Subject: Re: AW: Zugangsgesuch zu KPMG- und ggfs. BK-Unterlagen für das E-Voting-System der Post Schweiz

Date: Tue, 8 May 2018 20:15:17 +0200

From: Hernani Marques (CCC-CH) <hernani@ccc-ch.ch>

To: Mirjam.Hostettler@bk.admin.ch

Sehr geehrte Frau Hostettler

Die Bescheinigungen sind interessant: allerdings kann sich die kritische und technisch-interessierte Öffentlichkeit so kein Bild des Hintergrunds, die zu solchen Zertifizierungen führen, machen.

Ich bitte Sie entsprechend gestützt auf das BGÖ die gesamten Berichte herauszugeben - ohne Einschränkungen.

Zudem habe ich folgende Fragen:

1.Wieviel haben die einzelnen (vier) Zertifizierungen gekostet?

2.Was das Zertifikat Nr. 4 gegen Versuche in die Inrastruktur einzudringen anbelangt, stellen sich spannende Fragen: inwiefern wurden Angriffe über die Intel-Management-Engine (Intel-ME) geprüft; zudem: das Zertifikat hat das Datum vom Juli 2017 - seither sind in Intel-Prozessoren schwerwiegende Sicherheitslücken bekannt geworden, u. a. Spectre, Meltdown - und gerade jüngst - Spectre-NG. Zudem sind Angriffe über das Stromnetz praktikabel geworden - bekannt als Rowhammer. Hat die KPMG solche Angriffe, die von organisiert kriminellen Zusammenhängen ("BlackHats") und staatlichen Angreifern ausgeführt werden können, im Blick? Wie hält es die Bundeskanzlei für tragbar eine Periodizität von einem Jahr zu Re-Evaluation des Einbruchs in die E-Voting-Systeme der Kantone vorzusehen - gegeben solche geradezu dramatischen IT-Sicherheitsbedingungen? Gehe ich richtig in der Annahme, dass die Bundeskanzlei daran festhält, erst im Juli 2018 wieder das System von der KPMG prüfen zu lassen oder wurde die jüngeren Entwicklungen im Bereich offenkundig unsicherer Hardware miteinbezogen - und weitere Prüfungen vorgezogen?

3.Welche Massnahmen haben die E-Voting-Provider der Staatskanzlei Genf und der Post Schweiz ergriffen, um sich gegen Spectre, Meltdown, Spectre-NG und Rowhammer zu schützen?

4.Puntko Spectre-NG liegen zur Zeit keine Patches vor; auch punkto Rowhammer sind bis dato keine klaren Abwehrstrategien bekannt: hat die Bundeskanzlei dennoch vor, die Abstimmung vom 10. Juni mit den aktuellen Systemen zuzulassen?

Beste Grüsse

Hernani Marques

Sehr geehrter Herr Marques

Am 20. April 2018 haben Sie uns ein Gesuch um Zugang zu den amtlichen Dokumenten gestellt, welche die Zertifizierung des E-Voting-Systems der Schweizerischen Post konstituieren.

Diese Dokumente finden Sie im Anhang dieser E-Mail.

Wir verzichten auf die Erhebung einer Gebühr für die Bearbeitung dieses Gesuchs.

Freundliche Grüsse

Mirjam Hostettler

-----Original Message-----

From: Hernani Marques (CCC-CH) [mailto:hernani@ccc-ch.ch]

Sent: Friday, April 20, 2018 2:33 PM

To: _bk-infobk

Subject: Zugangsgesuch zu KPMG- und ggfs. BK-Unterlagen für das E-Voting-System der Post Schweiz

Sehr geehrte Damen und Herren

Gestützt auf das BGÖ hätte ich gerne Zugang zu sämtlichen amtlichen Dokumenten, welche die Zertifizierung zu 50% des E-Voting-Systems der Schweizer Post konstituieren: das schliesst auch mögliche Dokumente bei der Bundeskanzlei mit ein.

Es kann nicht wahr sein, dass auf einer simplen Webseite der Post steht, dass die Zertifizierung für 50% gegeben ist, so dass 50% der Bürger damit abstimmen können - dies gegeben, dass darüber hinaus nicht einmal Quellcode vorhanden ist und die Systeme live für reale Abstimmungen eingesetzt werden.

Bitte bestätigen Sie mir den Eingang des Zugangsgesuchs.

Beste Grüsse

Hernani Marques

https://ccc-ch.ch