38C3 - Der Thüring-Test für Wahlsoftware

@@einl12345
Nicht eventuell! Das ist bei einer solchen Software eine ABSOLUTE GRUNDVORAUSSETZUNG in einer Demokratie, also, wollten wir annehmen, wir hätten diesen Zustand schon erreicht.

Vielleicht wärs einfach mal ne Idee, nicht alles mögliche in IT an offensichtliche unfähige Fremdfirmen zu vergeben, sondern eine eigene, fähige Bundes IT aufzubauen, die solche Dinge dann eben selbst macht. Gerne auch in Kooperation mit Leuten die eben Wissen wie es gehen kann, z.B. dem CCC ...

@@vophatechnicus
Wir haben schon so viele Behörden, die dann am Ende auch wieder überfordert sind, sass ich denke, so etwas geht generell NUR ÖFFENTLICH.
1. Es müsste eine Ausschreibung für ein zu lösendes Problem geben (hier Wahlhardware/-Software)
2. Fähige Leute oder eben auch Firmen melden sich, werden ausgesucht, allerdings NUR unter der Prämisse, dass Ergebnisse in Zwischenschritt an die Öffentlichkeit MÜSSEN und von entsprechend vielen Menschen gepeerreviewt werden müssen, um möglichst Fehler auszuschließen und Transparenz herzustellen.
3. Erst danach geht man zu. nächsten Schritt über. Hier fällt mir jenseits von FPGAs aber insbesondere im Zusammenhang mit dem schnelllebigem Markt der Hardware keine gute Lösung ein. Vielleicht ein Konsens auf "Es muss und sollte nicht der neuste Scheiß " sein, aber dafür langlebig und verfügbar.
4. Erst nach diesem Prozess wird mit Staatsmitteln ein "Produktionsprozess" angestoßen und dessen Status transparent veröffentlicht (oder zugänglich gemacht, Github oder freiere Alternativen. Gibt es ein Bundes-Github? Falls nein, warum nicht?)

Ich hasse KIs, die meine sachlich korrekten, großartigen Ideen, wegen eines einzigen Wortes wegzensieren. 🙄

Echt verrückt, wie informiert und durchsetzungsstark das BSI ist.

Ich glaube nicht, dass sie die ganzen Klassen selber implementiert haben, sondern (zu) viele fertige Java-Bibliotheken als Abhängigkeit eingebunden haben

@@t3t7t13
Was hat Java mit Opis zu tun? Java ist "relativ jung" im Vergleich. Folglich ist Java die Programmiersprache für junge Opis? 🤣
(Rust ist eh viel geiler! Leider immer noch behaftet mit Design-Schwachstellen. Aber ein richtiger und wichtiger Schritt in die richtige Richtung.)

@@Waldemar_la_Tendresse Rust mit Java vergleichen und es "geiler" nennen zeugt eher davon, dass du noch Rust noch nicht gut genug kennst. Wenn du performante Implementierungen mit abhängigen Typsystemen schreibst, bei denen konfigurierbare Garbage Collection mit hohem DUrchsatz notwendig sind, bist du bei Rust komplett falsch.
Kurz gesagt: Abhängige Typprüfung benötigt einen Compilerzeit-Auswerter für eine Sprache mit höherwertigen Funktionen. Allokationen sind statisch nicht lösbar, sodass Lebensdauern nicht sinnvoll genutzt werden können. Die Standardpraxis besteht darin, Closures + einen Umgebungsmaschinenauswerter zu verwenden, wie bei Implementierungen von Funktionen erster Klasse in jeder Sprache, mit einer Art Garbage Collection. In Rust gibts dafür nur drei Lösungen:
1) Refcounts (Meh, deutlich langsamer als GHC oder der Garbage-Collector von Ocaml. Koka hat sehr optimierte Funktionen für Refcounts, und ich wäre überrascht, wenn Rusts Rc schneller wäre.
2) Arenas: Man muss manuell Speicher freigeben, und es gibt keinerlei Garantie, dass ein Arenaspeicher speicherintensive Programme effizient unterstützt. Außerdem sind arenen in RUst langsamer als Heap-Allocs in anderen Sprachen wie OCaml oder GHC.
3) Deep Copies: super langsam und für größere Projekte nicht praktikabel.
4) GC in Rust implementieren: hat bisher niemand gemacht, könnte aber eine Lösung sein.
Für Wahlsoftware ist das alles kein Problem, aber wenn du mit vielen Daten arbeitest, ist Rust nicht der Weg. Gibt durchaus Gründe, weshalb es keine Software à la Kafka oder Lucene in Rust gibt. :D

??? Erstens habe ich gesehen, dass die größte Grütze eher von jungen Entwicklern, unseren lieben Noobs, erstellt wird. Javascript Kiddies, die nicht die geringste Ahnung haben, wie ein Rechner wirklich funktioniert, sind da noch schlechter.
Gute Entwickler, die Javascript und C++ drauf haben bekommen mehr Geld, und arbeiten bei Netflix.... oder so.
Also Javascript und eine gute Programmiersprache als Kenntnisstand.
Die findet man halt in solchen Unternehmen nicht.
Zweitens ist Java eine mittlerweile sehr entwickelte Programmiersprache, die sehr häufig eingesetzt wird auch in Verbindung mit mächtigeren Metasprachen, wie Kotlin, Scala oder Clojure.
Sicherer als C, vor allem im Finanzsektor, und nicht mehr ganz so grottenlahm wie früher.
Allerdings ist ein sehr guter C-Entwickler Platin und Diamanten wert.
Und ja, DIESE Opi-Programmiersprache steckt immer noch den meisten heutigen Schrott einfach in die Tasche (Rust-unsafe I am looking at you...aber Rust ist schon gut.)
Kurzum: Grütze kann man in jeder Programmiersprache schreiben. Und wer Grütze zahlt, bekommt auch diese. Qualität geht rein finanziell, zeitlich und technisch gar nicht.
Was wohl eher der Fall ist: Die Entwicklung ist zu einem Sweatshop in Indien outgesourced worden, die für ein paar Cent Software eher sehr schlech als recht zusammen hacken. Project-Lead is immer noch vor Ort, in diesem Falle ist es unser Geschäftsführer-Opi (die Leute kleiden sich dann irgendwie leger, um als Hacker rüber zu kommen, DAS ist cringe.) ...muss sich halt als Reviewer bischen mit "Clean Grütze", pardon, "Clean Code" und Java auskennen. und das heißt als Monopol Geld drucken. Start mit einer start.bat. Klingt auch nach indischem .NET Entwicker, der mal schnell was mit Java macht. Der Code sieht doch sehr clean aus ---> "Review pass, ship it, Kassenklingel". So läuft es halt in einer "Pommesbude"

@@Waldemar_la_Tendresse Java war so die erste Programmiersprache die sich durchsetzte für alles mögliche, und wurde folglich in Deutschen Hochschulen gelernt. Alte Entwickler haben also höchstwahrscheinlich Java gelernt.

@cannalias
Alte Entwickler haben Maschinensprache (möglichst mehrere Prozessoren) und C und noch einige andere Dinge (bash/ksh/zsh, sed, awk, Perl, COBOL, Fortgang, Ada ... more?) gelernt, ihr Jungspunde. Java! Java hatte noch nicht mal, was Scala zu bieten hatte. Kindergartenprogrammiersprachen. 😆😉

Unter gewissen Umsätzen und bei kleinem Absatzmarkt ist das fürs Kartellamt nicht relevant.

@@duffman7674 mag sein das der Absatzmarkt klein ist aber hier sollte auch die Relevantz eine rolle spielen.

Unser Kartellamt ist seit Jahren vollkommen überlastet und unterfinanziert.

Wäre auf jeden Fall professioneller als was da jetzt gerade abläuft.

@@fibonacci3844
Ach, und eine solche Aussage findest du nicht problematisch? Kennst du das Wort Integrität?

Die sind auch nur so inkompetent wie ihre Chefs.

@@alles_moegliche73
Das Beispiel zeigt ja schon einigermaßen gut, dass es auf diese Art und Weise NICHT funktioniert.
Am Ende sind Steuer-Grlder UND evtl. auch die Demokratie weg, wenn solch wichtige technische Lösungen versagen.

Dem BSI Hebel zu geben ist leider recht nutzlos, da dauert das dann 2 Jahre bis man endlose Kataloge die zur Hälfte an der Realität des aktuellen Jahrzehnts vorbei gehen während eklatante Risiken einfach nicht sichtbar sind.

Naja, man hat 400 Bedienstete, die hauptsächlich öffentliche Ausschreibungen des Bundes gemäß des Vergaberechts überprüfen.
Das mit dem eigentlichen Kartelle prüfen, fällt dann so hinten runter.

@@TecrasTrash
Es ist also, wie an allen anderen Ecken dieses Landes. Überbürokratisierter Blödsinn, statt einfach, klare und gerechte Regelungen? Könnte vielleicht auch daran liegen, warum das Land gerade absäuft? Daran, und an der Tatsache, dass Integrität nur noch ein Wort auf dem Papier zu sein scheint?

Kein Unfall

Irgendein Typ im Dunstkreis der Wahlen hat festgestellt, dass es Bedarf gibt an Wahlsoftware. Das wird sicherlich kein IT-ler gewesen sein. Hat irgendjemanden rangeholt, "der sich mit Computer und so" auskennt, der dann mit Hängen und Würgen irgendein Programm zusammengestrickt hat...

um den Hash zu überprüfenbmuss aber die zentrale Stelle die Passwörter nach dem Rausgeben beibehalten - bei nem private key auf dem USB kannst du das wegwerfen und nur den public key behalten
bin mir nicht sicher ob das der Punkt war, aber das würde erlauben eine separate "trust-authority" zu haben ie. der Wahlleiter generiert die Schlüsselpaare, schickt die ab, löscht die private keys und kann die public keys theoretisch dem ganzen Volk geben, dass dann selber die Resultate prüfen kann
PS: mit ner 2-stelligen numerischen PIN ist es eh Schwachsinn

Nirgendwo her. Man benutzt Public-Private-Key security. Dabei generiert man beim ersten Aufrufen der Software ein Schlüsselpaar und sendet den public key an den Auth Server (über HTTPS). Dieser generiert einen symmetrischen Schlüssel und verschlüsselt diesen mit den public key der Wahlsoftware. Dann wird der verschlüsselte Schlüssel (über HTTPS) zurückgeschickt und die Wahlsoftware kann das Datum mit ihrem privaten Schlüssel.
Jede weitere Kommunikation wird mit symmetrischer Verschlüsselung abgewickelt.
Wenn man jetzt beim ersten Aufruf auch noch sicher sein will, kann man jedem Wahlbezirk (per Bote, o.ä.) eine PKI Karte zustellen die das asymmetrische Schlüsselpaar (generiert von der Bundesdruckerei) beinhaltet. Alternativ kann man den Wahlleiter des Bezirks sich auf einer Website einloggen lassen (Zugangsdaten ergehen wie bei einer Bank mit zwei unterschiedlichen, zeitversetzten Briefen) und dort die Schlüssel herunterladen.
Dritte Möglichkeit wäre die Schlüssel per vorhandener verschlüsseltet Mail (hahahahaha) zu versenden.

Nicht unfähig, sondern gewollt

Beim ccc haben die halt kein Bock welche zu entwickeln, die closed source software zu entlarven macht mehr Spaß 😂

@@jpt3640 hmm ... guter Punkt. Die Anreizstrukturen sind da irgendwie falsch: Schlampige Software sorgt für jährliche Unterhaltung beim CCC.

Wahlen passieren immer noch auf Papier. Die digitale Meldung ist zwar schneller aber am Ende passiert es dann doch noch auf Papier.

Damals vor ca. 10 Jahren habe ich meinen eigenen PC geholt, da der von der Gemeinde gestellte nicht kompatibel war mit dem USB-Stick. Haben nach allen 10 Eingaben zwischengespeichert. Mussten 1 oder 2 Mal den letzten Stand neu laden.

Korrektur, mein Ansatz braucht keinen USB-Stick, der 10 Minuten Sachen kopiert. Das Feature muss natürlich beibehalten werden.

Spannend ist auch, dass man bei demselben Brute-force Angriff mehrere treffer hat. Aber ich glaube, dass das mit mangelnder Performance ausgeglichen wird.

@@Beooobo
Auch Programmierer wollen bezahlt werden. Hast du eine Ahnung, was für "Verzicht" ein solches Leben ist, wenn man wirklich einen (nur!) guten Überblick über viele (noch nicht mal alle) Bereiche haben möchte. Hat man den den nicht, dann bedeutet das
1. Man kann nur in Absprache mit anderen, besser informierten entscheiden. Da verweise ich gerne auf den Kommunikationsoverhead, geschildert im"Mythical Man Month".
2. Man kann sich jemanden kaufen. Da beißt sich die Katze in den eigenen Schwarz, denn wie möchte man am Ende alles beurteilen? Noch jemanden kaufen? Rekursiv vielleicht? 🤣
Open Source ist der einzig sinnvolle und gangbare Weg, wenn es eine offene Lösung werden soll. Für eine gute und offene Lösung bedarf es noch einiger weiterer Ingredenzien.

Ich glaube das ist Absicht.

@@Waldemar_la_Tendresse Weißt du wie viel die öffentliche Hand für die Software bezahlt hat? Liegt es wirklich an zu wenig Geld?

@Beooobo
Das weiß ich leider nicht. Aber das sind ja zwei Aspekte.
1. Die Transparenz gegenüber dem Steuerzahler
2. Die Qualität von Software, die unsere Demokratie erhalten oder eben auch gefährden kann.
Wenn es viel gewesen sein sollte, dann ist es ja nur umso schlimmer, beziehungsweise müsste eigentlich offengelegt werden, wieviel Geld wofür verwendet wurde.

Es ist der gleiche Grund wie bei Buchhaltungssoftware u.Ä. Es ist einfach ein sehr unattraktives Feld für talentierte Programmierer. Auf dem freien Arbeitsmarkt gibt es interessantere und lukrativere Projekte.
Die Ausschreibungen für jegliche Behördensoftware drücken zudem immer auf den Preis, sodass Qualität in den Hintergrund rückt und Zeitmangel garantiert ist.

Wie wär's mit gar keiner GenAI?

vielleicht ein satirisches Mittel

@gabili
In dem Fall würde ich dem/der Entscheidungsverantwortlichen einige Tage Monty Python und daran anschließend einige Tage Foil Arms & Hog empfehlen und es danach nochmals mit etwas mehr Enthusiasmus und auf anderem Wege zu versuchen?

(vermutlich) weil man nicht die kapazitäten hat um die kommentare sinnvoll zu moderieren. Wenn dann eine Welle an Troll /Hasskommentaren kommt, macht man einfach die Kommentare dicht.

@Dgtdggff
Das war nicht mein Ansinnen bei der Fragestellung, das ergibt sich ja von selbst mit etwas Gehirnschmalz. Mir es viel mehr darum, dass irgewo in der Beschreibung dieses Kanals entsprechend kenntlich zu machen, in der Art
"Wenn die Kommentare bei manchen Videos deaktiviert sind, erfolgt das i.d.R. aus folgenden Gründen:
1. Xxx
2. Yyy"
Immerhin setzt man sich auch für Transparenz ein, dann sollte man immer mit der eigenen Nase anfangen, wie ich finde.
Was heißt denn bitte "Comments are typically disabled."? Nach Gutdünken? Was hat das mit Transparenz zu tun, wie sie seitens des CCC nicht selten gefordert wird (auch wenn das vielleicht nur in der Funktion als Plattform passiert)?

Geld, Macht, ... Also die selben Gründe, wie bei allen staatlichen und wirtschaftlichen Entscheidungen.

Politik ist immer das Problem - niemals die Lösung.

@@k2d213
FragDenStaat? 🤣

@@KingSamSir
Da das Ohr Lautstärken exponentiell wahrnimmt, einfach etwas angenehme Musik in relativ niedriger Lautstärke im Hintergrund starten und schon sollte es passen.