Een team van onderzoekers heeft de broncode onderzocht die is gepubliceerd als onderdeel van het SwissPost e-voting-systeem, geleverd door Scytl, en ontdekte een cryptografisch luik.

Indien misbruikt, onderzoekers zeggen dat dit insiders die het verkiezingssysteem leidden of implementeerden, in staat zou kunnen stellen om stemmen onopgemerkt te wijzigen.

University of Melbourne Vanessa Teague van de School of Computing and Information System voerde het onderzoek uit met Sarah Jamie Lewis van Open Privacy Research Society (Canada) en Olivier Pereria van Université Catholique de Louvain (België).

In het SwissPost-systeem, versleutelde elektronische stemmen moeten worden 'geschud' om de privacy van individuele stemmen te beschermen.

De autoriteit die de shuffle uitvoert, wordt verondersteld een wiskundig bewijs te leveren dat er geen stemmen zijn gewijzigd. Hierdoor kan de verkiezingsuitslag worden geverifieerd.

Maar het luik in deze code stelt een autoriteit in staat om een ​​bewijs te leveren dat correct lijkt te verifiëren en daadwerkelijk stemmen verandert.

"Het bestaan ​​van een luik is zorgwekkend, ' zei mevrouw Lewis.

"Hoewel niets in onze analyse suggereert dat dit probleem opzettelijk is geïntroduceerd, zijn loutere aanwezigheid roept serieuze vragen op over de rest van de code."

Dit is niet de eerste keer dat onderzoekers ernstige gebreken in internetstemsystemen hebben vastgesteld.

Analyse van andere systemen in Washington DC, Estland, New South Wales en West-Australië hebben ernstige zorgen geuit over privacy, integriteit en controleerbaarheid.

"In dit geval, onze analyse van de code laat fouten zien die consistent zijn met een naïeve implementatie van een complex cryptografisch protocol door goedbedoelende mensen die geen volledig begrip hadden van de beveiligingsaannames, ', zegt universitair hoofddocent Teague.

"Natuurlijk, als iemand een mogelijkheid voor manipulatie wilde introduceren, de beste methode zou er een zijn die zou kunnen worden weggeredeneerd als een ongeluk als het werd gevonden. We zien eenvoudigweg geen enkel bewijs."

Onderzoekers hebben de bevinding gedeeld met SwissPost, die zeggen dat ze het probleem nu hebben aangepakt.

mevrouw Lewis, Professor Pereira en universitair hoofddocent Teague hebben ook een paper gepubliceerd waarin de technische details van het luik worden uitgelegd en hoe een insider het kan misbruiken om de verkiezingsresultaten ondetecteerbaar te veranderen.