellt, die gemäss dem kryptografischen Protokoll bei der Erfüllung mindestens einer der Anforderungen nach Ziffern 2.5–2.8 als vertrauenswürdig angenommen werden. Es kann sich dabei um folgende Komponenten handeln:
Ziff. 3.1: Dazu gehört das Aufsetzen (Betriebssystem, Laufzeitumgebung, Software für die elektronische Stimmabgabe), die Prüfung der Korrektheit der Dateien mit der Software für die elektronische Stimmabgabe, das Aktualisieren, Konfigurieren und das Absichern. Vgl. auch Erläuterungen zu Ziffer 2.9.3.
Ziff. 3.4: Die konkrete Organisation und Ausgestaltung des Einsatzes von Prüferinnen und Prüfern richtet sich nach kantonalem Recht (vgl. dazu auch die Erläuterungen zu Art. 27m Abs. 4 E-VPR).
Ziff. 3.7: Damit ist nebst der Software für die elektronische Stimmabgabe auch die Software der Infrastruktur, wie beispielsweise Betriebssysteme, gemeint.