Onderzoekers hebben weer een kwetsbaarheid in het online stemsysteem van Zwitserland ontdekt waardoor het mogelijk is om verkiezingsuitslagen te manipuleren (pdf). De Zwitserse overheid wil straks verkiezingen via het e-votingsysteem organiseren dat door de Zwitserse Post is ontwikkeld.

Systemen voor elektronisch stemmen moeten in Zwitserland eerst een publieke penetratietest ondergaan. De afgelopen maand vond deze test plaats. Hiervoor werd de broncode van het stemsysteem openbaar gemaakt. Onderzoekers Sarah Jamie Lewis, Olivier Pereira en Vanessa Teague besloten niet aan de publieke penetratietest mee te doen, maar wel naar de broncode te kijken. Op 12 maart maakten ze bekend dat het e-votingsysteem van de Zwitserse Post een kwetsbaarheid bevatte waardoor het mogelijk was om onopgemerkt de verkiezingsuitslag te manipuleren. Daarop kwam de Zwitserse Post met een oplossing. Nu melden de onderzoekers dat ze weer een probleem hebben gevonden waardoor frauderen met de verkiezingsuitslag mogelijk is.

Om het stemgeheim van de kiezer te beschermen husselt het stemsysteem de elektronische stemmen door elkaar. Nadat de stemmen door elkaar zijn gehusseld moeten die worden ontsleuteld. Daarbij spelen twee overwegingen een rol. Ten eerste zou het niet veilig zijn om de claim van een willekeurige autoriteit te accepteren over de inhoud van de versleutelde stemmen. De autoriteit kan namelijk een andere uitslag verklaren dan er daadwerkelijk is gestemd.

Daarnaast is het ook niet mogelijk om de private decryptiesleutel van de autoriteit te vragen, omdat daarmee kan worden aangetoond hoe kiezers hebben gestemd. Daarom maakt het e-votingsysteem gebruik van “zero knowledge proof”. Hierbij wordt er niets over de decryptiesleutel onthuld, waardoor het stemgeheim is beschermd. Voor het bewijsgedeelte is het mogelijk om een verificatiealgoritme uit te voeren, zodat er kan worden gecontroleerd dat een geclaimde stem ook daadwerkelijk in de versleutelde stem aanwezig is.

De onderzoekers vonden een probleem met het bewijsgedeelte. Het is mogelijk om een bewijs te genereren dat door de verificatie heen komt, maar de inhoud van de versleutelde stem verandert. Zodoende geeft het bewijs aan dat de kiezer op partij A heeft gestemd, terwijl er in werkelijkheid op partij B is gestemd. Iedereen die toegang tot het juiste deel van het stemsysteem heeft kan op deze manier de uitslag manipuleren.

Lewis merkt op dat in tegenstelling tot de vorige aanval deze aanval een spoor zou achterlaten, maar dat het bewijs zou aangeven dat alles klopt. “Het is net alsof je ziet dat er rook uit je automotor komt, maar zonder waarschuwingslichten op het dashboard”, aldus de onderzoekster.

Oplossing

De onderzoekers stellen dat ze nu twee verschillende manieren hebben ontdekt hoe een autoriteit op grote schaal verkiezingsfraude kan plegen, terwijl het systeem aangeeft dat alles in orde is. Het eerste probleem zou inmiddels zijn verholpen, maar de onderzoekers hebben dit nog niet kunnen verifiëren. Wat betreft het tweede probleem is dat volgens de onderzoekers niet eenvoudig te verhelpen, of dat een oplossing voor een veilig systeem zal zorgen waarin verkiezingsfraude niet meer mogelijk is. Critici vinden dat met het e-votingsysteem de democratie niet is gewaarborgd en dat de Zwitserse overheid hier per direct mee moet stoppen. De Zwitserse Post heeft de bevindingen van de onderzoekers nog niet bevestigd.