Evalg ISF v1
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Evalg ISF v1

  • 445 views
Uploaded on

A crtical view on the Norwegian 2011 e-voting solution.

A crtical view on the Norwegian 2011 e-voting solution.

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
445
On Slideshare
445
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
2
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide
  • Sikkerhetsrådgiver, produktansvarlig…
  • Tekniske biten av e-valget, utvalgte 20 min…
  • Korrekt valg: show of hands, hemmelig valg: lett å få til alene? Casted as intended and counted as cast! Si noe om historikk for stemmefusk…?
  • Bedre valgdeltakelse? Elektronikk i USA, touch screen, internett valg, e-valg i ukontrollert miljø, mest utfordrende å lage… Raskere valgresultater, Tilgjengelighet: fysisk utviklingshemmede, lettere å stemme, krever mindre…
  • Avi Rubin: “Any successful attack would be very high profile, a factor that motivates much of the hacking activity to date. Even scarier is that the most serious attacks would come from someone motivated by the ability to change the outcome without anyone noticing. Høy profil angrep: Ett angrep er for mye…Everyone should be persuaded by the correctness of the outcome, especially the losers.
  • E-valg: må i større grad stole på programvare, jo mer komplisert jo mer kode. Internett valg mest utfordrende…In Guilford County, N.C., a computer threw away 22,000 votes for Sen. John Kerry. • In Franklin County, Ohio, one precinct recorded 4,258 votes for President George W. Bush, although only 638 voters cast ballots. Utfordringen til e-valg 2011, e-valg i stemmelokale vanskelig å få til på god måte, internett stemmegivning enda vanskligere…
  • Veileder på PhD, kjent innen forskningsmiljøet, ikke ok for politiske valg, men ok for meningsmåling, liker du best vaniljeis eller sjokoladeis? Norge spesielt med tillitt til myndighetene…Trusted Computing Platform Alliance (TCPA) Mhp. Krav om hemmelig valg.
  • NB! Belyse kompleksitet og at sosiale aspekt er vel så viktig å vurdere som den tekniske løsningen. Lettere å manipulere stemmer, med tvang. Like hemmelig som tradisjonelt papirvalg? Kunnskap om bruken, hjelper å ha begge muligheter åpne. Spesialtutstyr for å stemme hjemmefra? Tilgang til data og kommunikasjonsutstyr. Ritualet ved å gå til stemmelokalet for å stemme, følelse av å gjennomføre sammfunnsplikt Online hjelp, forvirrende roller, sette opp e-valg og tradisjonelt valg. Folks oppfatning av dette? Blir mer isolert, ser ikke fattige, etc. på veien til valglokalet.
  • Underbukse, kan være full, under press, etc. Gjøsteen: rolle i kryptogrffisk protokoll, verifisere stemme og påvirkning på hvordan man stemmer/stemmekjøp…/utilbørlig press parameter…
  • Endelig beslutning gjøres av Stortinget Note: Bergen sa nei til å være med i forsøket…Flere har sagt Kommunal- og regionaldepartementet (KRD) startet i 2008 e-valg 2011-prosjektet som skal etablere en sikker elektronisk valgløsning for stortings-, kommunestyre- og fylkestingsvalg som gir bedre tilgang for å stemme for alle velgergrupper. Løsningen skal sikre en rask valggjennomføring med effektiv ressursbruk i kommunene, samt legge til rette for utøvelse av direktedemokrati. Forprosjekt 2006. E-valg i dag: fleste kommuner administrative valddatasystem, skannere teller stemmesedler elektronisk.
  • E-valg når valgkort må sendes i posten?
  • Familieoverhodet… Utforming av blogg, info fra KRD?…Digital divide, behavioural changes…”frie og hemmelige valg” Skille mellom valgkamp og valghandling (Kåre Vollan).
  • Vår motivasjon, interessant, ikke direkte i mot e-valg ,sunn skeptisk, økt tilgjengelighet er bra, men færre stemmelokaler på sikt? Få med DND satsning…
  • Malware samle betegnelse på ondsinnet programvare, virus, Trojanere, ormer, etc…
  • Nivå 3 og nivå 4 (buypass and Commfides). MinID ikke PKI, standard two factor authentication…Løsning: Pre generer RSA signeringsnøkler for hver velger
  • Malware selfinflicted…logs vote… Pay for votes, not get caught?
  • Har vært i flere år, første år gjerne ikke representativt, dette materialet fra 2009…NB! Lite statistikk, første valg gjerne ikke representativt…
  • Garanterte stemmer, på hvem stemte p og e.., hvem stemte i e-valget, …innsider kan se hvem som stemmer hva…utifra generert kvitteringskode…
  • Direktorat for samfunnsikkerhet og beredskap. Decryption key, used for tallying the votes…Brønnøysund = ballotbow, DSB=receipt key…
  • Trojaner kan også logge stemme eller gjøre endringer i applet…. 8 % må sjekke, prøvevalg, mange sjekker Hvordan skille på stemme endret pga. malware og stemme endret pga. system feil? Returkode: 4 sifret tall, pluss opplysninger om antall endringer på stemmeseddelen.
  • Promon, secure environment…Capsule…Sikrer integritet, men vanskelig å gjøre noe med konfidensialitet med stemmegivning over internett…
  • Nivå av åpenhet Mange offentligjorte feil kan være problematisk?
  • Forstår og stoler alle på returkoden?
  • Pros and cons of e-valg 2011 solution, nb substituting adm module and e-module…MYE fokus har vært på det prinsipielle, vi har fokusert på det tekniske…Åpenhet: hvem som helst skal kunne laste ned programkode og kontrollere at den gjør det den skal. Ulike forklaringsnivå til ulike brukergrupper, NB!

Transcript

  • 1. Erfaringer med sikkerhet i e-valg Thomas Tjøstheim Sikkerhetsrådgiver Hordaland Fylkeskommune
  • 2. Bakgrunn
    • Ph.D. i datasikkerhet fra UiB 2007
      • E-valg og nettbanksikkerhet
    • 4 år med sikkerhet i næringslivet
      • EDB ErgoGroup
      • Hordaland fylkeskommune
    • Fra 1.09.2011
      • Produktansvarlig kunde og sikkerhet, Skandiabanken
    • Annet
      • E-valg referansegruppe
      • Sikkerhetstenketanken
      • DND IT sikkerhet Bergen
  • 3. Agenda
    • E-valg
      • Hva er det?
      • Hvorfor er det vanskelig?
    • E-valg 2011
      • Om prosjektet
      • Løsningen
    • Utvalgte sårbarheter
  • 4. Hemmelige valg – Et antikt problem
    • Demokratiets opprinnelse
      • 500-400 B.C, grekerne
      • Potteskår som stemmesedler
      • Dagen stemmeseddel, opprinnelse fra Australia, 1850-tallet.
    • Men, historien full av eksempler på valgfusk…
    • Mål: Å kunne overbevise taperne om at de har tapt (D. Wallach)
  • 5. E-valg
    • Elektronikk
      • Stemme
      • Telle stemmer
    • Mulige fordeler
      • Raskere
      • Økt tilgjengelighet
      • Reduserte kostnader på sikt?
      • Økt valgdeltakelse?
  • 6. Internettbasert stemmegivning
    • Internettbasert stemmegivning
      • Stemmegivning i ukontrollert miljø
      • Legg til figur her… Mann som stemmer i ”unndiken” foran pcen?
  • 7. Hvorfor er det vanskelig å designe en valgløsning?
    • Ingen nøytrale tredje parter
      • Velgerne kan fuske
      • Løsningen kan fuske
      • Tvang og stemmekjøpere
    • Motstridene krav
      • Verifiserbarhet vs. anonymitet
    ” It’s not the voting that’s democracy, it’s the counting” – Tom Stoppard
  • 8. In code we trust
  • 9. Sikker stemmegivning over internett? E-valg forskerne er skeptiske
    • Peter Ryan
    • “ I’m not advocating remote voting for political elections. The political context will be variable in different countries, so it will be up to the politicians to determine what risks are acceptable.”
  • 10. Sikker stemmegivning over internett? Samfunnsviterne er skeptiske
    • Anne-Marie Oostveen
      • 1. Hemmelig og fritt valg?
      • 2. ”Digital divide”
      • 3. Kulturell effekt
        • Samling av folk og borgerritual
      • 4. Organisasjonsproblem
        • Online helpdesk
        • Mange roller (e-valg + papirvalg)
      • 5. Påvirkning fra miljøet
  • 11. Sikker stemmegivning over internett? Løsningsarkitekten er skeptisk
    • Kristian Gjøsteen
    • “ With realistic attack models (the attacker knows everything the voter knows) for remote internet voting probably make it impossible to achieve both true voter verifiability and coercion-resistance.”
  • 12. E-VALG 2011- PROSJEKTET
    • Hva er e-valg 2011 prosjektet?
      • Anskaffe og innføre en løsning for elektronisk stemmegivning og valgadministrasjon i
        • 10 utvalgte forsøkskommuner (<200.000 stemmere) ved kommune- og fylkestingsvalget i 2011
        • Stemmeperiode: 10 august – 9 september
      • Startet opp i 2008 (forprosjekt i 2006)
        • Visjon om at alle skal kunne stemme elektronisk i 2017
  • 13.
    • Bodø
    • Bremanger
    • Hammerfest (16 år)
    • Mandal (16 år)
    • Radøy
    • Re (16 år)
    • Tynset
    • Vefsn
    • Sandnes
    • Ålesund (16 år)
    10 forsøks-kommuner
  • 14. E-valg 2011 løsning
    • Autentisering: E-id (MinID)
    • Papirstemme overskriver alle elektroniske stemmer
    • Kan stemme om igjen ubegrenset antall ganger elektronisk
    • Partnere
      • EDB ErgoGroup: administrasjonsmodul
      • Scytl: E-valg modul
  • 15. E-valg 2011 i et nøtteskall Valgkort Mottak Returkode Server ? Opptelling internett
  • 16. Kryptering av stemmen
  • 17. Telling av stemmer Kontroll Anonymisering Dekryptering Dekryptering og opptelling Casse-toi, pauvre conasse 2 Hans elendige tudefjæshed 7 Hans finurlige gebrokkenhed 8 Hans majestet 4 Hvad skal prinsegemalens nye titel være?
  • 18. E-valg 2011 debatt
    • Lite diskusjon
      • Komplekst tema
      • Nordmenns tillitt til myndighetene
    • Media
      • Fokus på det prinsipielle
        • Krav til hemmelige valg
          • FNs menneskerettighetserklæring
            • Velger: Rett til hemmelig valg
            • Staten: plikt til å tilby hemmelige valg
        • Manglende hemmelighold
          • Utilbørlig press
          • Stemmekjøp
        • Mindre høytidelig og brudd på tradisjon
    • Lite fokus på teknisk løsning
  • 19. E-valg referansegruppe
    • Slutt 2009 etablerte referansegruppe
      • 9-10 stykker i Bergen og Oslo
      • 5 møter med sikkerhetsansvarlig
      • Utarbeidet en ”bekymringsliste”
    • Mål
      • Analysere teknisk løsning
      • Uavhengig og konstruktiv kritikk av løsningen
  • 20. Noen utvalgte ”bekymringer”
    • Hvordan blir velgerne autentisert?
    • Hva er risikoen for stemmekjøp?
    • Sårbarheter på innsiden
    • Malware
    • Tjenestenektangrep
    • Tillitt til valget - verifiserbarhet
  • 21. Autentisering av velgerne
    • MinID (ikke eID )
    • Paradoks: løsningen er proprietær
    • Dilemma: Hvordan kan velgerne signere stemmen uten smartkort med kryptografiske nøkler?
  • 22. Stemmekjøp
    • Måter å bevise hvordan en velger har stemt
      • Velger viser SMS returkode sammen med valgkort
      • Logge stemme
      • Bevise utforming av kryptert stemmeseddel
      • Tiltak: Stemme om igjen og overskrive e-stemme med p-stemme
    • Stemmekjøperens dilemma
      • Garanti for å ha kjøpt korrekt stemme?
      • Hvordan sette opp for kjøp og salg av stemmer?
      • Strafferamme: 3 år for stemmekjøper og 6 måneder for stemmeselger
  • 23. Hva kan vi lære fra Estland? 0,09% 1,55% 58.699 Parlamentariske valg 0,09% 2,27% 104.413 Lokale valg E-stemme overskrevet av p-stemme Multiple E-stemmer E-Stemmer
  • 24. Sårbarheter på innsiden
    • Innsidelekkasje
      • Hvem stemte i p-valget og i e-valget?
      • ISPer og teleselskap
      • Forhåndsgenererte returkoder for hver velger
        • Tiltak: Samarbeid med Norsk Tipping, samt fysisk ødeleggelse av HW
    • ” Ballot stuffing”
      • Valgmedarbeidere legger til stemmer for personer som ikke har stemt
      • Tiltak: valgmedarbeidere med ulike interesser
  • 25. Sårbarheter på innsiden
    • Rekonstruksjon av dekrypteringsnøkkel
    • Tiltak: Privatnøkkel delt mellom ulike organisasjoner på fysisk forskjellige plasser
      • Brønnøysund
      • DSB (Tønsberg)
    + = Dekrypterings Nøkkel Returkode generator Nøkkel Stemmeboks Nøkkel
  • 26. Malware
    • Trojaner endrer stemme
      • Tiltak: Velger sjekker returkode
    • Diskusjon
      • Hvor mange vil sjekke returkodene?
      • Hva om en velger lyver om en feil returkode?
      • Er returkode per kandidat/parti nok?
        • Returkode sier kun noe om antall personstemmer
  • 27. Malware
    • Trojaner registrerer stemme
      • Tiltak: Anti-Trojaner software?
    • Falsk valgklient
      • Applet eliminerer muligheten for å stemme på noen parti/kandidater
      • Tiltak: Signert applet(?)
  • 28. Tjenestenekt angrep
    • Kobling mellom
      • Velger og sentral infrastruktur
      • Returkodeserver og velger
    • Tiltak: Vanskelig?
    • Fordel: Internettstemmeperiode er
    • spredt over tid…
  • 29. Tillitt til valget - Verifiserbarhet
    • I Norge høy tillitt til valgordningen
    • Papirvalget
      • Lekmannskontroll
      • Stemmene telles minst 3 ganger
      • Hvem som helst kan bidra til kontroll i utgangspunktet
    • To typer verifiserbarhet
      • Individuell verifiserbarhet
        • Velgeren kan bekrefte av at stemme avgitt som tenkt
      • Universell verifiserbarhet
        • Alle kan bekrefte at alle stemmene blir korrekt dekryptert og telt korrekt
  • 30. Verifiserbarhet i e-valg 2011 prosjektet
    • Individuell verifiserbarhet
      • Velger kan sjekke returkode
      • NB! Beviser kun at kryptert stemme er registrert i elektronisk stemmeboks
    • Universell verifiserbarhet
      • Noen utvalgte/frivillige kan verifisere matematisk at stemmene er korrekt telt.
        • De dekrypterte stemmene offentliggjøres ikke for alle
      • ” Revisor” sjekker at riktige stemmesedler er tatt med mot liste som returkodemaskinen har laget
  • 31. Oppsummering
    • Fordeler
      • Økt tilgjengelighet
      • Økt valgdeltakelse (?)
      • Økt nøyaktighet
      • Kostnadsbesparende (?)
      • Åpenhet rundt valgsystemet
    • Ulemper
      • Single point of failures
      • Angrep skalerer bedre
      • Forstår bestemor?
      • Private aktørers rolle i valget
    • Internett stemmegivning
      • Utfordrende (umulig?) å oppnå både verifiserbarhet og
      • fullstendig beskyttelse mot stemmekjøp
      • Komplekst og vanskelig tema
  • 32. Spørsmål
    • Still dem gjerne nå, etterpå eller ta kontakt på e-post
    •   thomas.tjostheim hos Googles eposttjeneste gmail.com
    Takk for oppmerksomheten!