Erfaringer med sikkerheti e-valg

Thomas TjøstheimSikkerhetsrådgiver Hordaland Fylkeskommune

www.hordaland.no

Bakgrunn

Ph.D. i datasikkerhet fra UiB 2007– E-valg og nettbanksikkerhet

4 år med sikkerhet i næringslivet – EDB ErgoGroup– Hordaland fylkeskommune

Fra 1.09.2011– Produktansvarlig kunde og sikkerhet, Skandiabanken

Annet– E-valg referansegruppe– Sikkerhetstenketanken– DND IT sikkerhet Bergen

www.hordaland.no

Agenda

E-valg – Hva er det? – Hvorfor er det vanskelig?

E-valg 2011– Om prosjektet– Løsningen

Utvalgte sårbarheter

www.hordaland.no

Hemmelige valg – Et antikt problem

Demokratiets opprinnelse – 500-400 B.C, grekerne– Potteskår som stemmesedler– Dagen stemmeseddel, opprinnelse

fra Australia, 1850-tallet.

Men, historien full av eksempler på valgfusk…

Mål: Å kunne overbevise taperne om at de har tapt (D. Wallach)

www.hordaland.no

E-valg

Elektronikk – Stemme– Telle stemmer

Mulige fordeler– Raskere– Økt tilgjengelighet– Reduserte kostnader på sikt?– Økt valgdeltakelse?

www.hordaland.no

Internettbasert stemmegivning

Internettbasert stemmegivning– Stemmegivning i ukontrollert miljø

– Legg til figur her… Mann som stemmer i ”unndiken” foran pcen?

www.hordaland.no

Hvorfor er det vanskelig å designe en valgløsning?

Ingen nøytrale tredje parter– Velgerne kan fuske– Løsningen kan fuske– Tvang og stemmekjøpere

Motstridene krav– Verifiserbarhet vs. anonymitet

”It’s not the voting that’s democracy, it’s the counting” – Tom Stoppard

www.hordaland.no

In code we trust

www.hordaland.no

Sikker stemmegivning over internett?E-valg forskerne er skeptiske

Peter Ryan “I’m not advocating remote voting for

political elections. The political context will be variable in different countries, so it will be up to the politicians to determine what risks are acceptable.”

www.hordaland.no

Sikker stemmegivning over internett? Samfunnsviterne er skeptiske

Anne-Marie Oostveen1. Hemmelig og fritt valg?2. ”Digital divide”3. Kulturell effekt

Samling av folk og borgerritual4. Organisasjonsproblem

Online helpdesk Mange roller (e-valg + papirvalg)

5. Påvirkning fra miljøet

www.hordaland.no

Sikker stemmegivning over internett?Løsningsarkitekten er skeptisk

Kristian Gjøsteen “With realistic attack models (the attacker

knows everything the voter knows) for remote internet voting probably make it impossible to achieve both true voter verifiability and coercion-resistance.”

www.hordaland.no

E-VALG 2011- PROSJEKTET

Hva er e-valg 2011 prosjektet?– Anskaffe og innføre en løsning for elektronisk

stemmegivning og valgadministrasjon i 10 utvalgte forsøkskommuner (<200.000 stemmere)

ved kommune- og fylkestingsvalget i 2011 Stemmeperiode: 10 august – 9 september

– Startet opp i 2008 (forprosjekt i 2006) Visjon om at alle skal kunne stemme elektronisk i 2017

www.hordaland.no

Bodø Bremanger Hammerfest (16 år) Mandal (16 år) Radøy Re (16 år) Tynset Vefsn Sandnes Ålesund (16 år)

10 forsøks-kommuner

www.hordaland.no

E-valg 2011 løsning

Autentisering: E-id (MinID) Papirstemme overskriver alle elektroniske

stemmer Kan stemme om igjen ubegrenset antall ganger

elektronisk Partnere

– EDB ErgoGroup: administrasjonsmodul– Scytl: E-valg modul

www.hordaland.no

E-valg 2011 i et nøtteskall

Valgkort

internett

MottakReturkode

Server

?

Opptelling

www.hordaland.no16

Kryptering av stemmen

www.hordaland.no17

Kontroll

Anonymisering

Dekryptering

Telling av stemmerDekryptering og opptelling

Casse-toi, pauvre conasse2

Hans elendige tudefjæshed7

Hans finurlige gebrokkenhed8

Hans majestet4

Hvad skal prinsegemalens nye titel være?

www.hordaland.no

E-valg 2011 debatt

Lite diskusjon – Komplekst tema– Nordmenns tillitt til myndighetene

Media– Fokus på det prinsipielle

Krav til hemmelige valg– FNs menneskerettighetserklæring

Velger: Rett til hemmelig valg Staten: plikt til å tilby hemmelige valg

Manglende hemmelighold– Utilbørlig press– Stemmekjøp

Mindre høytidelig og brudd på tradisjon

Lite fokus på teknisk løsning

www.hordaland.no

E-valg referansegruppe

Slutt 2009 etablerte referansegruppe– 9-10 stykker i Bergen og Oslo– 5 møter med sikkerhetsansvarlig – Utarbeidet en ”bekymringsliste”

Mål– Analysere teknisk løsning– Uavhengig og konstruktiv kritikk av løsningen

www.hordaland.no

Noen utvalgte ”bekymringer”

Hvordan blir velgerne autentisert? Hva er risikoen for stemmekjøp? Sårbarheter på innsiden Malware Tjenestenektangrep Tillitt til valget - verifiserbarhet

www.hordaland.no

Autentisering av velgerne

MinID (ikke eID ) Paradoks: løsningen

er proprietær Dilemma: Hvordan

kan velgerne signere stemmen uten smartkort med kryptografiske nøkler?

www.hordaland.no

Stemmekjøp

Måter å bevise hvordan en velger har stemt– Velger viser SMS returkode sammen med valgkort– Logge stemme– Bevise utforming av kryptert stemmeseddel Tiltak: Stemme om igjen og overskrive e-stemme med p-

stemme

Stemmekjøperens dilemma– Garanti for å ha kjøpt korrekt stemme?– Hvordan sette opp for kjøp og salg av stemmer?– Strafferamme: 3 år for stemmekjøper og 6 måneder for

stemmeselger

www.hordaland.no

Hva kan vi lære fra Estland?

0,09%1,55%58.699Parlamentariske valg

0,09%2,27%104.413Lokale

valg

E-stemme overskrevet

av p-stemme

Multiple

E-stemmer

E-Stemmer

www.hordaland.no

Sårbarheter på innsiden

Innsidelekkasje– Hvem stemte i p-valget og i e-valget?– ISPer og teleselskap– Forhåndsgenererte returkoder for hver velger

Tiltak: Samarbeid med Norsk Tipping, samt fysisk ødeleggelse av HW

”Ballot stuffing”– Valgmedarbeidere legger til stemmer for

personer som ikke har stemt Tiltak: valgmedarbeidere med ulike interesser

www.hordaland.no

Sårbarheter på innsiden

Rekonstruksjon av dekrypteringsnøkkelTiltak: Privatnøkkel delt mellom ulike

organisasjoner på fysisk forskjellige plasser– Brønnøysund– DSB (Tønsberg)

+ =

DekrypteringsNøkkel

Returkode generatorNøkkel

Stemmeboks Nøkkel

www.hordaland.no

Malware

Trojaner endrer stemmeTiltak: Velger sjekker returkode

Diskusjon– Hvor mange vil sjekke returkodene? – Hva om en velger lyver om en feil returkode? – Er returkode per kandidat/parti nok?

Returkode sier kun noe om antall personstemmer

www.hordaland.no

Malware

Trojaner registrerer stemmeTiltak: Anti-Trojaner software?

Falsk valgklient Applet eliminerer muligheten for å stemme på

noen parti/kandidater Tiltak: Signert applet(?)

www.hordaland.no

Tjenestenekt angrep

Kobling mellom– Velger og sentral

infrastruktur– Returkodeserver og

velger

Tiltak: Vanskelig? Fordel: Internettstemmeperiode erspredt over tid…

www.hordaland.no

Tillitt til valget - Verifiserbarhet

I Norge høy tillitt til valgordningen Papirvalget

– Lekmannskontroll– Stemmene telles minst 3 ganger– Hvem som helst kan bidra til kontroll i utgangspunktet

To typer verifiserbarhet– Individuell verifiserbarhet

Velgeren kan bekrefte av at stemme avgitt som tenkt

– Universell verifiserbarhet Alle kan bekrefte at alle stemmene blir korrekt dekryptert og telt

korrekt

www.hordaland.no

Verifiserbarhet i e-valg 2011 prosjektet

Individuell verifiserbarhet– Velger kan sjekke returkode– NB! Beviser kun at kryptert stemme er registrert i

elektronisk stemmeboks

Universell verifiserbarhet– Noen utvalgte/frivillige kan verifisere matematisk

at stemmene er korrekt telt. De dekrypterte stemmene offentliggjøres ikke for alle

– ”Revisor” sjekker at riktige stemmesedler er tatt med mot liste som returkodemaskinen har laget

www.hordaland.no

Oppsummering

Fordeler– Økt tilgjengelighet– Økt valgdeltakelse (?)– Økt nøyaktighet– Kostnadsbesparende (?)– Åpenhet rundt

valgsystemet

Ulemper– Single point of failures– Angrep skalerer bedre– Forstår bestemor?– Private aktørers rolle i

valget

Internett stemmegivning Utfordrende (umulig?) å oppnå både verifiserbarhet og fullstendig beskyttelse mot stemmekjøp

Komplekst og vanskelig tema

www.hordaland.no

Spørsmål

Still dem gjerne nå, etterpå eller ta kontakt på e-post

thomas.tjostheim hos Googles eposttjeneste gmail.com

Takk for oppmerksomheten!