2.2.1.1 Wahlberechtigungsprüfung
E-Wahlverfahren müssen den Teilnehmerkreis auf wahlberechtigte Personen eingrenzen können. Deshalb ist es erforderlich, die Identität des konkreten Teilnehmers zu überprüfen, bevor dieser einen gültigen Wahlschein abgeben darf. Ein Angriff gegen das digitale Wahlsystem, mit dem besonders bei der Kommunikation über offene Rechnernetzwerke gerechnet werden muß, besteht darin, daß Angreifer die Identität anderer Wahlteilnehmer vortäuschen, d.h. sich für andere Personen ausgeben. Der Angreifer könnte dann mehrfach Stimmen unter anderen Namen zur Administration transferieren. Durch die Veränderung von E-Mail-Adressen oder WWW-Seiten kann im Netz eine beliebige Identität vorgetäuscht werden. Solche "Maskeraden" sollen durch die Authentifikation der Wahlteilnehmer verhindert werden. Deswegen darf kein Teilnehmer ohne vorherige Autorisierung Stimmen abgeben.
Bei der Identifikation eines Wahlteilnehmers wird dessen Identität bestimmt, indem seine Identifikationsinformation mit einem Referenz-Merkmal (z.B. Teilnehmer_ID, Name, etc.) verglichen wird. Bei der Authentifikation erbringt der Wähler einen Nachweis der angegebenen Identität. Die Authentifikation von Wahlteilnehmern kann durch drei unterschiedliche Prinzipien erfolgen, nämlich durch
Jeder Wähler soll genau einen Wahlschein abgeben können, der im Wahlverfahren gleich zu zählen ist. Ein Wähler darf nach erfolgter Authentifikation nicht mehrere gültige Wahlscheine zur Stimmabgabe erhalten.
2.2.1.3 Wahlschein-Authentizität
Der Wahlschein muß fälschungssicher gestaltet und seine Rechtsgültigkeit (Authentizität) für jeden Beteiligten (Teilnehmer, Administration, etc.) einsehbar sein. Der E-Wahlschein sollte als eindeutige Datenstruktur identifizierbar sein.
Die Wahl-Server müssen gegen unberechtigten Zugriff auf ihre Ressourcen geschützt werden. Um unautorisierten Zugriff auf Daten, Programme sowie auf andere Ressourcen zu vermeiden, muß anhand der Autorisierung ermittelt werden, wer auf eine Ressource wie zugreifen darf. Unter Zugriffskontrolle verstehen wir Regeln, die aussagen, wer auf ein Objekt zugreifen darf. Die Entscheidung, ob ein bestimmter Zugriff erlaubt wird, sei als Zugriffsentscheidung definiert. Bei der Autorisierung wird eine definierte Menge von Rechten an eine Person (durch Identifier dargestellt) zugewiesen. Die Autorisierungsentscheidung bewirkt, ob bestimmte Rechte an die Person übertragen werden können.
Die Verwaltung der Zugriffsrechte auf die Ressourcen bzw. Funktionen obliegt einer bestimmten Autorität (Administrator). Diese Rechte sind oft in Form von Lese-, Schreib- und Ausführungsrechten in einer Datenbank gespeichert. Um Autorisierungsentscheidungen treffen zu können, ist eine sichere Information über die Identität der Nutzer nötig. Es muß überprüft werden, ob die Wahlleiter (Administratoren) die Berechtigung zur Ausstellung von Wahlscheinen und zum Zugriff auf die Wählerdatenbank haben. Ein geschützter Teil des Gesamtsystems ist der Rechner (Account) des Wählers, auf dem sich z.B. ein noch nicht ausgefüllter Wahlschein oder eine zur Stimmabgabe benötigte Geheiminformation befindet.
In allen Wahlphasen sind nur autorisierte Personen berechtigt, Zugriffe auf Ressourcen durchzuführen. Die Zugriffskontrolle muß z.B. beim Registrieren der Wähler, bei der Erstellung von Teilnehmerlisten, beim Zuweisen von Berechtigungen, Veröffentlichen der Resultate, Warten usw. durchgeführt werden.
Unter der Forderung der Datenintegrität verstehen wir, daß alle im Wahlprotokoll transferierten und gespeicherten Daten nicht manipuliert werden können.
2.2.3.1 Übertragungsintegrität
Ein Kommunikationssystem für digitale Wahlen muß daher die Eigenschaft besitzen, Daten unversehrt zwischen Wähler und Administration zu transportierten und sie vor beabsichtigten Störungen zu sichern. Wahlscheine dürfen nicht auf der Übertragungsstrecke zur Administration durch Angreifer modifiziert oder durch gültige Fälschungen ersetzt werden können, ohne daß dieser Angriff erkennbar ist. Die Übertragungsintegrität garantiert auch, daß der Wähler aus irgendeinem Grund sein Votum nochmals sendet, obwohl bei der Administration die Stimme korrekt empfangen wurde. Das Problem der Übertragungsintegrität läßt sich prinzipiell durch zwei Anforderungen realisieren:
Führen alle Systemprozesse die Spezifikation des Wahlprotokolls ordnungsgemäß aus, dann werden alle gültigen Stimmen korrekt ausgezählt. Die Korrektheit impliziert die ordnungsgemäße Operation der Hardware- und Software-Komponenten der Auswertungs-Server. Ein fehlerhaftes Wahlsystem, das z.B. Implementierungs- und Hardwarefehler beinhaltet, kann die Auswertungsgenauigkeit beeinträchtigen. Daher empfiehlt es sich, die Systemkomponenten vor der IRL-Anwendung (In Real Life) ausreichend zu testen. Tritt ein Auswertungsfehler auf, so läßt sich dieser erkennen, wenn der Auswertungsprozeß durch unabhängige Dritte oder durch die Öffentlichkeit überprüfbar ist.
Das Wahlergebnis kann nicht gefälscht werden, wenn es überprüfbar ist. Wir unterscheiden zwischen zwei Formen der Verifikation des Resultates nach dem Grad der Transparenz der Auswertung, nämlich (1) interne und (2) externe Verifikation (durch die Öffentlichkeit).
2.2.5.1 interne Verifikation
Die interne Verifikation beschränkt die Überprüfung der Auswertung auf die Administration und weitere unabhängige Dritte. Aus der Sicht des Teilnehmers läßt sich die Berechnung des korrekten Endresultates nicht nachvollziehen. Allerdings schließt die interne Verifikation ein, daß die Teilnehmer eine vertrauenswürdige Instanz mit der Auswertungsprüfung beauftragen.
2.2.5.2 externe Verifikation
Ein öffentlich verifizierbares Wahlergebnis schränkt die Manipulationsmöglichkeiten durch böswillige Administrationen stark ein. Erhöhtes Vertrauen wird dann realisiert, wenn auch die eingesetzte Software verifiziert werden kann. Grundsätzlich unterscheiden wir zwischen der individuellen und universellen Verifizierbarkeit. Erstere stellt sicher, daß der Wähler überprüfen kann, ob seine eigene Stimmabgabe richtig gezählt wurde. Letztere erlaubt jedem Wähler bzw. Beobachter zu überprüfen, ob alle Stimmen korrekt gezählt werden.
individuelle Verifizierbarkeit
Der gesamte Auswertungsvorgang muß für die
Teilnehmer transparent sein, indem jederzeit Einsicht in die Auswertung
garantiert wird. Dazu müssen die Wahlleiter jede gezählte Stimme
in einem öffentlichen Board publizieren. Bei einer geheimen Wahl kann
der Wähler prüfen, ob seine eigene Stimme korrekt gezählt
wurde, doch besitzt dieser kein Wissen darüber, ob die Stimmen anderer
Teilnehmer gleichermaßen korrekt ins Resultat eingegangen sind. Damit
die Aktivitäten einer betrügerischen Administration aufgedeckt
werden können, muß das Wahlprotokoll für den Wähler
ausreichende Beweismittel bereitstellen, um strafrechtlich relevante Tatbestände
zu fixieren. Je mehr Wähler überprüfen, ob ihre Stimmen
korrekt gezählt wurden, desto geringer ist die Erfolgswahrscheinlichkeit
eines Manipulationsversuchs. Eine böswillige Administration trägt
ein hohes Risiko, da bereits ein Wähler die Manipulation aufdecken
kann.
universelle Verifizierbarkeit
Bei der universellen Verifizierbarkeit kann jeder Wähler
prüfen, ob auch die gesamte Stimmenauswertung ordnungsgemäß
erfolgte. Dieses Kriterium verlangt nicht notwendigerweise, daß jeder
Teilnehmer überprüfen kann, wie sein eigenes Votum gezählt
wurde. Vielmehr soll die Korrektheit der gesamten Wahl durch irgendeinen
Beteiligten (z.B. passiver Beobachter, Wähler, Administration, etc.)
überprüfbar sein. Sobald aber die Manipulation wenigstens einer
Stimme stattfindet, muß dieser Tatbestand von einem beliebigen Beteiligten
erkannt werden. Die universelle Verifikation erfordert, daß die Administration
Beweise erzeugt, um die korrekte Auswertung global nachzuweisen. Die universelle
Verifikation einer Wahl wird u.a. von unabhängigen Instanzen erbracht.
Falls jedoch der Wähler die Vertrauenswürdigkeit dieser Instanzen
bezweifelt, kann er den universellen Verifikationsprozeß selbst ausführen.
Die Forderung nach Vertraulichkeit verhindert die Preisgabe wahlbezogener Informationen gegenüber Dritten (z.B. Provider, Netzbeobachter, Wahlteilnehmer, Außenstehenden). Im folgenden werden drei Formen der Vertraulichkeit unterschieden.
2.2.6.1 Vertraulichkeit der Kommunikation
Die zwischen Wahlteilnehmer und -leitung stattfindende Kommunikation, insbesondere die Übertragung von Wahlscheinen, muß inhaltlich vor der Einsicht durch unautorisierte Personen geschützt werden. Niemand darf abgefangene Stimmen mit vertretbarem Aufwand entschlüsseln.
2.2.6.2 Vertraulichkeit der Teilnehmer
Wir teilen die Vertraulichkeit der Teilnehmer in drei Stufen ein:
Die Vertraulichkeit der Resultate kann in drei Sicherheitsstufen eingeteilt werden:
Eine unzulässige Wahlscheinvermehrung muß unbedingt
entdeckt werden können. Die Nichtvermehrbarkeit schützt vor Manipulanten,
die beispielsweise Router modifizieren oder durch eine Zwischenschaltung
bestimmte Wahlscheine vervielfältigen. Versucht eine böswillige
Administration, gefälschte Wahlscheine in den Wahlprozeß einzuschleusen,
so müssen ihre Angriffe aufdeckbar sein. Für registrierte Nichtwähler
kann die Administration theoretisch manipulierte Stimmen abgeben. Grundsätzlich
liegt ein Wahlbetrug vor, wenn die Anzahl der eingereichten Stimmen die
Anzahl der registrierten Wähler überschreitet. Zur Vermeidung
der Mehrfachbenutzung durch Kopieren eines Wahlscheins muß die Administration
Datenbanken zur Speicherung empfangener Wahldaten einrichten. Dies erfordert,
daß jeder E-Wahlschein eindeutig identifiziert werden kann.
Vor dem offiziellen Ende der Wahlzeit darf keine Administration über die technische Fähigkeit verfügen, Zwischenresultate zu ermitteln und zu publizieren. Sobald Zwischenergebnisse (ggf. über verdeckte und geheime Kanäle) verbreitet werden, ist die Änderung bestehender Stimmenverhältnisse vor Ende der Wahlzeit möglich. Der Wähler gibt seine Stimme unabhängig ab und wird dabei nicht beeinflußt. Auch ist es unzulässig, daß ein Wähler vorgegebene Wahlscheine anderer Teilnehmer kopiert und als eigene Stimme abgibt.
Das Wahlgeheimnis, der Rechtsgrundsatz der geheimen Stimmabgabe, gewährleistet die Entschließungsfreiheit des Wählers. Demzufolge müssen Wähler bei der Stimmabgabe anonym bleiben und es darf auch keine Kontrolle bzw. Steuerung des Wahlverhaltens geben.
In totalitären Regierungssystemen finden Wahlen zumeist offen - unter Ausschluß des Wahlgeheimnisses - statt. Zusätzlich praktizieren diese Regime zumeist Repressions-, Zwangs- und Terrormaßnahmen, um die erwünschten Wahlresultate zu erzielen.
Auch in einigen demokratisch regierten Ländern ist das Wahlgeheimnis nicht unbedingt gewährleistet. Beispielsweise sind öffentliche Wahlen in Großbritannien nicht geheim. Jeder britische Wähler ist einem Wahllokal zugeordnet und verfügt über eine eindeutige Identifizierungsnummer. Ein Wahlschein hat auch eine eindeutige Identifizierungsnummer. Da beide Nummern zusammen aufgezeichnet werden, ist das Rückverfolgen von Stimmabgaben möglich.
"In the United Kingdom public elections are not secret. Each voter can vote at one polling station and has a unique number. Each ballot paper also has a unique number and the two numbers are recorded together. It is therefore possible to determine who voted, and for which candidate" (Slessenger, 1991, S. 956).
Grundsätzlich müssen jedoch Wahlteilnehmer ohne Preisgabe ihrer Identität Stimmen abgeben können. Auch wenn ein Außenstehender die Übertragungen abhört, kann er in einem anonymen E-Wahlsystem keinen Zusammenhang zwischen Wahlscheininhalt und Wähler herstellen.
2.2.9.1 Anonymität der Stimmabgabe
Wir unterscheiden drei Stufen der Anonymität:
Bei der komplexitätstheoretischen Nichtrückverfolgbarkeit ist die Stimmabgabe anonym. Die angewendeten Methoden zur Anonymisierung beruhen auf schwer lösbaren Problemen. Sie realisieren eine sogenannte komplexitätstheoretische Nichtzurückverfolgbarkeit, wenn das Rückverfolgen der Stimmen
Die informationstheoretische Nichtrückverfolgbarkeit garantiert die Geheimhaltung auch dann, wenn der Angreifer über unendliche Rechenleistung verfügt. Sie kann weiterhin in bedingte und unbedingte informationstheoretische Nichtrückverfolgbarkeit eingeteilt werden. Bei der bedingten informationstheoretischen Stufe läßt sich die Stimmabgabe theoretisch rückverfolgen, wenn alle (oder mehrere) an der Wahl beteiligten administrativen Instanzen ihre Daten miteinander zusammenschließen. Diese Datensammlung umfaßt auch die aus der Überwachung der Netzkommunikation gewonnenen Informationen. Für die bedingungslose informationstheoretische Stufe gilt die Geheimhaltung auch gegenüber allen Instanzen. Selbst wenn sie ihre Daten miteinander verknüpfen, bleibt die Anonymität der Teilnehmer erhalten. Eine beliebige Kooperation zwischen Administratoren, Provider, Parteien oder anderen Organisationen mit dem Zweck der Rückverfolgung des Wahlverhaltens macht diese Stufe absolut unmöglich.
2.2.9.2 Anonymität der Administration
Die Zusatzforderung steht zwar mit der Wahlgeheimnis-Definition in keinem direkten Zusammenhang, doch kann in Spezialfällen die Anonymität der Administration gefordert werden. Das gilt beispielsweise für E-Wahlen in totalitären Regierungssystemen, wo Gruppen über Themen abstimmen, die vom dortigen Regime als subversiv angesehen werden. Solche repressiven Systeme, in denen der Einzelne vollständig der Despotie des Staates ausgeliefert ist, in denen Überwachung in alle Lebensbereiche vordringt, könnten Aktivisten unter Wahrung ihrer Anonymität geheime Wahlen initiieren und leiten.
2.2.9.3 Unverkettbarkeit
In einem anonymen Wahlsystem ist die Identität der Wähler während einer Stimmabgabe nicht unmittelbar aufdeckbar. Benützt ein Teilnehmer für mehrere unterschiedliche Wahlen ein fixes Pseudonym, dann können alle seine Stimmabgaben rückverfolgt werden, wenn er sich einmal identifiziert. Dagegen verhindert die Forderung der Unverkettbarkeit die Verknüpfung einzelner Pseudonyme eines Teilnehmers.
Das Kriterium der Unmittelbarkeit umfaßt die Unverkaufbarkeit und Unerzwingbarkeit der Stimmabgabe. Auch bei Briefwahlen besteht die Problematik, daß Wähler ihre Stimmen verkaufen oder unter Zwangeinwirkung abgeben (z.B. Altersheime).
2.2.10.1 Unverkaufbarkeit
Kein Wähler darf gegenüber Dritten nachweisen, wie er wählte, oder Dritten erlauben, unter seiner Identität zu wählen. Durch E-Wahlen könnte die bestehende Ungleichheit durch eine weitere Facette bereichert werden. Im Gegensatz zu traditionellen Verfahren ermöglichen fast alle E-Wahlprotokolle den Stimmenkauf. In einem solchen Szenario würden Wähler freiwillig ihre Stimmen (beispielsweise für anonymes elektronisches Geld) verkaufen.
Die Unverkaufbarkeit steht mit der Verifizierbarkeit in Konflikt, da das Wahlprotokoll ein Offenlegen des Stimminhaltes gegenüber Außenstehenden verhindern müßte.
Wir gehen davon aus, daß der Stimmenkäufer KF über alle öffentlichen Protokollwerte verfügt. Wahlprotokolle können dann aufgrund der Handlungsspielräume von KF in drei Stufen eingeteilt werden.
Neben dem freiwilligen Stimmenverkauf muß in totalitären und demokratischen Systemen mit Personen gerechnet werden, die durch Zwangs-, Erpressungs- und Repressionsmaßnahmen bestimmte Stimmen erzwingen wollen. Auf der Seite der Crypto-Community wird die Notwendigkeit der Realisierung dieser Forderung oft verlangt (Benaloh/Tuinstra, 1994, Horster/Michels, 1995, Niemi/Renvall, 1995, Okamoto, 1997, Riera/Borrell/Rifà, 1998, etc.). Hingegen hat die Politikwissenschaftlerin Priscilla Southwell (Southwell, 1996) durch ihre Interviews mit 1200 Bürger von Oregon, die bei einer wichtigen Wahl im Jahr 1996 ihre Stimme per Briefwahl abgaben, aufgewiesen, daß nur 3 Bürger angaben, tatsächlich unter dem Einfluß von zwangausübenden Personen gestanden zu haben. Nichtsdestoweniger sollten Schutzmethoden entwickelt werden. Gibt der Wähler einmal seine Authentifikations- und Autorisierungscodes preis, so ist das Kriterium der Unerzwingbarkeit schwer zu realisieren: Die zwangausübende Person ZP kann selbst abstimmen oder die geforderte Stimme eigenständig überprüfen. Auch darf ZP dem Wähler keine Protokollwerte aufzwingen. Im Extremfall bleibt der Wähler während der Wahlzeit in einer völlig passiven Rolle.
Zwangsmodell
Zunächst wollen wir ein Zwangsmodell entwickeln
und zwischen möglichen Koalitionen unterscheiden, die ZP eingehen
kann, um den Wahlausgang zu steuern und zu manipulieren (Kooperationsstufen).
Theoretisch ist es für ZP möglich, mit
Die Kontrolle durch ZP wird in vier Stufen unterteilt und davon ausgegangen, daß ZP über alle öffentlichen Protokollwerte verfügt (Kontrollstufen).
Die Testbarkeit des Wahlprotokolls beschreibt Maßnahmen zum Finden von Fehlern.
2.2.11.1 Testbarkeit der Korrektheit
Beim dynamischen Testen wird das System mit einer zufällig gewählten Menge von Stimmen ausgeführt. Ein Verifizierer vergleicht dann die Ergebnisse mit dem vorgegebenen Resultat.
2.2.11.2 Testbarkeit des Quellcodes
Zugangskontrollen, signierte Quellcodes oder Prüfsummensysteme ermöglichen erhöhte Sicherheit vor unzulässigen Modifikationen. Das Testen des Quellcodes durch unabhängige Testinstanzen minimiert die Gefahren eingebauter Computer-Anomalien. Die Erhöhung der Systemsicherheit bedingt die Mitwirkung der Öffentlichkeit am Testen.
2.2.11.3 Testbarkeit durch Öffentlichkeit
Es stellt sich die Frage, ob die Wahl-Software (speziell die Auswertungs-Software) als privat oder öffentlich zu deklarieren ist. Private Software zeichnet sich dadurch aus, daß nur vertrauenswürdige Dritte Testläufe durchführen. Öffentliches Testen ermöglicht die Ausforschung manipulativer Compiler und Computeranomalien, wenn die Performance der durch die Bürgerschaft kompilierten Programme mit jenen der Administration verglichen werden.
Elektronische Wahlsysteme, deren Programmierung (bzw. Quellcode) nicht öffentlicher Diskussion, Kontrolle und Kritik ausgesetzt wird, legen den berechtigten Verdacht eines ungenügenden Sicherheitsniveaus nahe. Sie bieten keine ausreichende Sicherheit vor nichtoffengelegten Interessen der Hersteller.
Ein Wahlsystem besitzt die Eigenschaft der Testbarkeit durch die Öffentlichkeit, wenn
Voraussetzung für die Anwendung des E-Wahlsystems bleibt die Verfügbarkeit des Wahldienstes, d.h. alle Beteiligten möchten zu einem beliebigen Zeitpunkt innerhalb der Wahlzeit Stimmen abgeben. Deswegen muß der Netzzugang für den Wähler und die Wahl-Server während dieser Zeitspanne verfügbar sein.
Steht ein E-Wahldienst zur Verfügung, dann muß mit gezielten Angriffen durch Individuen, Gruppen oder Organisationen gerechnet werden, die das Ziel verfolgen, den Wahlprozeß zu blockieren. Die Folge einer Blockade wäre im schlimmsten Fall eine Wiederholung der Wahl.
Die Angriffe können sich auch auf die Verbindungen zwischen den Informationssystemen richten. Wer heute Glasfaserkabel durchtrennt, verhindert einige Telefongespräche. Wem dies aber in 10-20 Jahren gelingt, der wird die Verfügbarkeit von Steuerungssystemen der Wirtschaft, Bankverbindungen, digitale Fernseh- und Videoübertragungen und elektronische Wahlen reduzieren. Gleichzeitige Anschläge auf wichtige Dienstanbieter würden im Worst-Case zum Totalausfall des Kommunikationssystems führen.
Ein E-Wahlsystem ist robust, wenn einerseits durch unabsichtliches Fehlverhalten oder anderseits durch gezielte Angriffe keine Schwächung der Verfügbarkeit des Wahldienstes eintritt. Eine Wahlunterbrechung läßt sich nach der Störungsdauer unterscheiden.
Eine unzuverlässige Infrastruktur darf keinesfalls die Stimmabgabe behindern und niemals in einen inkonsistenten bzw. unbekannten Zustand gelangen. Dem Teilnehmer muß trotz Komponentenfehler oder Hochlast ein zuverlässiger Wahldienst garantiert werden. Die Funktionalitäten des Wahlsystems sind kontinuierlich aufrechtzuerhalten. Dabei steht die Fehlervermeidung im Vordergrund. Bei Systemausfällen werden besonders bei den Wahl-Servern sichere Speicher und spezielle Resynchronisationsprotokolle benötigt.
Geringe Kosten und hohe Zuverlässigkeit sind kaum vereinbar. Je hochwertiger die Hardware, um so teurer ist sie auch. Die Fehlerbehandlung verlangt einen beträchtlichen Software-Aufwand. Eine weitgehend ungestörte Systemverfügbarkeit im Fehlerfall erfordert eine Verdoppelung vieler Hardwarekomponenten. Höhere Zuverlässigkeit verlangt aufwendigere Fehlererkennungs- und Bestätigungsmechanismen, möglichst auf mehreren Ebenen der Netzhierarchie. Die hierfür nötigen Bearbeitungs- und Wartezeiten verzögern die Nachrichtenvermittlung.
Die Wartung eines E-Wahlsystems umfaßt alle Tätigkeiten, die nach Abschluß der Entwicklungsarbeiten vorgenommen werden müssen. Sie wirken sich auf die Sicherheit aus.
Die Wartbarkeit eines Wahlprotokolls ist der Aufwand für das Fehlersuchen, die Korrektur und für Erweiterungen im lauffähigen Programm. Die Aufgabe liegt darin, Fehler- und Anpassungskorrekturen des E-Wahlsystems, das bereits im Betrieb ist, durchzuführen. Ein Ziel der Wartungsphase ist es auch, das Wahlprogramm zu modifizieren, um neue Anforderungen zu erfüllen. Fehler, die während des Betriebes auftreten, müssen behoben werden. Zu den Hauptgründen für Wartungsarbeiten gehören