1 Auditeringsrapport om pilot för elektronisk röstning i kommunalvalet Sammandrag Objektet för auditeringen är testningen av elektronisk röstning i tre kommuner vid kommunalvalet hösten 2008. Saken gäller inte elektronisk röstning hemifrån, utan ett försök som i hög grad motsvarar normala val. Redan vid ett dylikt datorassisterat val framkommer många säkerhets- och förtroendeproblem som berör elektronisk röstning. Analys och utvärdering av dessa problem utgör den centrala målsättningen för denna auditering. Ett försök som planeras på basen av auditeringen ligger på stabil och säker grund, förutsatt att alla parter följer givna spelregler. I detta hänseende motsvarar systemet nuvarande praxis. Den centrala frågan i samband med ett elekroniskt val är hur bibehållandet av förtroende sköts, dvs. att ingen part i valet kan lura de övriga. Vid normala val är kontrollen tämligen god. Detta är betydligt svårare vid ett elektroniskt val på grund av tekniska detaljer och systemets nyckelpersoners funktion. I detta avseende föreslås som ett resultat av auditeringen att vissa detaljer specificeras. Det är speciellt viktigt att fästa uppmärksamhet vid funktionärernas utbildning och vid att kritiska punkter kräver mångdubbel övervakning Som helhet anser vi dock att försöket med elektronisk röstning kan förverkligas på den föreslagna basen. Säkerställandet av en fungerande övervakning utgör enligt vår uppfattning den största utmaningen i projektet. 1 Inledning Problematiken kring arrangerandet av allmänna val på undersökts mycket. Oftast har målsättningen varit att tillförlitligt valsystem att var och en t.o.m. kan rösta från antingen via dator eller mobiltelefon. Utgångspunkten har systemet bör fylla minst följande krav: datanätet har bygga ett så sitt eget hem, härvid varit att 1. Endast röstberättigade personer kan rösta, endast en gång. 2. Varresultatet bör kunna verifieras officiellt. 3. Valhemligheten bör kunna upprätthållas. 2 För förverkligandet av kraven krävs ”byggstenar” som kodade och autenticerade datakommunikationsförbindelser. Dessutom krävs andra komplicerade kryptografiska metoder, så att valhemligheten inte grundar sig på förtroende, utan bygger på systemets egenskaper. I detta auditerade valsystem har utgångspunkten varit en annan. Målsättningen har varit att skapa ett system som liknar det nuvarande sedelröstningssystemet. Skillnaden är att röstningsbåset har en dator med vilken rösterna sänds via internet till en ”elektronisk urna”. Systemets säkerhet skall kontrolleras på samma sätt som för det nuvarande systemet: genom att se till att en grupp pålitliga valfunktionärer som representerar olika instanser är närvarande på röstnings- och rösträkningsplatser. Dessutom bör man givetvis se till att de datorprogram som används vid röstning och resultaträkning fungerar som planerat. Minimikravet på valsystemet är förverkligandet av nämnda villkor, förutsatt att alla funktionärer som deltar i valet agerar oklanderligt. Detta är fallet i det system som här utvärderas. Ur auditeringssynpunkt är det dock skäl att kontrollera systemets tillförlitlighet också i en situation där gruppen innehåller en ohederlig funktionär. I detta fall har lösningen också svagheter. Nedan uppräknas allmänna problem, och i senare avsnitt behandlas vissa möjliga problemsituationer mer detaljerat. Det bör ännu nämnas att avsikten närmast är att i denna rapport uppvisa potentiella problem som identifierats. Vissa av dem kan verka långsökta, men det är andra instansers uppgift att avgöra hur relevanta de presenterade hotbilderna i pilotprojektet är. • Det är skäl att poängtera att de flesta av de nämnda, potentiella problemen kan förverkligas endast om en valfunktionär agerar ohederligt, och de övriga funktionärernas fysiska övervakning sviker. Fastän samma problem också kan förekomma vid nuvarande sedelröstning, är funktionärernas fysiska övervakning vid elektronisk röstning betydligt besvärligare. Om kontrollen trots alla försiktighetsåtgärder skulle misslyckas kan följderna bli dramatiska. Vid datorval borde man av alla valfunktionärer kräva åtminstone vissa datatekniska kunskaper. Speciellt problematisk blir situationen om en av funktionärerna är expert inom branschen och de övriga statister. • Valsystemet identifierar röstarna på basen av ett specifikt genererat elektroniskt röstningslösenord. Röstaren får lösenordet på ett smart kort som överlåts av valfunktionären på röstningsplatsen. Två valfunktionärer som agerar ohederligt och i samförstånd kan därför överlåta många röstningskoder som medger röstning enligt eget förgottfinnande. • Röstningssituationen för det auditerade systemet avviker i betydande grad från det nuvarande systemet. Vid sedelröstning läggs rösterna offentligt i valurnan, varvid röstaren vet att rösten lagts i urnan, och valfunktionärerna kan intyga att detta är fallet. I det auditerade systemet intygar ingen att rösterna överförts till den elektroniska urnan. Systemet kan endast kontrollera när en röst 3 sparats i urnan i röstarens namn. Röstaren måste endast lita på att funktionärerna och programmen fungerar korrekt, och att rösten representerar röstarens åsikt. • I valsystemet används många datorprogram, av vilka de flesta kommer från det utländska företag som planerat programmet, och resten från TietoEnator. En nödvändig förutsättning för att systemet skall fungera tillförlitligt är att programmen fungerar som avsett. Källkoden är dock inte öppen, och endast kodens kritiska punkter har kontrollerats. Fastän koden skulle ha kontrollerats ingående borde man ytterligare kunna bekräfta att den utförande konden motsvarar den kontrollerade koden, och att inga extra program utförs i den aktuella datorn. Motsvarande problem förekommer säkert i alla valsystem som planerats för datanätverk. Det är därför önskvärt att röstaren kan bekräfta att den egna rösten finns i valurnan, och att valresultatets riktighet som räknats utgående från urnan generellt kan verifieras. • Den digitala urnan finns hos TietoEnator. Systemet används och har planerats och förverkligats av experter från TietoEnator, under uppsikt av Justitieministeriet. Systemets säkerhet grundar sig med andra ord på JM:s förmåga att övervaka varje steg. Eftersom samma organisation ansvarar för alla steg, är övervakningen en krävande uppgift. • Det vore kanske skäl att överväga om det räcker att systemets planerare och ”inre cirkel” känner sig övertygade om systemets säkerhet. Förtroendet borde också kunna överföras till röstarna. Nedan visas en noggrannare förteckning över observationer om det auditerade systemet. Först kommenteras de begränsningar som JM har satt för systemet. Följande avsnitt innehåller kommentarer som berör förverkligandet av de tre egenskaper som krävs av valprotokollet och som nämndes tidigare. Det bör poängteras att alla nämnda problemsituationer förutsätter åtminstone vissa brister i övervakningen. 2 Begränsningar och problem förorsakade av dessa På basen av Finlands vallag har ett beslut gjorts att ingen pappersutskrift sparas av röstningshändelsen, och inget elektroniskt kvitto ges åt röstaren. Av detta skäl kan en röstare inte på något sätt försäkra sig om att den egna rösten gått fram på rätt sätt. Han/hon är tvungen att förlita sig på att utrustningen, programmet och funktionärerna fungerar enligt planerna. I oklara fall kan visserligen en valfunktionär på röstningsplatsen kontrollera att röstarens rösträtt antecknats som utnyttjad i systemet. 4 Vid röstningen används normal PC-utrustning och ett operativsystem som körs från en CD. Skyddandet av PC-utrustningen så att inga extra anordningar eller program kan tillsättas är en krävande uppgift. CDkopiering är lätt att utföra på ett diskret sätt, och tillgång till CD-skivan gör det lättare att manipulera systemet. Av dessa skäl bör man förutsätta att valfunktionärerna har datorkunskaper. Programmet som används är en affärshemlighet, och informationen kan inte publiceras. Trots att det inte finns skäl att misstänka att programmet innehåller fel kan man inte helt utesluta möjligheten att fel eller avsiktliga svagheter ingår. Noggrann kontroll av hela koden skulle dock kräva många personarbetsår. Kontinuerlig kontakt med centraldatorn gör det möjligt att kontrollera rösträtten i realtid under förhandsröstningens gång, men detta gör systemet känsligt för tjänstblockeringsattacker. Inverkan av tjänstblockeringsattacker kan begränsas, men det kan inte uteslutas att en attack kunde lyckas. 3 Röstningsprotokoll 3.1 Övervakning av rösträtt Röstare eller instanser som ligger helt utanför valet har enligt vår uppfattning ingen möjlighet att lura systemet, dvs. rösta upprepade gånger. En ohederlig funktionär kan rösta för vem som helst ifall de övriga funktionärernas fysiska övervakning eller omsorgsfullhet är otillräcklig. En funktionär kan t.ex. ge flera personers röstningskoder åt en medhjälpare som kommer för att rösta, eller eventuellt konvertera sin egen dator till röstningsterminal. Av detta skäl är det absolut nödvändigt att funktionärerna noggrannt och enligt anvisningarna övervakar varandra samt de lösenord och det övriga material man förfogar över. Att en röstare lyckats ta sig till röstningsbåset på röstningsplatsen garanterar inte att han/hon lyckas rösta, eftersom en ohederlig funktionär kan ha utnyttjat hans/hennes rösträtt på det sätt som beskrivits ovan. Det kan vara omöjligt för röstaren att övertyga hederliga funktionärer att ett problem föreligger, eftersom de inte kan veta om röstaren själv röstat tidigare eller om någon annan röstat i hans/hennes ställe. 5 3.1.1 Förhindrande av rösthandel • Observationsklass: 4 • Korrigeringsåtgärd: Röstningskortets PIN-kod måste gömmas bättre. Om en röstare har en kortläsare i röstningsbåset och känner till kortets PIN-kod är det möjligt för honom/henne att kopiera röstningskortet. Om personen inte röstar själv har han/hon 30 minuter tid att sälja det röstningsberättigade kortet till någon som kommer för att rösta. PINkoden kan avslöjas om personen får ett lösenord och ett par register, eller om den fysiska övervakningen på röstningsplatsen är otillräcklig. Om en inkräktare lycks skriva ut egna röstningskort är det möjligt att han/hon också kan tillverka kort som gör det möjligt att rösta på en kandidat i en annan valkrets. 3.1.2 Övervakning av funktionärs- och röstningsterminalförbindelser • Observationsklass: 3 • Korrigeringsåtgärd: Systemet kan kombineras med automatisk uppföljning som varnar om systemet förses med extra funktionärseller röstningsterminaler. En ohederlig person som har tillgång till röstberättigade personers personkoder, funktionärskoder för någon röstningsplats, lösenord för en kundkod, några register från funktionärsterminalens CD, kortläsare och smartkort kan skriva ut röstningskort som berättigar till röstning. Om denna person dessutom har tillgång till öppningskortet och lösenordet för en röstningsterminal kan han/hon också rösta med de tillverkade röstningskorten. Risken för sådant missbruk ökar när det gäller personer från systemets inre cirkel. Systemet bör kontinuerligt övervakas också beträffande andra tvivelaktiga händelser. Till dessa hör röstningar och rösträttsförfrågningar som sker i alltför snabb takt. 3.2 Räkning av valresultatet • Observationsklass: 2 • Korrigeringsåtgärd: Interna anvisningar beträffande verksamhet under rösträkning. Dessutom bör det på röstningsplatsen finnas tillräckligt många experter som representerar olika instanser, och som delas upp i två parallellt fungerande grupper. Vardera gruppen översätter självständigt de program som behövs, och räknar valresultatet på sin egen dator. Programmet som räknar valresultatet ger inget bevis på att resultatet är korrekt. Man måste således kunna försäkra sig om att resultatet beräknas med rätt program. Säkerheten kan förbättras genom att resultatet beräknas av två grupper. 6 En grupp från den inre kretsen i systemet kan i princip generera en helt ny elektronisk valurna som ser äkta ut, och från denna manipulera valresultatet enligt eget förgottfinnande. Man måste således kunna försäkra sig om att resultatet beräknas från rätt valurna. På basen av de dokument vi förfogar över är det svårt att avgöra hur stor grupp ohederliga personer som krävs för att göra detta. Därför är det viktigt att tillräckligt många experter är närvarande när urnan hanteras. (Problemet skulle ha kunnat undvikas om en falsk urna inte kunnat fyllas med röster som ser äkta ut. Detta skulle ha varit fallet om ingen annan än röstaren själv hade haft tillträde till sina elektroniska röstningskoder.) 3.3 Upprätthållande av valhemligheten • Observationsklass: 3 • Korrigeringsåtgärd: Interna anvisningar rörande generering och uppbevaring av den elektroniska urnan och dess hemliga nyckel. Vid generering nyckeln och hantering av den elektroniska urnan bör ett tillräckligt antal experter från olika instanser vara närvarande. En individuell röstares röst kan bestämmas om man lyckas komma över en kopia av den elektroniska valurnan och nyckeln till avkodningen av röster. Dessutom är urnan tillgänglig för alla experter som administrerar systemet. Nyckeln som öppnar urnan sparas efter genereringen i kassaskåp. Nyckeln kan nås av de personer som har tillträde till ifrågavarande kassaskåp och som kan kringgå förseglingen. Detta är också möjligt för en person som lyckats byta programkoden för nyckelns hantering eller lyckats installera en egen kod i datorn som hanterar nyckeln. Programmet som utför mixning av röster ”ser” vem röstaren röstade på. I detta sammanhang måste man m.a.o. lita på att rätt program används. Dessutom bör man minnas att röstarnas röster kan bestämmas tills alla kopior av den elektronska urnan eller nyckeln som öppnar urnan har förstörts. Avsikten är att spara elektroniska valurnor och nycklarna för valurnorna i flera år. 3.3.1 Blandning av röster • Observationsklass: 4 • Korrigeringsåtgärd: Ett eventuellt större parti röster för blandning på en gång. Innan rösterna räknas blandas de i partier på tusen röster. 6 7 Valhemligheten förverkligas eventuellt inte om samma parti innehåller bara ett fåtal röster från samma röstningsplats, eller om partiet innehåller 1 förhandsröst och 999 röster som avgetts på den egentliga röstningsdagen. Också i denna osannolika situation är valhemligen ohotad ifall alla fungerar enligt de givna anvisningarna. 3.3.2 Uppbevaring av den hemliga nyckeln under valets gång • Observationsklass: 5 • Korrigeringsåtgärd: Förenkling av funktioner Vid beskrivning av det auditerade systemet uppdelas den hemliga öppningsnyckeln för urnan i delar, och delarna sparas på smartkort. Smartkorten och PIN-koderna som öppnar korten sparas alla i samma kassaskåp. Uppdelningen av nyckeln i delar är till ingen nytta om alla delar uppbevaras på samma plats. Också PIN-koderna är onödiga om de uppbevaras tillsammans med korten. 3.4 Sammandrag Tillförlitligheten hos det auditerade systemet grundar sig huvudsakligen på antagandet att valfunktionärerna upptäcker alla röstares och andra funktionärers fuskförsök, både på röstningsplatsen och rösträkningsplatsen. Det finns naturligtvis ingen orsak att misstänka att inte hela personalen som arrangerar ett val skulle agera med befogad ärlighet och uppmärksamhet. Däremot kan man betvivla om ett tillräckligt antal valfunktionärer med baskunskaper inom datateknik kan värvas för att möjliggöra upptäckandet av eventuella försök till fusk. Generellt kan man anta att sannolikheten för förekomsten av fusk är relativt liten i Finland. Å andra sidan skulle följderna av fusk vara radikala, isynnerhet om fuskförsöket gjordes under rösträkningsskedet. Det är också tänkbart att användningen av systemet i vissa länder skulle väcka misstankar beträffande resultatens tillförlitlighet. Genom att placera endast några få ”lämpliga” personer i nyckelposition i systemet kunde man manipulera valresultatet så att det blir det önskade, i praktiken utan att riskera att bli ertappad. Justitieministeriet är troligen den rätta instansen att utvärdera om riskernas sannolikhet är tillräckligt liten i relation till de skador som möjligen åsamkas av förverkligandet. 4 Förverkligande 4.1 Observationer om koden i allmänhet Den egentliga kod som berör auditeringen av valsystemets pilotversion fördelas i huvudsak på två större helheter: 8 • Den kod som utgör kärnan i det egentliga röstningssystemet, t.ex. koden som berör röstningshändelser i det centralt placerade serversystemet samt den elektroniska urnan, • Den kod som berör tillämpningen av det tidigare nämnda programmet, t.ex. koden som krävs för att kombinera röstnings- och funktionärsterminalerna och deras serverprogram. I sammanställningen av hela valsystemet ingår ett digert kodmaterial av vilket största delen ingår i standardprogram, och som inte ingår i den kod som behandlas vid denna auditering. Den kod som utgör kärnan i det egentliga röstningssystemet har behandlats till den del som anses kritisk. Dessutom har källkoden för röstningssystemets terminaltillämpningar samt de kritiska kodningskomponenterna på servernivå kontrollerats. På vissa ställen är källkoden fragmenterad och delvis bristfälligt kommenterad, vilket försämrar läsbarheten, speciellt med tanke på auditering. Koden är i sig själv fungerande, trots att vissa mindre programmeringstekniska anmärkningar är befogade. 4.2 Pnyx.core Koden för det egentliga röstningssystemets elektroniska urna och centralservern som används för röstningssystemet innehåller många punkter, av vilka en del inte är relevanta för denna auditering: i piloten kommer inte att användas alla de tillämpade funktioner och lösningar som som ingår som systemkärna i det levererade programmet. I allmänhet har programmen som levererats som helheter tekniska problem som berör användbarhet och modifierbarhet. På grund av strukturen hos programmet på röstningssystemets servernivå förorsakar detta inga betydande problem som hänför sig till användningen av koden. Det rekommenderas naturligtvis att ett system som är avsett för ett så kritiskt ändamål inte innehåller extra kod. 4.3 TietoEnator Alldeles som för det egentliga röstningssystemet innehåller den kod som hänför sig till användningen av kärnan i det levererade röstningssystemet oanvänd testkod som inte är avsedd för den slutliga kompileringsversionen. Beträffande röstningsoch funktionärsterminalerna har alternativen som möjliggör missbruk av operativsystemet kontrollerats. För att förhindra missbruk har förändringar och begränsningar gjorts i Knoppix-operativsystemet som är i användning, men avsaknaden av en slutlig version utgör ett problem. Det kan ännu nämnas att betydande vikt har lagts vid hanteringen av felsituationer. I vissa felsituationer skulle dock en mera informativ behandling av felsituationen vara befogad, speciellt gällande fel som berör nätkommunikation, där den lokala adb-stödpersonen eventuellt kunde erbjuda hjälp. 9 4.3.1 Administration av programversioner • Observationsklass: 3 • Korrigeringsåtgärd: Ett tillräckligt antal sakkunniga personer bör vara närvarande när programmen installeras. Det är viktigt att den korrekta, kontrollerade versionen av alla program används. Inga andra sätt är värda att tillämpa än kompilering av programmen med hjälp av tillräckligt många personer. Också vid sammanställningen av startskivor för röstnings- och funktionärsterminaler är det viktigt att skivorna innehåller rätta versioner av de rätta programmen. 4.4 Knoppix-CD • Observationsklass: 2 • Korrigeringsåtgärd: Den slutliga versionen av operativsystemskivan. Utvecklingsarbetet för operativsystemskivor pågår ännu. Operativsystemet har väsentlig betydelse beträffande systemets säkerhet. 5 Datakommunikatsionsarrangemang 5.1 Förbindelserna mellan röstningsplatserna och leverantörens nätverk Vid kommunikationen från röstningsplatsen till leverantörens nätverk används offentliga nätverk (röstningsplatsens existerande Internetnätförbindelse), och via dessa transporteras data i form av paket med användning av IP-protokoll (Ipv4). 5.1.1 Säkerhetshållbarheten hos tillämpningens datasäkerhet och funktion • Observationsklass: 4 • Viktigaste hotet: Tjänstavbrott som leder till att reservsystemet tas i bruk (sedelröstning). Valhemligheten äventyras inte på grund av avbrottet. • Korrigeringsåtgärd: Utredningsbegäran av förbindelsens operatör vid behov. 10 Informationen som transporteras via nätet är kraftigt kodad både på applikations- och transportnivå, så valhemligheten kan anses vara garanterad i detta hänseende. Beträffande förbindelsernas funktionssäkerhet och nätverkets datasäkerhet (klarheten hos IP-adresser och TCP-portar) är operatörerna som arrangerar datakommunikationsförbindelserna i en central ställning. Vardera delområdet är beroende av operatören och det tjänstpaket som beställts av operatören. Operatören kan t.ex. erbjuda centraliserade datasäkerhetslösningar, men inga antaganden kan göras beträffande dessa. I allmänhet är de datakommunikationsförbindelser som arrangeras av Internet-tjänstleverantörer i Finland tillförlitliga. I normala driftsförhållanden kan det dock förekomma korta, tillfälliga avbrott. Följden av ett eventuellt avbrott är att man är tvungen att övergå till reservsystemet (sedelröstning). Ett eventuellt avbrott i datakommunikationsförbindelsen äventyrar inte valhemligheten beträffande de elektroniska röster som redan getts. Vid betraktande av funktionssäkerheten hos kommersiella förbindelser under senaste år kan man konstatera att sannolikheten för omfattande och långvariga avbrott under valpilotperioden är mycket liten. En datasäkerhetsattack (t.ex. en tjänstblockeringsattack) som riktas mot en speciell operatörs centrala utrustning är dock alltid möjlig. Också en attack som riktas t.ex. mot WWW-servers som administreras av en operator på kommunikationslinjen kan tänkas påverka datakommunikationsförbindelsernas funktionssäkerhet under ett elektroniskt val. Operatörerna på kommunikationslinjen kan ombes ge en utredning över datasäkerhetsarrangemangen på kommunikationslinjen samt t.ex. över det fysiska skyddandet av utrustning som har central betydelse för nätets funktion. 5.1.2 Hindrandet av inbrott i systemet och inblandning i funktionen • Observationsklass: 4 • Viktigaste hotet: Tjänstblockeringsattack som leder till datakommunikationsavbrott som gör att reservsystemet tas i bruk (sedelröstning). Valhemligheten äventyras inte på grund av avbrottet. • Korrigeringsåtgärd: IPSec-definitionsbaserad omsluten VPNförbindelse mellan röstningsplatsen och röstningssystemet, ifall detta anses nödvändigt. Se Föregående avsnitt. Ifrågavarande operatör ansvarar för hindrande av inbrott i nätets centrala utrustning på kommunikationslinjer bestående av de olika tjänstleverantörernas delnätverk samt för hindrande av inblandning i funktionen. 11 En eventuell angripare försöker antagligen antingen hindra kommunikationen (dvs. bryta datakommunikationen mellan röstningsplatsen och röstningssystemet) eller avlyssna kommunikationen utan att modifiera informationen. I det senare fallet kan angriparen som mest avläsa kommunikationsapparaternas IP-adresser och de lokala applikationernas TCP-portar, eftersom informationen är kodad både på nätets applikations- (OSI-nivå 7) och transportnivå (OSI-nivå 4) beträffande nyttolast. En omsluten, IPSec-definitionsbaserad VPN-förbindelse mellan röstningsplatsen och röstningssystemet skulle vid behov hindra möjligheten att avläsa de lokala TCP-portarna samt IP-adresserna för apparaterna som står i förbindelse med varandra. I detta fall skulle en eventuell tjuvlyssnare endast kunna avläsa IP-adresserna för tunnelns ändpunkter men inte för de stationer mellan vilka kommunikationen sker. 5.1.3 Valorganisationens anvisningar för undantagssituationer • Observationsklass: 5 • Korrigeringsåtgärd: Specificering av anvisningarna beträffande datakommunikationsstörningar. Problem som förorsakas av datakommunikationsfel behandlas inte i Problemsituationer-delen i slutet av Teknisk handledning för röstningsplatsen. Avsnitt 3 i handledningen ger visserligen anvisningar för testning av förbindelserna. 5.2 Planeringsdokument för leverantörens interna nätverk Tekniken för datakommunikationsarrangemangen beträffande leverantörens interna nätverk beskrivs i dokumentet Beskrivning av produktionsmiljön för elektronisk röstning. I leverantörens interna nätverk används IP-adresser för privata nätverk, kommersiella (certifierade) brandväggs- och IDP-lösningar samt kodade förbindelser för överföring av elektroniska röster. 5.2.1 Säkerhetshållbarheten hos tillämpningens datasäkerhet och funktion • Observationsklass: 4 • Viktigaste hotet: Datasäkerhetsattack som sker från det offentliga nätverket och som leder till datakommunikationsavbrott som gör att reservsystemet tas i bruk (sedelröstning). Valhemligheten äventyras inte på grund av avbrottet. Det osannolikaste hoten riktar sig närmast mot kontorsutrymmenas fysiska datasäkerhet. • Korrigeringsåtgärd: Arrangemangen är tillräckliga för det elektroniska valets pilot. Produktionssystemet är tillräckligt skyddat beträffande eventuella attacker mot datasäkerheten, och systemet kan vid behov separeras från det offentliga nätverket, och man kan på röstningsplatserna övergå till reservsystemet (sedelröstning). 12 De viktigaste sakerna ur fysisk datasäkerhetssynpunkt är tillträde till kontorsutrymmena under valet samt säkerställande av laglig användning av konfigurerings- och räkningsutrustning. När röstningen avslutats flyttas den elektroniska urnan antingen med hjälp av elektroniskt (USB-minne eller motsvarande) eller optiskt media (CD-ROM, DVD-ROM) från datanätverket till en separat utrustning för hantering av valresultatet. Anordningarna mellan vilka överföringen sker befinner sig i samma tillträdesövervakade utrymme. De fysiska datasäkerhetsarrangemangen kan i detta hänseende anses vara tillräckliga. Den fysiska datasäkerheten hos röstningssystemets placeringsställe (tillträde, bevakning etc.) har beskrivits tämligen ospecifikt. Den fysiska datasäkerheten på placeringsstället under valet kräver en egen definition för att säkerställa att piloten lyckas. I produktionsmiljön används ett system med dubbla servrar (den ena ”kall”, beräknad igångkörningstid 0,5-2 h vid behov). Brandmurssystemet som används har certifierats för bevakning av funktionsområdets yttre gräns. I brandmurssystemet ingår en IDS-funktion, men denna används inte i valets produktionssystem, utan istället används ett separat IDPsystem. I brandmursreglerna definieras vissa tillåtna IP-adressområden för röstningsplatserna, och IDP-systemet definieras att endast tillåta kommunikation för specifika applikationer (röstningsapplikationer). I detta avseende kan arrangemangen anses vara tillräckliga. För att förbättra datasäkerheten och hindra attacker publiceras inte röstningsservrarnas IP-adresser. Denna lösning utesluter dock inte möjligheten att utreda IP-adresserna genom kommunikationsanalys. 5.2.2 Hindrandet av inbrott i systemet och inblandning i funktionen Se föregående avsnitt beträffande fysisk datasäkerhet, brandmur och IDP-system. I datakommunikationen mellan röstningssystemet och VAT-systemet används kodning för en del av förbindelseformerna, medan en del inte är kodade. Denna kommunikation sker dock i leverantörens interna nätverk som skyddas med brandvägg och IDP-system. Fastän kodning av denna orsak inte är nödvändning bör den övervägas av konsekvensskäl. 5.3 Anvisningar för och förverkligande av röstningsplatsens interna nätverk I detta hänseende baserar sig bedömningen på dokumenten Arkitektur och Teknisk handledning för röstningsplatsen. 13 5.3.1 Säkerhetshållbarheten hos tillämpningens datasäkerhet och funktion • Observationsklass: 4 • Viktigaste hotet: Datakommunikationsavbrott som leder till att reservsystemet tas i bruk (sedelröstning). Valhemligheten äventyras inte på grund av avbrottet. • Korrigeringsåtgärd: En omsluten, IPSec-baserad VPN-förbindelse mellan röstningsplatsen och röstningssystemet, om detta anses nödvändigt. Åtgärder för säkerställande av den fysiska datasäkerheten. Funktionssäkerheten och datasäkerheten hos röstningsplatsens interna datakommunikationsarrangemang beror i mycket hög grad på infrastrukturen hos röstningsplatsens datanätverk. Platsen kan vara försedd med kabelnätverk eller trådlöst nätverk, el- och datakablar ytinstallerade på kabelhyllor, eller centraliserade kabelschakt och kabeldragningar i skyddsrör inne i väggar. Ett kabelnätverk där kablarna installerats på ytan (t.ex. på kabelhyllor) är mest utsatta för fysiskt sabotage (t.ex. kapning av kablar). En person som har tillträde till röstningsplatsens nätverk kan t.ex. sträva till att överbelasta nätverket med en massiv datakommunikationsvolym, eller tjuvlyssna nätverkskommunikationen för kommunikationsanalys. Genom kommunikationsanalys är det t.ex. möjligt att utreda IP-adresserna och TCP-portarna för de apparater mellan vilka kommunikationen sker. Den överförda röstningsinformationen kan emellertid inte utredas på grund av de kodningsarrangemang som tillämpas. Kommunikationsanalysen kunde försvåras genom att använda VPN-tunnel mellan röstningsplatsen och röstningssystemet. Generellt sett erbjuder röstningsplatsarrangemangen på en elektronisk röstningsplats betydligt fler sätt än en konventionell röstningsplats att omärkligt försämra röstningens funktionssäkerhet och datasäkerhet. 5.3.2 Hindrandet av inbrott i systemet och inblandning i funktionen • Observationsklass: 4 • Viktigaste hotet: Datakommunikationsavbrott som leder till att reservsystemet tas i bruk (sedelröstning). Valhemligheten äventyras inte på grund av avbrottet. • Korrigeringsåtgärd: Anvisningar för kontroll av valplatsens datasäkerhetsarrangemang på valdagen innan terminalerna öppnas samt under valets gång. 14 För att hindra intrång i systemets funktion är det viktigt man på valdagen utför en fysisk kontroll av datakommunikationsförbindelserna och säkerställer låsningen av andra ADB-utrymmen än röstningsutrymmet, både innan röstningsterminalerna öppnas och flera gånger under röstningsdagen. På detta sätt garanteras att ingen gjort egna kopplingar eller t.ex. tagit sig in i ADB-utrymmet för att störa eller tjuvlyssna datakommunikationen innan terminalerna öppnas. Detta är viktigt för att garantera att pilotförsöket lyckas. På valdagen bör man också flera gånger kontrollera att kopplingsskåpen är låsta, att inga förändringar har gjorts i kopplingarna, och att ADB-utrymmena är tomma och låsta. 6 Anvisningar för funktionärer Röstningsproceduren är mycket komplicerad med alla sina eventuella kontroller och felsituationer, och det krävs att funktionärerna har minst tillfredsställande kunskaper i datoranvändning och att de får grundlig undervisning. Allt som berör datorer får inte lämnas åt endast en ADBstödperson. Alla funktioner bör uppföljas av minst två funktionärer som vardera förstår det som kontinuerligt sker. Det är också skäl att poängtera en omsorgsfull hantering av lösenord och övrigt material. Anvisningarna för funktionärer är ännu ytterst ofullständiga (t.ex. stängning av funktionärsterminalen), och auditerarna kände inte till innehållet i funktionärsutbildningen. Bilaga A Vid protokollauditeringen förelåg följande dokument: • Pnyx.core functional description v.1.7.1b • Arkitektur v.1.4H (17.1.2008) • Handledning för auditerare v.0.94K (31.1.2008) • Tekniskt förverkligande och datasäkerhetslösningar v.1.0E (12.6.2007) • Teknisk handledning för röstningsplatsen v.1.31E (23.5.2008) • Grundande av val, öppnande av en elektronisk urna och resultaträkning v.1.0E (7.4.2008) • Arkiveringsprocedurer v.1.1H (17.4.2008) • Testplan v.2.0H (6.3.2008) 15 • Beskrivning av produktionsmiljön för elektronisk röstning v.l.OE (19.2.2008) • Testtransparentset för elektronisk röstning (Justitieministeriet 12.3.28.3.2008) Dessutom har man varit tvungen att kontrollera vissa saker genom att testa källkod och program. Bilaga B Skala för hur kritiska observationerna är: l. Mycket kritisk. En pilotundersökning av kommunalvalet är omöjlig utan korrigerande åtgärder. De planerade datasäkerhetsåtgärderna för pilotundersökningen löser inte de observerade hoten. 2. Kritisk. En pilotundersökning av kommunalvalet bör inte göras utan korrigerande åtgärder. De övriga planerade datasäkerhetsåtgärderna för pilotundersökningen minskar dock i betydande grad hotets sannolikhet. 3. Viktig. Korrigerande åtgärder bör vidtas före valet. Den observerade risken är liten och/eller övriga planerade datasäkerhetsåtgärder hindrar i praktiken hotets förverkligande. 4. Begränsad. Korrigerande åtgärder är inte nödvändiga inför kommunalvalet 2008. Övriga datasäkerhetsåtgärder hindrar hotets förverkligande, inverkan av den observerade risken är liten och/eller hotets förverkligande är mycket osannolikt. 5. Allmän observation. Observationen har ingen direkt inverkan på röstningens korrekthet eller på datasäkerheten. Observationen berör t.ex. datasystemens eller funktionsanvisningarnas kvalitet eller sådana produktegenskaper som inte utnyttjas vid pilotförsöket. Bilaga C Auditeringsarbetsgrupp: • Professor Juhani Karhumäki, ansvarig ledare • FD Tommi Meskanen, koordinering och allmän utvärdering samt analys av kryptografiska protokoll, 2 mån • TeknD Seppo Virtanen, datakommunikationsarrangemang 0,5 mån • FD Arto Lepistö, analys av källkod samt allmän utvärdering, 2 mån • FL Petri Salmela, Knoppix-operativsystemet, 1 mån 16 • FD Ari Renvall, analys av kryptografiska protokoll, 0,5 mån • FM Sami Mäkelä, kontroll av källkod, 2 mån • fi!. stud. Tommi Penttinen, kontroll av källkod, analys av applikationer och verksamhetens datasäkerhet under val, 2 mån • Akademiprofesor Hannu Nurmi, valexpert Auditeringsgruppen består av personer från Turun yliopisto. Gruppens ledare Juhani Karhumäki fungerar som professor i diskret matematik på avdelningen för matematik. Akademiprofessor Hannu Nurmi hör till landet ledande valexperter. FD Ari Renvall och FD Tommi Meskanen som ansvarade för analys av de kryptografiska protokollen är forskare som disputerat i Åbo. Renvalls avhandling behandlade elektroniska val. Auditeringen av datakommunikationslösningarna ytfördes av TeknD Seppo Virtanen. FD Arto Lepistö hade huvudansvaret för kontrollen av programkoden och operativsystemet. Han assisterades av Petri Salmela och Sami Mäkelä som snart skall disputera, samt av magisterstuderande Tommi Penttinen. Bilaga D Förverkligande av auditeringen: Auditeringsarbetet utfördes på matematikavdelningen vid Turun yliopisto. Arbetsgruppens sammansättning och ansvarsområden beskrivs i bilaga C. Sammanlagt 10 personarbetsmånader användes för arbetet. Arbetet utfördes i ett för ändamålet reserverat rum med tillträde endast för auditeringsgruppens medlemmar. Programkoden behandlades med för ändamålet anskaffade datorer som inte var anslutna till nätet. Nedan beskrivs i korthet de centrala delområdena för auditeringen. I projektet kontrollerades de använda kryptografiska protokollen och deras lämplighet för elektronisk röstning. Samtidigt utvärderades piloten i relation till manuell röstning och till andra elektroniska röstningssystem. Beträffande datakommunikationsarrangemangen har man auditerat planeringsdokumenten för datakommunikationsförbindelserna mellan röstningsplatser och nätverken hos leverantören av det elektroniska röstningssystemet, planeringsdokumenten för det interna datakommunikationsnätverket hos leverantören av det elektroniska röstningssystemet samt instruktioner och tillämpning av röstningsplatsens interna datakommunikationsnätverk. Dokumenten som berör grundande och övervakning av val samt rösträkning har genomgåtts och instruktionerna har kontrollerats. Källkoden som levererats av TietoEnator samt källkoden för Scytl pnyx.core –produktens kontrollerades, och den utvärderades med tanke på informationens inkapsling och integritet samt programfunktionens tillräcklighet och nödvändighet. Man ville med andra ord utreda att programmen utför de saker som de bör utföra, och ingenting annat. Under projektet kontrollerades också datasäkerheten hos funktionärs- och röstningsterminalerna, bl.a. vilka villkor som är 17 tillräckliga och nödvändiga för att de skall kunna användas från en annan dator. På motsvarande sätt kontrollerades också möjligheterna att modifiera information (t.ex. röstningsdata) i olika skeden av protokollet. Styrningen av verksamheten under valet, t.ex. växelverkan mellan funktionärerna, har stor inverkan på hur röstningsprocessen lyckas. I projektet kontrollerades också valets fysiska betingelser kritiskt, samt deras inverkan på datasäkerheten i en röstningssituation. För projektet, Åbo 13.6.2008 Juhani Karhumäki Ansvarig projektledare Tommi Meskanen Överassistent