eVoting in der Schweiz

Universelle Verifizierbarkeit und Open Source Software bleiben Wünsche

How to vote - in Finnland
Bild: «How to vote» – Ville Oksanen, CC BY-SA 2.0

Vor einem Jahr wurde das E-Voting-System der Konsortiumskantone (AG, FR, GL, GR, SG, SH, SO, TG, ZH) zur Nationalratswahl überraschend nicht zugelassen. Im Nachgang hatten wir berichtet, dass die Zeit für E-Voting-Pilotprojekte ablaufen würde.

Tatsächlich hat das prophezeite Wehklagen deutlich schneller eingesetzt. Bereits im September wurde beschlossen, die Software nicht mehr weiter zu entwickeln und das Konsortium aufzulösen: «Unser System ist offenbar veraltet. Um es den Sicherheitsvorschriften anzupassen, hätten wir viel Geld investieren müssen», gibt die Freiburger Staatskanzlerin Danielle Gagnaux-Morel zu.

Damit ist eingetreten, wovor die Grünen im Kanton Aargau bereits 2013 eindringlich gewarnt hatten, weiter Geld in ein totes Pferd zu investieren und nicht konsequent den Weg des Bundesrates zu verfolgen (Wortprotokoll, Seite 16). Tatsächlich scheint sich das Konsortium bis vor einem Jahr tatsächlich keine Gedanken gemacht zu haben, wie es zu einem vollständig verifizierbaren System (wie es der Bundesrat seit 2013 für die Zukunft vorschreibt)
kommen will.

Einen Fehler einzugestehen oder wenigstens innezuhalten, liegt den Verantwortlichen vom Kanton Aargau jedoch fern. Nach der Ablehnung einer Motion von  Daniel Hölzle (Grüne) zur Sistierung von E-Voting bis 2020, ist bereits eine Woche später die Evaluation eines neuen Systems verkündet worden.

Die zwei verbleibenden e-Voting-Systeme

Aktuell sind zwei Systeme in der Schweiz übriggeblieben: Das ursprünglich von Neuenburg verwendete und mittlerweile von der Post angebotene System von Scytl – und CHVote, die e-Voting-Plattform des Kantons Genf.

Beide Anbieter betonen, dass ihr System sicher, bereits die individuelle und zukünftig auch die universelle Verifizierbarkeit garantieren und der Quellcode offen zugänglich sein soll. Da tatsächlich keine Quellen und Beschreibungen zu finden sind, haben wir an beide Hersteller eine – wie entsprechend anzunehmen sein sollte – einfach zu beantwortende Frage gesendet:

Wo, resp. unter welchen Bedingungen und Lizenzen lassen sich folgende Informationen finden oder einsehen:

  1. Beschreibung des zur Anwendung kommenden kryptographischen Protokolls
  2. Beschreibung, wie die individuelle und/oder universelle Verifizierbarkeit der Wahl (auf den drei Stufen cast-as-intended, recorded-as-cast und counted-as-recorded) gewährleistet ist
  3. Beschreibung der verwendeten Systemkomponenten und der Systemarchitektur
  4. Quellcodes des vertrauenswürdigen Teils des Wahlsystems

Die Antworten sind erhellend:

Obwohl das System von Scytl bereits die universelle Verifizierbarkeit bieten soll, verweist die Post auf ein Whitepaper zum Cast-as-Intended Verification Mechanism. Die Beschreibung der Systemarchitektur und -kompenenten «werden in der Dokumentation der Lösung beschrieben, die für akademische Reviews offen stehen wird, sobald die Lösung Ende 2016 einsatzbereit ist». Der Quellcode wird ebenfalls «nur für akademische Reviews und Audits» publiziert: «Zugriffe/Lizenzen werden von den Eigentümern der Lösung vergeben (Post CH/Scytl)».

In der Beantwortung der Anfrage an den Kanton Genf wird das kryptographische Verfahren auf einer A4-Seite grob beschrieben. Zur universellen Verifizierbarkeit: «Diese wird durch die Erzeugung mathematischer Beweise garantiert, welche von unabhängigen Prüfern (z.B. die Wahlkommission oder eine in ihrem Auftrag handelnde Partei) zur Bestätigung der Wahl verwendet werden können.»

Gemäss Parlamentsbeschluss vom 29. Januar könnte der Sourcecode schrittweise freigegeben werden. Mit der ersten Veröffentlichung sei Ende 2016 zu rechnen. Tatsächlich bleibt es aber der Exekutive vorbehalten, «die Konditionen, das Ausmass und die praktischen Modalitäten» festzulegen. Selbst WählerInnen müssen ein wissenschaftliches Interesse geltend machen und eine Geheimhaltungserklärung unterschreiben, um weitergehenden Zugang zu erhalten. Das Öffentlichkeitsgesetz wurde explizit eingeschränkt.

Mit Open Source Software hat dies nichts gemein. Die universelle (durchgängige) Verifizierbarkeit bleibt graue Theorie. Es ist zu Befürchten, dass sich der Bundesrat damit letztlich zufrieden geben wird. Der vierte Bericht soll 2018 erscheinen.

(Hinweis zum Bild: Das E-Voting-Projekt in Finnland wurde 2009 eingestellt.)
(Vielen Dank an Hernani für die Einschätzung/Übersetzung)

 

Die Digitale Gesellschaft setzt sich für unsere Freiheitsrechte in einer vernetzten Welt ein. Durch eine Mitgliedschaft im gemeinnützigen Verein, als Gönner oder Spenderin kann die Arbeit nachhaltig unterstützt werden. Herzlichen Dank!