Quellcodes der E-Voting-Lösungen

Die Piratenpartei Schweiz unterstützt die Offenlegung des Quellcodes der Schweizer E-Voting-Lösungen.

Aus aktuellem Anlass verweisen wir für den E-Voting-Code der Post auf folgende Sicherungskopien, ohne Gewähr für Vollständigkeit oder Korrektheit:

Weitere Sicherungskopien können gerne an die Piratenpartei gemeldet werden.

Eine unabhängige Seite für Informationen, Patches und Anleitungen zum Code der Post führt das Magazin Republik hier:

  • https://github.com/orbiting/post-evoting

Hier noch einige Erklärungen zum E-Voting und der „Branchenlösung“ der Post:

Im Bundesgesetz über die politischen Rechte (BPR) [1] wurde festgehalten, Art. 8a Abs 1:

Der Bundesrat kann im Einvernehmen mit interessierten Kantonen und Gemeinden örtlich, zeitlich und sachlich begrenzte Versuche zur elektronischen Stimmabgabe zulassen.

In der Verordnung der Bundeskanzlei über die elektronische Stimmabgabe (VEleS) [2] wurde dieser „Testbetrieb“ mit Bedingungen für die Zulassung von

  • bis zu 30% eines kantonalen Elektorats,
  • bis zu 50% oder sogar
  • über 50% eines kantonalen Elektorats.

Das alte (proprietäre und nicht offengelegte!) Produkt der Post hat von der Bundeskanzlei bereits eine Freigabe für 50% des Elektorats in 50% der Kantone erhalten.

Für den weitergehenden „Testbetrieb“ über 50% ist in der Verordnung eine „Offenlegung des Quellcodes“ vorgeschrieben. Dazu steht unter anderem:

Jeder und jede darf den Quellcode zu ideellen Zwecken untersuchen, verändern, kompilieren und ausführen sowie dazu Studien verfassen und diese publizieren. Der Eigner des Quellcodes kann dessen Nutzung zu anderen Zwecken erlauben.

Die Post legte vor einigen Wochen also einige Teile vom Code offen: Wer ihn einsehen will, muss sich registrieren und grenzwertige Lizenz- und Teilnahmebedingungen erfüllen. Nach einigen Tagen wurde dieser Code gespiegelt und war danach wirklich öffentlich einsehbar, siehe Links oben. Daraus ergaben sich interessante Analysen von Sicherheits- und Kryptografie-Experten, die sich sonst wohl niemals registriert und öffentlich gemeldet hätten: Sarah Jamie Lewis, eine rennomierte Sicherheitsexpertin oder der Kryptografie-Professor Matthew Green veröffentlichten bald sehr kritische Analysen. Für eine Zusammenfassung siehe z.B. [3].

Die Post und ihre Entwicklerfirma Scytl reagierten unmittelbar darauf mit „DMCA takedown“, also Löschanträgen des kopierten Codes aufgrund von immaterialgüterrechtlichen Einwänden.

Die Piratenpartei fordert eine echte Offenlegung des Codes und publiziert aktuell alle bekannten Links auf die Sicherungskopien und hofft auf weiteres Engagement vieler unabhängiger Experten.

PS: Auch der Kanton Genf betreibt eine E-Voting Lösung, die jedoch nicht mehr weiterentwickelt wird. Der Code der Genfer-Lösung in einer alten Version ist hier zu finden:

Wir hoffen, dass auch die aktuellste Version der Genfer Software bald als freie und offene Software publiziert wird.

Im Weiteren verweisen wir auf die Volksinitiative für ein E-Voting-Moratorium und auf unsere Unterschriftenbogen Deutsch und Französisch.

[1] https://www.admin.ch/opc/de/classified-compilation/19760323/index.html
[2] https://www.admin.ch/opc/de/classified-compilation/20132343/index.html
[3] https://blog.dbrgn.ch/2019/2/22/evoting-schweiz-codequalitaet/