evalg isf v1
TRANSCRIPT
Erfaringer med sikkerheti e-valg
Thomas TjøstheimSikkerhetsrådgiver Hordaland Fylkeskommune
www.hordaland.no
Bakgrunn
Ph.D. i datasikkerhet fra UiB 2007– E-valg og nettbanksikkerhet
4 år med sikkerhet i næringslivet – EDB ErgoGroup– Hordaland fylkeskommune
Fra 1.09.2011– Produktansvarlig kunde og sikkerhet, Skandiabanken
Annet– E-valg referansegruppe– Sikkerhetstenketanken– DND IT sikkerhet Bergen
www.hordaland.no
Agenda
E-valg – Hva er det? – Hvorfor er det vanskelig?
E-valg 2011– Om prosjektet– Løsningen
Utvalgte sårbarheter
www.hordaland.no
Hemmelige valg – Et antikt problem
Demokratiets opprinnelse – 500-400 B.C, grekerne– Potteskår som stemmesedler– Dagen stemmeseddel, opprinnelse
fra Australia, 1850-tallet.
Men, historien full av eksempler på valgfusk…
Mål: Å kunne overbevise taperne om at de har tapt (D. Wallach)
www.hordaland.no
E-valg
Elektronikk – Stemme– Telle stemmer
Mulige fordeler– Raskere– Økt tilgjengelighet– Reduserte kostnader på sikt?– Økt valgdeltakelse?
www.hordaland.no
Internettbasert stemmegivning
Internettbasert stemmegivning– Stemmegivning i ukontrollert miljø
– Legg til figur her… Mann som stemmer i ”unndiken” foran pcen?
www.hordaland.no
Hvorfor er det vanskelig å designe en valgløsning?
Ingen nøytrale tredje parter– Velgerne kan fuske– Løsningen kan fuske– Tvang og stemmekjøpere
Motstridene krav– Verifiserbarhet vs. anonymitet
”It’s not the voting that’s democracy, it’s the counting” – Tom Stoppard
www.hordaland.no
In code we trust
www.hordaland.no
Sikker stemmegivning over internett?E-valg forskerne er skeptiske
Peter Ryan “I’m not advocating remote voting for
political elections. The political context will be variable in different countries, so it will be up to the politicians to determine what risks are acceptable.”
www.hordaland.no
Sikker stemmegivning over internett? Samfunnsviterne er skeptiske
Anne-Marie Oostveen1. Hemmelig og fritt valg?2. ”Digital divide”3. Kulturell effekt
Samling av folk og borgerritual4. Organisasjonsproblem
Online helpdesk Mange roller (e-valg + papirvalg)
5. Påvirkning fra miljøet
www.hordaland.no
Sikker stemmegivning over internett?Løsningsarkitekten er skeptisk
Kristian Gjøsteen “With realistic attack models (the attacker
knows everything the voter knows) for remote internet voting probably make it impossible to achieve both true voter verifiability and coercion-resistance.”
www.hordaland.no
E-VALG 2011- PROSJEKTET
Hva er e-valg 2011 prosjektet?– Anskaffe og innføre en løsning for elektronisk
stemmegivning og valgadministrasjon i 10 utvalgte forsøkskommuner (<200.000 stemmere)
ved kommune- og fylkestingsvalget i 2011 Stemmeperiode: 10 august – 9 september
– Startet opp i 2008 (forprosjekt i 2006) Visjon om at alle skal kunne stemme elektronisk i 2017
www.hordaland.no
Bodø Bremanger Hammerfest (16 år) Mandal (16 år) Radøy Re (16 år) Tynset Vefsn Sandnes Ålesund (16 år)
10 forsøks-kommuner
www.hordaland.no
E-valg 2011 løsning
Autentisering: E-id (MinID) Papirstemme overskriver alle elektroniske
stemmer Kan stemme om igjen ubegrenset antall ganger
elektronisk Partnere
– EDB ErgoGroup: administrasjonsmodul– Scytl: E-valg modul
www.hordaland.no
E-valg 2011 i et nøtteskall
Valgkort
internett
MottakReturkode
Server
?
Opptelling
www.hordaland.no16
Kryptering av stemmen
www.hordaland.no17
Kontroll
Anonymisering
Dekryptering
Telling av stemmerDekryptering og opptelling
Casse-toi, pauvre conasse2
Hans elendige tudefjæshed7
Hans finurlige gebrokkenhed8
Hans majestet4
Hvad skal prinsegemalens nye titel være?
www.hordaland.no
E-valg 2011 debatt
Lite diskusjon – Komplekst tema– Nordmenns tillitt til myndighetene
Media– Fokus på det prinsipielle
Krav til hemmelige valg– FNs menneskerettighetserklæring
Velger: Rett til hemmelig valg Staten: plikt til å tilby hemmelige valg
Manglende hemmelighold– Utilbørlig press– Stemmekjøp
Mindre høytidelig og brudd på tradisjon
Lite fokus på teknisk løsning
www.hordaland.no
E-valg referansegruppe
Slutt 2009 etablerte referansegruppe– 9-10 stykker i Bergen og Oslo– 5 møter med sikkerhetsansvarlig – Utarbeidet en ”bekymringsliste”
Mål– Analysere teknisk løsning– Uavhengig og konstruktiv kritikk av løsningen
www.hordaland.no
Noen utvalgte ”bekymringer”
Hvordan blir velgerne autentisert? Hva er risikoen for stemmekjøp? Sårbarheter på innsiden Malware Tjenestenektangrep Tillitt til valget - verifiserbarhet
www.hordaland.no
Autentisering av velgerne
MinID (ikke eID ) Paradoks: løsningen
er proprietær Dilemma: Hvordan
kan velgerne signere stemmen uten smartkort med kryptografiske nøkler?
www.hordaland.no
Stemmekjøp
Måter å bevise hvordan en velger har stemt– Velger viser SMS returkode sammen med valgkort– Logge stemme– Bevise utforming av kryptert stemmeseddel Tiltak: Stemme om igjen og overskrive e-stemme med p-
stemme
Stemmekjøperens dilemma– Garanti for å ha kjøpt korrekt stemme?– Hvordan sette opp for kjøp og salg av stemmer?– Strafferamme: 3 år for stemmekjøper og 6 måneder for
stemmeselger
www.hordaland.no
Hva kan vi lære fra Estland?
0,09%1,55%58.699Parlamentariske valg
0,09%2,27%104.413Lokale
valg
E-stemme overskrevet
av p-stemme
Multiple
E-stemmer
E-Stemmer
www.hordaland.no
Sårbarheter på innsiden
Innsidelekkasje– Hvem stemte i p-valget og i e-valget?– ISPer og teleselskap– Forhåndsgenererte returkoder for hver velger
Tiltak: Samarbeid med Norsk Tipping, samt fysisk ødeleggelse av HW
”Ballot stuffing”– Valgmedarbeidere legger til stemmer for
personer som ikke har stemt Tiltak: valgmedarbeidere med ulike interesser
www.hordaland.no
Sårbarheter på innsiden
Rekonstruksjon av dekrypteringsnøkkelTiltak: Privatnøkkel delt mellom ulike
organisasjoner på fysisk forskjellige plasser– Brønnøysund– DSB (Tønsberg)
+ =
DekrypteringsNøkkel
Returkode generatorNøkkel
Stemmeboks Nøkkel
www.hordaland.no
Malware
Trojaner endrer stemmeTiltak: Velger sjekker returkode
Diskusjon– Hvor mange vil sjekke returkodene? – Hva om en velger lyver om en feil returkode? – Er returkode per kandidat/parti nok?
Returkode sier kun noe om antall personstemmer
www.hordaland.no
Malware
Trojaner registrerer stemmeTiltak: Anti-Trojaner software?
Falsk valgklient Applet eliminerer muligheten for å stemme på
noen parti/kandidater Tiltak: Signert applet(?)
www.hordaland.no
Tjenestenekt angrep
Kobling mellom– Velger og sentral
infrastruktur– Returkodeserver og
velger
Tiltak: Vanskelig? Fordel: Internettstemmeperiode erspredt over tid…
www.hordaland.no
Tillitt til valget - Verifiserbarhet
I Norge høy tillitt til valgordningen Papirvalget
– Lekmannskontroll– Stemmene telles minst 3 ganger– Hvem som helst kan bidra til kontroll i utgangspunktet
To typer verifiserbarhet– Individuell verifiserbarhet
Velgeren kan bekrefte av at stemme avgitt som tenkt
– Universell verifiserbarhet Alle kan bekrefte at alle stemmene blir korrekt dekryptert og telt
korrekt
www.hordaland.no
Verifiserbarhet i e-valg 2011 prosjektet
Individuell verifiserbarhet– Velger kan sjekke returkode– NB! Beviser kun at kryptert stemme er registrert i
elektronisk stemmeboks
Universell verifiserbarhet– Noen utvalgte/frivillige kan verifisere matematisk
at stemmene er korrekt telt. De dekrypterte stemmene offentliggjøres ikke for alle
– ”Revisor” sjekker at riktige stemmesedler er tatt med mot liste som returkodemaskinen har laget
www.hordaland.no
Oppsummering
Fordeler– Økt tilgjengelighet– Økt valgdeltakelse (?)– Økt nøyaktighet– Kostnadsbesparende (?)– Åpenhet rundt
valgsystemet
Ulemper– Single point of failures– Angrep skalerer bedre– Forstår bestemor?– Private aktørers rolle i
valget
Internett stemmegivning Utfordrende (umulig?) å oppnå både verifiserbarhet og fullstendig beskyttelse mot stemmekjøp
Komplekst og vanskelig tema
www.hordaland.no
Spørsmål
Still dem gjerne nå, etterpå eller ta kontakt på e-post
thomas.tjostheim hos Googles eposttjeneste gmail.com
Takk for oppmerksomheten!