Onderzoekers hebben een ernstige kwetsbaarheid gevonden in het systeem voor internetstemmen dat Zwitserland dit jaar wilde invoeren. Het lek maakt het mogelijk om op grote schaal stemmen te manipuleren zonder dat dit gedetecteerd kan worden.
Het lek is volgens Motherboard aangetroffen in het nieuwe systeem voor internetstemmen dat Swiss Post dit jaar in gebruik wil nemen. Dit systeem wordt gemaakt door het Spaanse bedrijf Scytl. Swiss Post, een naamloze vennootschap die in handen is van de Zwitserse Confederatie, kondigde eerder dit jaar aan een pentest te houden voor hackers en beveiligingsbedrijven. Die moesten daarvoor wel een overeenkomst tekenen dat ze Swiss Post van de bevindingen op de hoogte zouden brengen en niet eerder dan 45 dagen na die notificatie zouden publiceren. De broncode van het systeem verscheen echter online, waarna veel meer onderzoekers met de software aan te slag konden.
Onderzoekers van de Universiteit van Melbourne, de UCLouvain en de Open Privacy Research Society namen die op internet gezette code onder de loep en vonden een ernstige kwetsbaarheid. Zwitserse burgers moeten voor internetstemmen hun geboortedatum en een verkregen code invoeren, waarna hun stem versleuteld naar de servers van Swiss Post wordt gestuurd.
De onderzoekers schrijven dat het e-votingsysteem gebaseerd is op complete verifiability. Dat is een iets minder streng uitgangspunt dan universal verifiability, dat ervan uitgaat dat alle hardwareonderdelen in de keten van het systeem onbetrouwbaar zijn. Zelfs dan zou het systeem voor internetstemmen betrouwbaar moeten blijven. Bij complete verifiability is de aanname dat in ieder geval een computer die de stemsoftware draait, veilig is.
De onderzoekers schrijven dat vier servers bij het systeem van Swiss Post de stemmen in een keten husselen. Dat is enigszins vergelijkbaar met hoe papieren stembiljetten in een stembus willekeurig door elkaar komen. Vervolgens moet dit mix-netwerk op basis van zero-knowledge proof verifiëren dat de versleutelde input van stemmen correspondeert met de anders-versleutelde output.
De kwetsbaarheid maakt het mogelijk voor kwaadwillenden een bewijs te leveren dat de verificatie doorstaat, wat de deur opent naar misbruik. De onderzoekers geven in hun paper twee voorbeelden voor manipulatie op deze wijze. Verder geven ze aan niet alle aspecten van het systeem grondig getest te hebben. Eerder gaven cryptografische experts die een blik wierpen op de uitgelekte code, al tegenover Motherboard aan dat deze nodeloos complex was en niet erg goed leek te zijn geconstrueerd.
Swiss Post gaf daarop aan dat het systeem al drie professionele audits had gehad, waaronder van KPMG. De instantie heeft die resultaten niet gepubliceerd. In een reactie op de nieuwe bevindingen erkent Swiss Post het bestaan van het lek. Scytl gaat dit repareren. Om het lek uit te buiten zou een aanvaller toegang moeten krijgen tot de it-infrastructuur van Swiss Post en hulp moeten krijgen van interne deskundigen, zo benadrukt de instantie.
De officiële pentest duurt tot 24 maart en het kan tot enkele weken daarna duren voordat eventueel gevonden problemen publiekelijk bekend worden gemaakt. De beloning bedraagt 20.000 Zwitserse franc, omgerekend 17.600 euro, voor lekken om stemmen te manipuleren en 30.000 tot 50.000 Zwitserse francs als dat heimelijk kan.
Swiss Post is het nationale postbedrijf van Zwitserland maar levert meer diensten aan de autoriteiten, waaronder op het gebied van logistiek, it, gezondheidszorg en elektronisch stemmen.