This is an HTML version of an attachment to the Freedom of Information request 'Audit documents for the 2020 EVACS system'.



 
AUDIT REPORT SUMMARY 
 
Client: 
ACT Electoral Commission 
PO Box 272 
Civic Square  
ACT 2608 
Manufacturer: 
Software Improvements Pty Ltd 
Product Name: 
eVACS Source code as at 02/09/2020  
Date of Issue: 
24 September 2020 
Project Number: 
ACTEC.1005 
BMM Test Report: 
ACTEC.1005.01 2020 eVACS Voting 
Standards Tested to: 
N/A 
 
 
Issues/Observations: 
None. 
 
 
BMM Certification: 
N/A 
 
 
Auditor: 
Johnathan Shaw, Senior Consultant, BMM Testlabs 
 
 
 
 
Auditor Signature: 
 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Note: The content of this document is strictly confidential. It has been prepared by BMM Australia Pty Ltd (BMM) exclusively for the ACT 
Electoral Commission and may not be disclosed to any other party without prior written approval of BMM. 
 
 
 
NATA Accredited Laboratory  
Number: 15122 

Accredited for compliance with ISO/IEC 17025. 
 
 
bmm australia pty ltd 
suite 107, 35 doody street, p.o. box 6223, alexandria nsw, australia 2015   
      t +612 8337 6900  f +612 8338 0775 
level 3, 810 whitehorse road, box hill, vic, australia 3128  
 
      t +613 9895 9888  f +613 9899 6277 
  
corporate reg: ABN 65 084 016 044 
 
 
 
corporate reg: ABN 65 084 016 044 



PURPOSE OF EVALUATION 
The ACT Electoral Commission (ACTEC) requested BMM to audit source code for the “voting modules” of eVACS, 
the electronic Voting And Counting System, for the 2020 election.  
The Counting Server and casual vacancy modules are outside the scope of this certification. The Counting Server is 
subject of a separate audit of source code. 

BMM EVALUATION PERFORMED 
ACTEC provided the eVACS Version components for Audit. 
•  Documentation and  
•  Source Code (supplied 2/9/2020) for  
o  Polling Place Server.  
o  Telephone Voting Server.  
o  Polling Place Client. 
o  Data Entry Client; and 
o  Election Server. 
BMM reviewed design documentation and performed a source code review of the above revised eVACS software 
“voting modules”.  

DESCRIPTION OF SYSTEM 
The polling place server manages voting at a polling centre, enabling authorised officers to start and stop voting, 
check barcodes, authorise voters to cast a (single) vote and to manage the electronic ballot boxes.  
The polling place client allows voters to enter preferences securely and anonymously and collects votes into 
secure electronic ballot boxes. 
The data entry client enables manual entry of paper ballots and maintenance of ballot batches.  
The election server  
•  Imports the electorate and candidate configuration from the TIGER system  
•  Installs the polling place/telephone server’s software, including Operating System and election 
configuration on the computers used for servers. 
•  Counts votes and produces reports on the outcome of the election as well audit reports to ensure 
accuracy and integrity of the election contest database. 
•  Runs casual vacancy recount. 
The major changes in the EVACs software since the 2016 audit were: 
•  The eVACS program has now been re-written in the “Ada 2012 with Spark” computer language.  
•  Use of printed QR codes 
•  Cryptographic hashing algorithm of type SHA-256. Replacing previous MD5  
•  Polling Place Voting client use touch screen. The keyboard with audio assist is a retained alternative 
specifically designed for the blind and vision impaired. 
•  Added a telephone voting server to enable Interactive voice response (DTMF tones from telephone 
keypad). 
•  Added loading of ballots from OSEV system  
ACTEC.1005.01 
eVACS Voting Modules 
 
Page 2 of 3 
 



SOURCE CODE EVALUATION 
Using the documentation as a guide each module was checked. It was not the purpose of the review to verify that 
the code works correctly, rather it was to verify that the code matched the documented scope of the eVACS 
system and that no malicious code had been introduced that could insert, alter or delete ballot information 
unlawfully. 

EVALUATION OF TESTING 
 
N/A BMM did not perform tests on the current software version.  

CONCLUSION 
Following the audit activities outlined in this report, the Auditor was able to make an informed appraisal of the 
integrity of the eVACS source code supplied 2/9/2020.   
The Auditor’s findings were as follows: 
• 
The code has been written in a modular fashion. 
• 
There is no evidence in the source supplied of malicious code that can insert, alter, or delete ballots or 
otherwise alter the election result.  
As a result of the evaluation BMM believes the eVACS “voting modules” are suitable for use in the 2020 elections. 
ACTEC.1005.01 
eVACS Voting Modules 
 
Page 3 of 3