LdN224 Online-Wahlen

Hallo zusammen,

ich habe folgende Anmerkung zu der „Sicherheit von Onlinewahlen“ wo eine mögliche Lösungsmöglichkeit eurerseits erwähnt wurde.
Es wurde gesagt, das jeder oder jede Wahlberechtigte einen „Pseudonym“ erhalten kann, welche nur dies stimmberechtigte Person weiß. Somit könne nachher geprüft werden, ob das jeweilige Pseudonym auch die korrekte zugeordnete Stimme erhalten hat. Und somit aus der Summe der Pseudonyme auch das richtige Wahlergebnis ermittelt wurde.

Es ist aber ein Problem, das nicht geprüft werden kann, ob diese Pseudonyme nicht mehrfach vergeben wurden. Denkbar wäre beispielsweise, dass zwei Personen, welche die gleiche Wahl treffen würden das gleiche Pseudonym erhalten. Somit würde jeder für sich die Zusammenfassung kontrollieren und seine Stimme aus „gewertet“ identifizieren. Tatsächlich wurde die Stimme von zwei Personen aber nur einmal gewertet. Im Gegenzug kann dann ein Pseudonym erstellt werden, was keiner Person zugeordnet ist, und mithilfe diesem dann die Wahl manipuliert werden.

Und dies ist noch ein relativ einfaches Szenario und es wird davon ausgegangen, dass jeder nachher nochmal diese Zusammenfassung prüft. Was, wenn wir mal ganz ehrlich sind, nicht der Fall sein wird.

Man kann jetzt natürlich mit großen kyptografischen Verfahren versuchen das ganze Sicher zu machen. Aber sind diese Wahlen, und das Wahlprinzip dann noch für die große Mehrheit nachvollziehbar.

Ich habe da so meine Zweifel. Wollte nur nochmal unterstreichen, das ich es nicht für so einfach halte, wie in der LdN dargestellt.

An dieser Stelle möchte ich mich aber trotzdem noch einmal für dieses gute Format bedanken, ich freue mich wirklich jedes mal, wenn ich mir wieder eine neue Lage anhören kann.

3 „Gefällt mir“

Danke für die Hinweise, das sind in der Tat Szenarien … wobei solche Angriffe bei einer überschaubaren Zahl von Delegierten wie bei der Union, wo zudem noch mehr oder weniger alle mitstimmen werden, wohl weniger heikel ist als zB bei öffentlichen Wahlen mit Millionen Teilnehmenden. Aber es bleibt komplex :wink:

1 „Gefällt mir“

Wie genau werden denn diese Codes/Pseudonyme denn erstellt oder warum soll eine Mehrfachvergabe von Pseudonymen nicht abgefangen werden können?

Angenommen ich bilde aus verfügbaren Metadaten einen Hashwert, welcher als Pseudonym dient, und zusätzlich noch eine Überschreibkontrolle mache, dann sollte es das Problem doch noch unwahrscheinlicher machen.

Ich habe schonmal an einer solchen Wahl teilgenommen, und da war die Pointe, dass schon vor dem Wahlvorgang die Pseudonyme verteilt wurden.
Ich hab mir also (alles lief im Browser) das Pseudonym in die Zwischenablage kopiert und bei der Anzeige der Wahlergebnisse einige Zeit später die entsprechende Liste mit STRG+F durchsucht und das Pseudonym einmal und nur einmal in der richtigen Tabellenspalte gesehen.
Der Angriffsvektor der mir einfiele (und den Ulf oben mit seiner Antwort schon im Kopf hat, glaube ich) ist, dass man dann in einem weiteren Schritt zusätzliche Pseudonyme mit einem gewissen Stimmverhalten in den Topf wirft. Man braucht also quasi noch eine Kontrolle wieviele Menschen denn eine Stimme abgegeben haben.
(Bei einer Personenwahl auf dem CDU Parteitag ist aber - wie Ulf sagt - relativ wahrscheinlich das einfach alle Deligierten abstimmen, und auff’llt wenn nachher mehr Stimmen im Topf waeren.

Naja, ob das Serverseitig abgefangen wird, kann man als stimmberechtigte Person leider nicht überprüfen, sondern nur als Systemadministrator. Hier ist es vermutlich sehr schwer sicher zu identifizieren ob eine Manipulation vorgenommen wurde.

Der Hashwert lässt aber ggf. wieder Rückschlüsse auf den Stimmabgeber zurück, wenn ich den Namen der Stimmabgebenden weiß, dann kann ich daraus ja auch recht einfach den Hash ermitteln.

Außerdem vertrete ich die Auffassung, dass die sicherheitsmechanismen für mindestens 90% der betroffenen, nachvollzogen werden können muss. Dies ist bei dem mechanismus der Wahl auf dem Papier sicherlich der Fall. Aber ich bin mir sicher das die Mehrheit noch nicht einmal weiß was ein Hash ist.

Ein Wahlverfahren, was nicht für (zumindest fast) alle nachvollziehbar ist, findet vor allem in strittigen Themen wohl keine Akzeptanz, und es können sehr einfach Zweifel gesäht werden. (Unabhängig ob begründet oder nicht.)

Ein Hashwert ist nicht akzeptabel, weil jeder der die Meta-Daten kennt, oder erraten kann, daraus den Hash bestimmen kann. Desweiteren löst es das Problem nicht, da ein Kompromitiertes System, die Kollisionen ausnutzen kann, um falsche Stimmen hinzuzufügen.
Diesem Problem kann man jedoch entgegen wirken, wenn das Pseudonym nicht wie in der Lage beschrieben NACH der Wahl, sondern DAVOR erzeugt und dem Wähler mitgeteilt wird. Solange man die Wahl des Wählers nicht vorhersagen kann gibt es bei Kollisionen nur zwei Möglichkeiten:

  1. Kollision mit gleicher Wahl → Beide Stimmen können als eine Ausgegeben werden, eine falsche Stimme kann hinzugefügt werden.
  2. Kollision mit unterschiedlicher Wahl → Entweder sieht ein Wähler ein falsches Ergebnis „SEINER“ Stimme, oder es gibt zwei Einträge mit unterschiedlichen Stimmen. Die Kollision ist dadurch Detektierbar. Ein Kompromitiertes System kann so entdeckt werden.

In dem Fall müsste die Wahl wieder sicher sein, solange man nicht die Stimme des Wählers vorhersagen kann und damit eine Kollision des 1. Falles verusachen kann.

Im übrigen kann man bei unserem Wahlsystem nicht selber überprüfen, ob die Stimmen richtig ausgezählt wurde. In den meisten Bundesländern werden die Stimmen sogar halb-elektronisch ausgezählt, mit teilweise unsicherer Software. (Siehe rC3: Hacking German Elections

1 „Gefällt mir“

Da habe ich mich vermutlich etwas schlecht ausgedrückt, ich meinte nicht das in der Liste zweimal das gleiche Pseudonym steht, sondern das in der Liste einmal das korrekte Pseudonym steht, aber zwei Personen das gleiche Pseudonym erhalten. Somit wäre die Stimme nur einmal gezählt, obwohl es zwei Stimmen waren. Die dadurch gewonnene Stimme könnte könnte man dann nutzen um die Wahl zu manipulieren.
Natürlich kann man wie Seelenoede sagte einen Hash nehmen, diesen dann ggf. auch noch Salten um die Nachvollziehbarkeit zu verhindern.

Aber trotzdem musste sich ja jemand irgendwie Authentifizieren, um nach zu weisen, dass die Wahlberechtigte Person auch Wahlberechtigt ist. Und das die Stimme auch nur einmal abgegeben wird. Also hat man sich ja doch in irgend einer Art und Weise Authentifiziert. Die Wahl soll aber anonym stattfinden. Woher soll ich dann wissen das die Wahl wirklich geheim ist, und nicht doch irgendwo eine Verbindung zwischen Authenzifizierung und abgegebener Stimme hergestellt wird/werden kann.
Da muss man immer der Implementierung bzw den Firmen/Institutionen trauen die dies umsetzen und in Auftrag gibt.

Ich will auch gar nicht ausschließen, dass man dies nicht irgendwie umsetzen kann, mit asyncroner Verschlüsselung, Signaturen usw.

Aber was bei diesen Diskussionen oftmals vergessen wird, ist das nicht das reine Wahlergebnis die Wahl entscheidet, sondern die Wahl an sich. Wenn die Wahl nicht von einem Großteil der Bevölkerung ohne nennenswerte Kenntnisse nachvollzogen werden kann, so findet diese auch schlechtere Akzeptanz oder zumindest eine gewisse skepsis. Und was passiert wenn Wahlen weniger akzeptanz finden, haben wir in den letzten Tagen ja eindrucksvoll gezeigt bekommen.

Ich persönlich halte Online-Wahlen immer für Risikoreich, alleine aus diesem akzeptanz Grund. Es mag sicherlich Situationen geben, wo diese Wahlen „mal“ gemacht werden können, das Problem ist, in Zukunft heißt es dann „das haben wir doch schon mal gemacht“, und keine erinnert sich dann mehr daran, dass es dafür eine begründete Ausnahme gab.

2 „Gefällt mir“

Ja, die Pseudonyme müssen vorher vergeben werden.
Ansonsten ist es trivial Pseudonyme passend zur Wahl auszugeben.
Ein Angriff wäre dann:
Jeder/jede der/die A wählt bekommt Pseudonym-A.
Jeder/jede der/die B wählt bekommt Pseudonym-B.
usw.
Dann neue Pseudonyme erstellen und nach belieben abstimmen lassen. (Je nach gewünschten Wahlergebnis). So stimmt am Ende die Stimmenanzahl und bei jedem steht das richtige hinter dem Pseudonym.

Dazu ist allerdings zu bemerken dass es bei dem Vortrag um Bayrische Kommunalwahlen geht und nicht um Bundestagwahlen. Sagen die beiden in dem Vortrag etwas in welchen Bundesländern das üblich ist? In NRW war ich dieses Jahr Wahlhelfer, das war auf jeden Fall enorm analog und ziemlich Wahlsoftwarefrei.

@kcinnaySte, da stimme ich Dir bei ganz viel zu. Gerade was die Akzeptanz angeht bin ich ganz bei Dir - aber da gibt es m.e. einen Unterschied zwischen der Wahl von öffentlichen Ämtern und innerparteilichen Wahlen in Pandemiesituation (Wo man sicher Kröten schlucken kann, allerdings (wie hier beschrieben) Pseudonymzuweisung vor der Wahl und zeitnahe Veröffentlichung der Pseudonym-Ergebnis-tabelle ist da ein must, finde ich.

1 „Gefällt mir“

Hallo, habe den Thread hier leider nicht gesehen, als ich mein Posting zum Thema - mit anderem Fokus - eröffnet habe (@vieuxrenard es wäre cool, wenn man wie bei zB bei Stackexchange/Stackoverflow Vorschläge mit ähnlichen Themen bekäme, wenn man ein Thema anlegen möchte. Gerade am Handy hat man da nicht leicht einen Überblick).

Deshalb will ich hier mal einmal auf ein ganz anderes Problem hinweisen: Eine reguläre Wahl erlaubt es nicht, die Stimmabgabe nach der Abgabe noch zu überprüfen - die Wahl ist Anonym, nicht Pseudonym. Dafür gibt es auch gute Gründe. (um nicht die Diskussion hier umzulenken vielleicht in dem anderen Thread dazu diskutieren?)

2 „Gefällt mir“

In jedem Fall fällt bei so einer Wahl ein Aspekt der Geheimheit weg, nämlich dass man nicht „beweisen“ kann, was man gewählt hat. Wer bspw. eine Stimme kauft (oder anderweitig dealt, z.B. gegen politisches Entgegenkommen in der einen oder anderen Frage) möchte vielleicht sicher gehen, dass derjenige dann auch wirklich so abstimmt. Bei so einer pseudonymen Wahl ist das ganz einfach möglich, denn der korrupte Wähler muss ja nur (ggfls. vor Feststellung des Wahlergebnisses) sein Pseudonym offenbaren.

Man muss allerdings sagen, dass das für die ganz normale Briefwahl ebenso gilt, da ja im Gegensatz zum Wahllokal niemand überprüft, ob die Stimme alleine abgegeben wird.

Wen dazu noch Details interessieren:
Logbuch Netzpolitik Podcast 318, Kapitel 6 = ab 32:35
„Entweder nachvollziehbar und geheim dann,gerne digital und nachvollziehbar dann aber eben nicht geheim gerne auch,digital und geheim dann aber nicht nachvollziehbar.“

2 „Gefällt mir“

Die Folge habe ich die ganze Zeit gesucht, hatte doch im Kopf dass das irgendwann auf LNP lief… Danke @arfst