Fragensammlung

[melchl]

Offene Fragen. Werden konsolidiert und ggf. an Dritte weitergeleitet.

[melchl]

Wie beweisen Stimmberechtigte, dass sie online noch nicht abgestimmt haben und welches sind die Auswirkungen dieses Prozesses auf das Stimmgeheimnis? Falls der Original-Stimmrechtsausweis nicht vorliegt, wie stellt der Kanton fest, ob ein Ersatz-Stimmrechtsausweis erstellt werden darf?

EDIT: Wahlbüro hat eine Liste mit Personen, die bereits brieflich oder elektronisch abgestimmt haben. Die Post besitzt die Zuordnung zwischen Klarnamen und der anonymen ID nicht.

[melchl]

Frage zu Anhang VEleS 2.8: "Es muss sichergestellt sein, dass der Angreifer keine Stimme systemkonform abgeben kann, ohne die entsprechenden Stimmberechtigten unter seine Kontrolle zu bringen."

Wie wird verhindert, dass ein Angreifer keine Stimme systemkonform abgeben kann, wenn er z.B. die Codes aus der Druckerei besitzt?

EDIT: "2.4.2 Vertrauenswürdige Systemteilnehmende und Kommunikationskanäle werden als gegen Angreifer geschützt betrachtet. " - Die Druckkomponente gilt bezüglich der individuellen Verifizierbarkeit als vertrauenswürdig.

[melchl]

Frage zu Anhang VEleS 2.12.11 "Werden Stimmdaten importiert, so ist eine Setup-Komponente oder eine Druckkomponente ab jenem Zeitpunkt nicht mehr als vertrauenswürdig zu betrachten." Was ist hier der Use-Case, resp. wo sind diese Vorgänge verständlich erklärt?

EDIT: Die Setup-Komponente generiert die geheimen Schlüssel. Würden Stimmdaten in diese Komponente importiert, dann könnte sie das Stimmgeheimnis brechen. Bei der Post wird der gleiche Quellcode verwendet für die Setup-Komponente als auch für die Offline-Kontrollkomponente beim Kanton. Die Bestimmung will sicherstellen, dass es sich um zwei klar verschiedene Geräte handelt und der import von Stimmdaten in die Setup-Komponente nicht zulässig ist.

[melchl]

Frage zu Anhang VEleS 4.12: "Die Verwendung eines von der elektronischen Stimmabgabe unabhängigen Authentisierungsmittels ist erlaubt. Auswirkungen auf die Integrität der Stimmrechtsprüfung sowie die Wahrung des Stimmgeheimnisses sind im Rahmen der Risikobeurteilung vertieft zu prüfen." Die entsprechenden Erläuterungen zur Vorlage lauten: "Ziff. 4.12: Die Bestätigung der definitiven Stimmabgabe nach Ziffer 2.12.8 muss unter Verwendung eines Geheimelements erfolgen, das noch nicht in die Benutzerplattform eingegeben wurde. Es ist nicht ausgeschlossen, eine E-ID als Ersatz für dieses Geheimelement zu verwenden. Dies müsste gestützt auf eine Risikobeurteilung erfolgen. Allerdings kann eine E-ID die briefliche Zustellung der Verifizierungsreferenz nicht ersetzen. Eine briefliche Zustellung des Stimmmaterials wird vorläufig nötig bleiben.

Ferner gilt die Bestimmung, dass die Zulässigkeit des Einsatzes einer E-ID auf der Grundlage einer Risikobeurteilung geprüft werden muss auch dann, wenn diese vom Staat herausgegeben wird oder staatlich anerkannt ist."

Welche konkreten Prozesse sind hier vorgesehen? Werden Authentiserungsmerkmale "Ad-Hoc" oder auf Vorrat generiert und wie wird Missbrauch verhindert?

EDIT: Weiterhin unklar.

[melchl]

Frage zu Anhang VEleS 14.7: "Es ist möglich, mit Hilfe von Authentisierungsmerkmalen Kontrollstimmen abzugeben, die keiner stimmberechtigten Person zugewiesen sind. Der Inhalt dieser Kontrollstimmen wird protokolliert. Die Auszählung der Kontrollstimmen wird mit den Protokollen verglichen."

Wie kann man Kontrollstimmen technisch von normalen Stimmen unterscheiden?

EDIT: Kontrollstimmen werden in dedizierten Urnen gespeichert. Z.B. kann jede Gemeinde eine elektronische Urne haben. Kontrollstimmen werden in dem Sinne nie einer echten Gemeinde zugeordnet und können leicht aussortiert werden.

[melchl]

Frage zu Anhang VEleS 25.9.4: "Die Module teilen keine Daten über einen gemeinsamen volatilen Speicher (z. B. globale Variable)."

Umsetzung für mich unklar. Müssen z.B. Log-Handler jedem Modul explizit übergeben werden?

EDIT: Weiterhin unklar.

[melchl]

Frage zu Anhang VEleS 26.2.3: "Zeitpunkt der Prüfung: Eine komplette Überprüfung erfolgt vor der ersten Inbetriebnahme. Die Prüfung wird nach zwei bis drei Jahren erneut durchgeführt. Die Prüfung findet bei jeder wesentlichen Änderung neu statt, insbesondere: -nach einer Änderung am kryptografischen Protokoll; -bei jeder Änderung am Quellcode der Funktionen, deren Vertrauenswürdigkeit für die Stichhaltigkeit der im Rahmen der Verifizierbarkeit vorgesehenen Beweise massgeblich sind; -bei relevanten neuen Erkenntnissen der Forschung bezüglich der Sicherheit von verwendeten kryptografischen Elementen sowie der Bedrohungslage; -beim Verzicht oder bei wesentlichen Anpassungen an Mechanismen, die dem sicheren Einsatz von vertrauenswürdigen Komponenten nach Ziffer 2 dienen."

Ich verstehe nicht, worauf sich das Wort "Verzicht" im Zusammenhang mit Ziffer 2 bezieht.

EDIT: Vermutlich folgendes Szenario: Es wird auf eine bestehende Massnahme, die zur Umsetzung der Anforderungen nach Ziffer 2 ("Anforderungen an das kryptografische Protokoll für die vollständige Verifizierbarkeit ") eingesetzt wurde, neu verzichtet. Dies impliziert nicht, dass auf die Umsetzung einer Anforderungen nach Ziffer 2 verzichtet würde. Es würde nur bedeuten, dass eine erneute Prüfung notwendig würde, wenn z.B. überschneidende oder sich ergänzende Massnahmen "gelichtet" würden.