Um die Sicherheit der entwickelten Systeme analysieren zu können, müssen zunächst notwendige Sicherheitsannahmen definiert werden, die in den beiden nachfolgenden Tabellen erscheinen. Die sicheren kryptographischen Schemen sind den betreffenden administrativen Einheiten oder Personen zugeordnet.

             Tabelle 3.6: Sicherheitsannahmen aus der Sicht der Administrationen.

 

Sicherheitsannahmen	Instanzen	Einheiten/Personen	gegebene Sicherheit
S1	LA	Z	Blinde Signaturschema
S2	LA	Z	Signaturschema
S3	LA	Z	Codierungsschema
S4	LA	BBS	Signaturschema
S5	LA	BBS	Codierungsschema
S6	LA	A	Signaturschema
S7	LA	A	Codierungsschema
S8	LA	Mix	Codierungsschema
S9	LA	Mix	Signaturschema
S10	Dechiffrierungskreis	Einheiten des  Dechiffrierungskreises	Codierungschemen/Signaturschemen für die Erzeugung des Kollektivschlüssels
S11	Dechiffrierungskreis	Einheiten des Dechiffrierungskreises	Kollektivschlüssel-Codierungsschema
S12	RA	RA-Server	Signaturschema
S13	RA	RA-Server	Codierungsschema
S14	NA	NA-Server	Signaturschema
S15	NA	NA-Server	Codierungsschema
S16	IA	IA-Server	Signaturschema
S17	IA	IA-Server	Codierungsschema
S18	TC	TC-Server	Signaturschema

Tabelle 3.7: Teilnehmerbezogene Sicherheitsannahmen.

 

Sicherheits- annahmen	Personen	Einheiten	Gegebene Sicherheit
S21	Wähler	Client	Signaturschema
S22	Wähler	Client	Pseudonym- Signaturschema
S23	Wähler	Client	Codierungsschema
S24	Wähler	Client	Commitment
S25	Wähler	Chipkarten	Codierungsschema
S26	Wähler	Chipkarten	Signaturschema
S27	Wähler	Chipkarten	Manipulationssichere HW

Im folgenden Abschnitt wird die Sicherheit aller entwickelten Protokolle analysiert. Zudem zeigen wir, daß die Systemstabilität auch beim Ausfall einer Reihe von Standard-Annahmen sichergestellt werden kann. Wenn eine Annahme nicht mehr gilt, dann bezeichnen wir diesen Sachverhalt durch die Notation .

3.11.2 Sicherheitsanalyse

3.11.2.1 Authentifikation

Wahlberechtigungsprüfung
Wir gehen von der Prämisse aus, daß wegen der sicheren Client-Signaturschemen keine unberechtigte Person wählen kann (S21). Im Alpha-System stellt die Verifikation der Client-Signatur sicher, daß nur berechtigte Personen an der Entscheidung teilnehmen können. BBS bzw. A ignorieren Entscheidungsdaten, die mit dem Signaturschlüssel einer unberechtigten Personen unterschrieben wurden.

Auch wird im Beta- und Gamma-System das Kriterium der Wahlberechtigung erfüllt. Nehmen wir im Gegensatz an, daß eine unberechtigte Person Stimmen abgibt. Der Zertifizierungs-Server überprüft die Ausstellungsbedingungen (siehe oben), bevor dieser eine blinde Signatur leistet. Für unberechtigte Personen stellt er keine blinden Zertifikate aus. Die unberechtigte Person sendet codierte Datenpakete mit Signatur zum BBS. BBS identifiziert die Signatur als nichtautorisiert, da BBS ebenfalls über die Liste der Stimmberechtigten verfügt. Demzufolge muß die unberechtigte Person gegenüber Z die Signatur eines berechtigten Teilnehmers, der noch kein Zertifikat erhielt, vortäuschen. Der Angreifer bricht folglich das Signaturschema eines berechtigten Wählers. Das widerspricht der angenommenen Sicherheit des Client-Signaturschemas (S21).

Gleichheit
Im Beta- und Gamma-System erhält ein Teilnehmer nach erfolgter Authentifikation genau ein Zertifikat, da der Zertifizierungs-Server ausgestellte Zertifikate in der Teilnehmerliste vermerkt. Um die Identität anderer vorzutäuschen und mithin weitere Zertifikate zu bekommen, benötigt ein Angreifer den geheimen Signaturschlüssel anderer Teilnehmer. Dadurch entsteht ein Widerspruch zur Sicherheitsannahme S21.

Authentizität des Wahldaten
Die Authentizität der Wahlscheine wird im Beta- und Gamma-System durch die blinde Signatur des Zertifizierungs-Servers zum öffentlichen Zufallsschlüssel des Wählers sichergestellt. Im Alpha-System signiert Client die Wahldaten unmittelbar mit seinem geheimen Schlüssel. Der korrespondierende öffentliche Schlüssel wurde vom Trust-Center zertifiziert. Daraus folgt die Authentizität der Wahldaten.
 

3.11.2.2 Übertragungsintegrität

Das Alpha-System verhindert die Modifikation des Votums auf der Übertragungsstrecke. Nehmen wir im Gegenteil an, daß ein Angreifer imstande ist, Entscheidungsdaten unbemerkt zu modifizieren. Dazu muß dieser einen geheimen Signaturschlüssel eines Teilnehmers herausfinden. Das erfordert die Kompromittierung des Signatursystems der betreffenden Person und widerspricht der angenommenen Sicherheit des Signaturschemas (S21).

Im Beta- und Gamma-System kann kein böswilliger Angreifer ohne Kenntnis des Signaturschlüssels von Z codierte Wahlscheine durch gültige Fälschungen ersetzen. Daher muß das blinde Zertifizierungssystem gebrochen werden, was einen Widerspruch zur Annahme S1 liefert. Außerdem signiert jede Mix-Einheit ihren Ausgabeschub, wodurch Manipulationen rückverfolgbar sind (S9). Die von Z ausgestellten blinden Zertifikate zu den öffentlichen Zufallsschlüssel gewährleisten die Integrität und Authentizität der E-Wahlscheine.
 

3.11.2.3 Korrektheit

Die nachstehenden Ausführungen gelten für die Systemklassen Alpha bis Gamma. Es wird angenommen, daß die Software- und Hardwarekomponenten der Administrationen gemäß der Spezifikation funktionieren. Folglich zählen die Auswertungs-Server die Stimmen ordnungsgemäß aus. Da BBS alle Entscheidungsdaten protokolliert, ist jeder Beteiligte (externe Beobachter) imstande, die Korrektheit des behaupteten Resultates zu prüfen. Wertet eine unehrliche Administration die Stimme eines legitimierten Wählers inkorrekt aus, dann wird dieser Angriff/Fehler erkannt, da mindestens eine Einheit des Dechiffrierungskreises die Inkorrektheit der Auswertungsliste reklamiert (V11).

3.11.2.4 Verifizierbarkeit

Wegen der sicheren digitalen Client-Signaturschemen kann im Alpha-System keine böswillige Wahlleitung Entscheidungsdaten modifizieren. Für jeden Teilnehmer ist es möglich, im BBS zu prüfen, ob seine Entscheidungsdaten in der Auswertungsliste vorkommen.

Im Beta und Gamma-System können Zertifizierungs-Server und/oderBBS und/oder Mix-Einheiten und/oder Auswertungs-Server versuchen, die Wahl durch Veränderung der Stimmabgaben zu manipulieren.

Ein Angriff von BBS besteht darin, bestimmte Wahlscheindaten, die BBS von der letzten Mix-Einheit empfangen hat, zurückzuhalten (V4). Auch können NMAX-1 Mix-Einheiten mit BBS konspirieren. Nun ist aber die Anzahl der aufgezeichneten Wähler-Mix-Signaturen größer als die Anzahl der anonymisierten E-Wahlscheine (WN>AN). Jedenfalls liegt ein eindeutig erkennbarer Betrug vor und die verantwortliche RA untersucht die Aufzeichnungen der Mix-Stationen, um den Täterkreis einzugrenzen.

Entfernt BBS einen publizierten Eintrag während der Wahlzeit, dann läuft BBS Gefahr, durch die RA oder andere Teilnehmer überführt zu werden, da die BBS-Liste der Wähler-Mix-Signaturen zu jeder Protokollzeit öffentlich abrufbar ist und daher Kopien angefertigt werden können. Indem der betroffene Wähler die erhaltene Empfangsbestätigung des BBS vorweist, existiert ein sicheres Beweismittel, das vor Gericht gegen BBS zu verwenden ist.

Falls die Zahl der Wahlscheine in der BBS-Auswertungsliste größer als die Anzahl der protokollierten Wähler-Mix-Signaturen (AN>WN) ist, versuchen im Worst-Case Z, BBS, A und NMIX-1 Mix-Stationen die Wahl zu betrügen (V1,V4V5). Demzufolge lieferte der Zertifizierungs-Server gefälschte Zertifikate und transferierte sie zu den konspirierenden Einheiten. Diesen Angriff kann RA eindeutig erkennen und durch die Untersuchung der Aufzeichnungen der Mix-Stationen den Täterkreis identifizieren.

Die nachträgliche Modifizierung anonymisierter Entscheidungsdaten ist praktisch undurchführbar. Damit ein codierter Wahlschein verändert werden kann, müssen die konspirativen Einheiten (A, BBS, Z, Mix-Server) den geheimen Pseudonym-Signaturschlüssel des Wählers herausfinden, was das Brechen des Pseudonym-Signaturschemas bedingt. Das widerspricht aber der Sicherheitsannahme (S22).

Ein böswilliger Angriff basiert auf der Ersetzungsattacke von Wahlscheindaten durch gültige Fälschungen. Hierbei kooperieren im Worst-Case Z, A,BBS und NMAX-1 Mix-Einheiten (V1,V4,V5). Wenn das blinde Signaturschema des betreffenden Zertifizierungs-Servers als sicher gilt (S1), dann ist ein solcher Angriff nur mit seiner vorsätzlichen Mitwirkung (V1) durchführbar. In diesem Fall enthüllt der jeweilige verifizierende Teilnehmer gegenüber RA, daß er ein gültiges Zertifikat besitzt, welches nicht in der Auswertungsliste vorkommt, und wie er seine Mix-Codierung durchführte. Existieren damit mehr als ZN zulässige Zertifikate, so muß ein schwerer Verdacht wegen Betruges gegenüber der LA erhoben werden - die Strafwürdigkeit des Zertifizierungs-Servers ist naheliegend. Sie wird spätestens durch das Rückverfolgungsprotokoll eindeutig, da RA die Mix-Operationen nachvollzieht. Durch Auswertung der Mix-Protokolldaten kann RA die mit dem Zertifizierungs-Server konspirierenden Einheiten identifizieren.
 

3.11.2.5 Vertraulichkeit

Die Vertraulichkeit der Kommunikation erreicht das

• Alpha-2-Protokoll wegen der Codierung der Entscheidungsdaten mit dem öffentlichen Schlüssel des Auswertungs-Servers (S7),
• Alpha-3-Protokoll aufgrund der Codierung der Entscheidungsdaten mit dem öffentlichen Kollektivschlüssel (S11),
• Alpha-4-Protokoll durch das Versiegeln der Zufallszahl mit dem sicheren Commitment (S24).

Unter der Voraussetzung, daß die eingesetzten Mix-Codierungsschemen sowie die Codierung mit dem öffentlichen Kollektivschlüssel im Beta- und Gamma-System als sicher gelten (S8, S11), kann kein Abhörer der Kommunikation Informationen über den Wahlscheininhalt gewinnen (Vertraulichkeit der Kommunikation).

Alle Systeme unterstützen weder die Vertraulichkeitsstufe "geheim" noch "Verschluß" für die Resultate. Die Stufe "Verschluß" kann beispielsweise durch verschlüsselte Publikation der Auswertungsliste erzielt werden, wobei ein unter den Wählern geteilter symmetrischer Kollektivschlüssel das Auslesen für Außenstehende verhindert. Will die Administration ihre Teilnehmerliste geheimhalten, dann wird keine BBS-Publikation vorgenommen. Außerdem besteht die Möglichkeit, die Resultate zu verschlüsseln (Vertraulichkeit der Resultate).

3.11.2.6 Nichtvermehrbarkeit

Im Alpha-System kann niemand Entscheidungsdaten wegen der Eindeutigkeit der öffentlichen Teilnehmerschlüssel und der sicheren Client-Signaturschemen (S21) vermehren. Wenn ein Teilnehmer mehrere signierte Voten sendet, so zählt der jeweilige Auswertungs-Server die zuerst empfangenen Entscheidungsdaten.

Die nachfolgende Analyse betrifft die Beta- und Gamma-Protokolle. Verfügt ein Wähler über die Fähigkeit, eigenständig gültige Zertifikate zu erzeugen, dann ist die Vermehrung von Stimmen möglich (d.h. dieser erzeugt ohne Mitwirkung von Z gültige Zertifikate). Dazu müßte der Wähler aber das blinde Signatursystem brechen können, wodurch ein Widerspruch zur Annahme S1 hervorgeht.

Angenommen, ein Wähler bricht das blinde Signatursystem (S1) und Prämisse S21 gilt, dann kann der Wähler zwar gefälschte Wahlscheine produzieren, aber nicht abgeben, da BBS ausschließlich codierte Wahlscheine mit gültiger Client-Signatur akzeptiert. Jeder Wähler darf genau ein signiertes Mix-Paket senden. Nehmen wir im Gegenteil an, BBS erlaubt dem Wähler unter Vortäuschung einer falschen Identität mehrfach Wahlscheine abzugeben. Ein solcher Sachverhalt bedingt das Brechen des Signaturschemas eines Wählers und liefert einen Widerspruch zur Prämisse S21.

Demzufolge ist eine unzulässige Wahlscheinvermehrung nur dann praktizierbar, wenn der Angreifer mindestens ein Client-Signaturschema sowie das blinde Signaturschema bricht (S1,S21).

Angenommen, eine betrügerische LA vervielfältigt Voten (V1,V2,V4,V5), wobei Prämisse S21 gilt. Folglich prüft RA die Gleichheit WN=AN underkennt keine Manipulation, da die LA korrekte Stimmabgaben vortäuscht. BBS präsentiert codierte Mix-Daten mit Wähler-Mix-Signaturen von Nichtwählern. Dieser Betrug bedingt aus der Perspektive der LA das Herausfinden von mindestens einem Nichtwähler-Signaturschlüssel. Daraus folgt der Widerspruch zur Annahme S21.
 

3.11.2.7 Nichtbeeinflußbarkeit

Wenn beim Alpha-3-Protokoll wenigstens eine der J teilnehmenden Einheiten des Dechiffrierungskreises ihren Teil des Kollektivschlüssels geheimhält, dann ist ein frühzeitiges Entschlüsseln der versiegelten Voten praktisch unmöglich. Konspirieren  Einheiten, so können ohne den letzten Teilschlüssel keine Stimmen vor Ablauf der Wahlzeit entschlüsselt werden. Der fehlende geheime Schlüssel läßt sich nur herleiten, wenn die böswilligen Einheiten des Dechiffrierungskreises das betreffende asymmetrische Verschlüsselungsschema/Signaturschema brechen. Dies widerspricht der Sicherheitsannahme (S10). Für die Beta- und Gamma-Systeme gilt die gleiche Beweisführung wie im Alpha-3-Protokoll.

Im Alpha-4-System ist das Ergebnis der Entscheidungsfunktion vor Ende der Wahlzeit unvorhersehbar und liefert zufällige Kandidaten, da

• ihre Eingabewerte zufällig gewählt wurden,
• die Offenlegung der Zufallszahlen erst nach dem Ende der Wahlzeit erfolgt,
• die Commitment-Funktion als sicher gilt (S24).

3.11.2.8 Wahlgeheimnis

Die nachfolgenden Ausführungen beziehen sich auf die Beta- und Gamma-Protokolle.

Zertifizierung: informationstheoretische Nichtrückverfolgbarkeit
Da Z die eingesetzten Zufallsschlüssel durch das blinde Zertifizierungsprotokoll signierte, können die daraus resultierenden Zertifikate nicht verwendet werden, um die Korrespondenz zwischen Teilnehmeridentität und Zufallsschlüssel herauszufinden. Die unbedingte Unverknüpfbarkeit von Wähleridentität und Zufallsschlüssel folgt aus der Eigenschaft der Camouflage (S1), für die es eine informationstheoretische Nichtrückverfolgbarkeit gibt.

Stimmabgabe: Komplexitätstheoretische Nichtrückverfolgbarkeit
Wir nehmen an, daß niemand Public-Key-Codierungsschemen der Mix-Einheiten brechen kann (S8). Die einzelnen Mix-Einheiten werden von unabhängigen und einander wechselseitig mißtrauenden Administratoren kontrolliert. Da der Teilnehmer Wahlscheindaten über den anonymen Kanal zum Auswertungs-Server sendet, bleibt das Rückverfolgen wegen der komplexitätstheoretischen Annahme praktisch undurchführbar (S8). Im Worst-Case arbeitet mindestens eine Mix-Einheit ordnungsgemäß (V3). Dann ist es für einen Angreifer praktisch unmöglich, Stimmen rückzuverfolgen. Die Steigerung der Systemsicherheit korreliert mit der Erhöhung von NMIX. Jede LA sollte über die Größe NMIX entscheiden, wobei meiner Ansicht nach mindestens fünf Mix-Einheiten einsetzt werden sollten.

Bei der weiteren Analyse der Rückverfolgungsangriffe gehen wir vom Worst-Case-Fall (V3) aus: Einheiten konspirieren und eine beliebig positionierte Einheit arbeitet korrekt. Das Umgehen der ehrlichen Mix-Station ist undurchführbar, da ein gültiger Wahlschein ausschließlich durch Entschlüsselung mit ihrem Mix-Schlüssel hervorgehen kann. Für die böswilligen Einheiten ist jener unermittelbar (S8). Daher sind die Angreifer gezwungen, den Eingabe- und Ausgabeschub der ehrlichen Mix-Einheit durch aktive und passive Angriffe zu analysieren und bloßzustellen.

Passiv wirkende Angriffe auf "durchlaufende" Pakete umfassen das Verfolgen einer Inhalts- und/oder Längenkorrelation sowie Timing-Attacken. Da der Ein- und Ausgabeschub der Mix-Datenpakete stets einen Stapel mit konstanter Länge enthält, sind Timing-Attacken auszuschließen. Längenkorrelationen sind wegen der konstanten Paketlänge unmöglich. Weil der ehrliche Mix-Server die empfangenen Datenpakete durch das Entschlüsseln mit seinem geheimen Schlüssel transformiert und weil die Client-Systeme symmetrische Zufallsschlüssel zur Chiffrierung der Mix-Datenpakete benützten, kann keine Inhalts-korrelation vorgenommen werden. Der aufrichtige Mix-Server hält alle entschlüsselten symmetrischen Schlüssel unbedingt geheim. Daher müßte der externe passive Beobachter die passenden symmetrischen Schlüssel herausfinden - beispielsweise indem durch einen Brute-Force-Angriff der Schlüsselraum durch Ausprobieren möglicher Schlüssel ausgeforscht wird, was praktisch undurchführbar ist (S8). Der durch den ehrlichen Server angefügte Block zur Erhaltung der konstanten Paketlänge läßt keine Korrelation zwischen Eingabe- und Ausgabeschub zu, da dieser zufällig gewählt wurde.

Replay-Angriffe gehören zu den böswilligen Formen aktiver Angriffe. Sie beruhen auf der Replay-Transmission eines Stapels - ggf. wird die Reihenfolge der Pakete des Stapels variiert. Wiederholungen werden erkannt, wenn jede Mix-Station alle entschlüsselten Pakete in einer speziellen Liste aufzeichnet.

Aktive Attacken, bei denen der Angreifer vorsätzlich einzelne Pakete des Ein- bzw. Ausgabeschubs manipuliert, sind bei dieser Mix-Variante möglich. Das Modifizieren von Paketen durch externe Angreifer ist undurchführbar, da die zwischen den Mix-Einheiten transferierten Schübe jeweils eine digitale Signatur der vorhergehenden Mix-Stationen enthalten. Im Worst-Case-Fall versuchen NMAX-1 konspirative Mix-Stationen durch gezielte Veränderungen des Eingabeschubs einige Pakete des Ausgabeschubs der ehrlichen Mix-Einheit zu identifizieren. Nachträglich würden diese versuchen, identifizierte E-Wahl-scheine rückzuverfolgen.

Bei Modifikations-Attacken ändern böswillige Mix-Einheiten die Bits in einem Mix-Paket. Eine solche Modifikation führt in weiterer Folge zu einer völlig anderen Entschlüsselungssequenz, da alle symmetrischen Schlüssel verändert werden, wodurch ein fehlerhaftes und undechiffierbares Paket am Ende der Mix-Sequenz herauskommt (fehlerhafter Wahlschein). Folglich ist das Wahlgeheimnis des betroffenen Wählers nicht kompromittiert.

Da wir einen symmetrischen Entschlüsselungs-Algorithmus benützen, der die korrekte Codierung eines gegebenen Blockes von der korrekten Dechiffrierung der vorhergehenden Blöcke abhängig macht, bewirkt das Modifizieren eines beliebigen Bits im Datenbereich - die angefügten Zufallszahlen sind davon ausgenommen - jedenfalls keinen gültigen E-Wahlschein. Angreifer können nur die angefügten Zufallszahlen unentdeckt manipulieren - diese Attacke hat aber keine Wirkung auf die symmetrischen Schlüssel, auf Inhalt des E-Wahlscheins oder auf die Anonymität der Stimmabgabe.

Fügen böswillige Mix-Einheiten geheime Identifizierungsinformationen im Bereich der Zufallszahlen hinzu, um die Anonymität zu kompromittieren, dann scheitert jener Versuch, weil der ehrliche Mix-Server diesen Bereich mit seinem symmetrischen Schlüssel decodiert. Diese Entschlüsselungsoperation verursacht also eine Transformation des Zufallszahlenbereichs mit einem symmetrischen Schlüssel, der nur dem ehrlichen Mix-Server bekannt ist (Gülcü/Tsudik, 1996, S. 9).

Eine böswillige Mix-Station kann ein Paket des Eingabeschubs ignorieren, während statt- dessen ein selektiertes Paket dupliziert wird (Vermehrung). Prüft der ehrliche Mix alle Pakete, ob Duplikate existieren, so läßt sich diese Angriffsform leicht vermeiden: Der Mix verifiziert einfach alle entschlüsselten symmetrischen Schlüssel auf Gleichheit. Falls zwei symmetrische Schlüssel identisch sind, dann liegt - mit hoher Wahrscheinlichkeit - eine unzulässige Vermehrung vor. Die Wahrscheinlichkeit, daß zwei Clients den selben symmetrischen Schlüssel zur Codierung ihrer Mix-Pakete benützten, ist vernachlässigbar gering. Auch besteht die Möglichkeit, daß die böswillige Mix-Station ein Paket vervielfältigt und beim Duplikat den asymmetrisch codierten symmetrischen Schlüssel, der für den nachfolgenden ehrlichen Mix bestimmt ist, durch eine Fälschung ersetzt. Falls nur ein Bit im Datenbereich des Pakets modifiziert wird, geht ein ungültiges Zertifikat nach dem Ende der Mix-Kette hervor. Dieses ungültige Paket wird daher vom Dechiffrierungskreis nicht entschlüsselt.

Mächtige Attacken stellen sogenannte Isolationsangriffe dar, bei denen maximalistisch NMAX-1 Mix-Einheiten nur ein verschlüsseltes Paket des Stapels gleich lassen, alle anderen entfernen und durch eigenständig erstellte Attrappen ersetzen.

Der Auswertungs-Server vermag diese Attacke leicht zu erkennen, da sich im Stapel nur ein Wahlschein mit korrekt signiertem Zertifikat befindet (alle weiteren Pakete werden als ungültig identifiziert). Daraufhin verständigt BBS alle Teilnehmer, die dem betreffenden Schub zugeordnet sind und fordert diese zur sofortigen Verifikation ihrer Stimmabgaben auf, wodurch schwere Verdachtsmomente gegenüber den Mix-Stationen erhoben werden können.

Befindet sich der ehrliche Mix an letzter Position der Mix-Kette, so kann auch dieser den Angriff erkennen. Allerdings erscheint jener Angriff um so mächtiger, wenn zudem der Zertifizierungs-Server mit den böswilligen Mix-Stationen konspiriert und gültige Zertifikate zu illegal erzeugten Zufallsschlüsseln liefert (V1). Dadurch sind die Angreifer imstande, die Entscheidung durch gültige Wahlscheine zu infiltrieren.

Da die konspirierenden Einheiten die eingeschleusten Zertifikate nachträglich wiedererkennen, ist das Wahlgeheimnis des isolierten Paketes kompromittiert, wenn kein mit dem betreffenden Stapel korrespondierender Teilnehmer vor der Auswertung eine Reklamation äußert.

Bei einer großen Stapelgröße erhöht sich die Aufdeckungswahrscheinlichkeit, sobald ein einziger verifizierender Wähler feststellt, daß seine Stimme mit seinem Zertifikat nicht im Ergebnis erscheint.

Es ist von der Prämisse auszugehen, daß der Isolationsangriff praktisch nicht stattfinden wird, da mindestens ein Wähler existiert, der die Attacke aufdeckt.

Um solche Isolationsangriffe tatsächlich im Ansatz zu verhindern, können auch verifizierbare Mix-Protokolle eingesetzt werden (vgl. z.B. Jakobsson, 1998, 1999), bei denen die ehrliche Mix-Einheit die Manipulation entdeckt. Die betrügerischen Mix-Stationen können ohne Hilfe der Wähler gefangen werden. Der Wähler muß dann seine Stimmabgabe nicht verifizieren (universelle Verifizierbarkeit). Wird das Flash-Mix-Verfahren von Jakobsson eingesetzt, dann hat Client minimalen Aufwand zu leisten. Client muß den E-Wahlschein nur mit einem öffentlichen Schlüssel codieren. Der Aufwand für die weiteren Mix-Codierungen entfällt wegen der neuen Mix-Technik.

Maximalistisch betrachtet, erreicht die Stapelgröße die Anzahl der bei einer BBS abgegebenen Stimmen. In diesem Fall stimmt ausschließlich ein einziger Teilnehmer mit dem publizierten Resultat überein - die Kontrollinstanz RA empfängt als logische Konsequenz eine riesige Anzahl von Reklamationen - die LAmuß die Auswertungsliste für ungültig erklären und RA startet mit der Problemanalyse. Unabhängig von der Stapelgröße genügt für die Aufdeckung böswilliger Einheiten, daß ein einziger Teilnehmer Beschwerde einreicht.

Zunächst fordert RA von den Mix-Servern eine Kopie der Anonymisierungssequenz des betreffenden Stapels an oder erhält das Recht, diese über BBS zu lesen. Die Authentizität und Integrität sollte wegen der Signaturen der Mix-Server zu den Schüben garantiert sein.

Außerdem erhält RA die symmetrischen Schlüssel des reklamierenden Teilnehmers in codierter Form. Nun ist RA imstande, die Korrektheit des Mischvorganges des reklamierten Pakets nachzuvollziehen. Falls ein Mix-Server Manipulationen ausführte, wird dieser eindeutig identifiziert und schließlich rechtlich verurteilt. Die RA würde auch die restlichen mit dem anonymisierten Stapel in Zusammenhang stehenden Wähler zur Verifikation aufrufen, um mögliche weitere Manipulationen aufzudecken.

Weil solche Angriffe mit hoher Wahrscheinlichkeit aufgedeckt werden und hieraus für die konspirierenden Instanzen starke rechtliche Konsequenzen drohen, ist davon auszugehen, daß der Isolationsangriff in der Praxis nicht stattfindet.

Da der Signaturschlüssel eines Zertifizierungs-Servers für genau eine Entscheidung eingesetzt werden darf, ist es undurchführbar, E-Wahlscheine vorhergehender Wahlen erfolgreich einzuschleusen.

Die Mix-Datenpakete einer LA können durch unzulässige Übertragungen keinesfalls über den Mix-Kanal einer anderen LA gesendet werden, da

• BBS den Tatbestand wegen der Teilnehmer-Authentifizierung verhindert,
• wegen der fehlenden geheimen Mix-Schlüssel die E-Wahlscheine keinesfalls korrekt entschlüsselbar sind,
• jeder öffentliche Zufallsschlüssel eines E-Wahlscheins ein Zertifikat einer eindeutig zuordenbaren LA enthält.

Es wird angenommen, daß niemand

• das Codierungsschema der Chipkarte ausforschen (S25) und
• die sicheren Chipkarten-Variablen Festlegung, WAHL, Herausgabe auszulesen vermag (S27).

Eine zwangausübende Person (Stimmenkäufer) erlangt im Gamma-System keine Informationen über den Entscheidungsinhalt, da sie den symmetrischen Schlüssel nicht kennt und infolgedessen keinen Zusammenhang zwischen Datum aus Liste 1 und dem korrespondierenden codierten Votum aus Liste 2 ausforschen kann. Die Smart-Card hält unbedingtgeheim. Durch Eingabenkontrolle ist es für ZP undurchführbar, Stimmen zu erzwingen, da der Inhalt von WAHL nicht auslesbar ist. Führt der Wähler das Festlegungsprotokoll im Modus 1_MAL_FESTLEGEN aus, dann hat ZP keine Möglichkeit, jenen Sachverhalt zu identifizieren und Stimmeninhalte aufzuzwingen.

Aus der Perspektive von ZP bzw. KF tritt jede Zuordnung einer öffentlichen Verifikationsnummer zu einem Wähler mit der gleichen Wahrscheinlichkeit auf, da zufällig gewählt wurde. Ebenso sind alle Zuordnungen von codierten Voten aus Liste 2 und entschlüsselten Voten aus Liste 1 gleichermaßen wahrscheinlich, da ZP/KF die jeweiligen symmetrischen Schlüssel nicht kennt.

Das Gamma-Protokoll bietet größtenteils Schutz gegenüber allen Kontrollstufen. Die Stufe zwei wird erreicht, da wir annehmen, daß in der Praxis nur eine temporäre Kontrolle möglich ist, d.h. es existiert immer ein Zeitintervall (z.B. am Abend vor dem Wahltag), an dem der Wähler eine unbeobachtete Stimmenfestlegung vornehmen kann. Selbst wenn ZP dann die Kommunikation und die Eingaben des Wählers passiv und aktiv kontrolliert (Kontrollstufe 4), ist es unmöglich, eine Korrespondenz zwischen Teilnehmern und Stimmen festzustellen, da dieser die internen Mix-Operationen sowie die Entschlüsselungs- und die Sortierungsoperationen des Dechiffrierungskreises nicht verfolgen kann. Passive Angriffe, bei denen ZP zudem mit unehrlichen Mix-Einheiten zusammenarbeitet (Kooperationsstufe 2) können die Anonymität aufheben, wenn ZP die einzelnen Mix-Codierungen bzw. den von der Chipkarte codierten E-Wahlschein des Wählers kennt.

Allerdings muß der Angreifer nicht unbedingt Einheiten und Eingaben kontrollieren - wenn es ihm gelingt, mit dem Zertifizierungs-Server und/oder einem Auswertungs-Server zu kooperieren, um den öffentlichen Kollektivschlüssel vor der Wahlzeit widerrechtlich zu empfangen. Dadurch wird eine Stimmabgabe unter Umgehung der sicheren Chipkarte durchführbar.

Bei einer globalen oder nationalen Wahl erfordert dies eine große Anzahl konspirativer Beziehungen zwischen ZP und einzelnen räumlich verteilten Einheiten lokaler Administrationen, um das Resultat entsprechend zu steuern, was wegen ihrer wechselseitigen Unabhängigkeit äußerst unwahrscheinlich ist.

3.11.2.10 Testbarkeit

Es besteht die Möglichkeit, einen Message Authentication Code (MAC) einzusetzen. Erzeuger und Administration teilen einen symmetrischen Schlüssel. Codeteil und Schlüssel sind Eingabeparameter einer spezifischen mathematischen Funktion (z.B. Einweg-Hash-Funktion). Stimmen die Funktionswerte mit den Referenzwerten des Herstellers überein, so wurde keine Modifikation durchgeführt. MAC schützt die Wahl-Software vor zufälligen oder unzulässigen Änderungen. Der Hersteller erzeugt den MAC-Wert der Original-Software, liefert den Source-Code zum Wahlleiter, der das Programm übersetzt und MAC verifiziert. Veränderungen der Wahl-Software müssen strengstens kontrolliert werden, um unautorisierte Modifikationen zu verhindern. Autorisierte Änderungen sind unbedingt zu dokumentieren. Wenn die neue Software-Version Systemfehler produziert, dann müssen ältere Versionen aktiviert werden können.

Dynamisches Testen ermöglicht inkorrekte Funktionalitäten aufzudecken. Außerdem ist mit der Bedrohung durch unzulässige Computer-Anomalien zu rechnen. Simple Zeitbomben lassen sich entdecken, indem beim Testen Uhrzeit und Datum auf den Wahltag umgestellt werden. Intelligente Zeitbomben können aber feststellen, daß es sich um eine Simulation handelt. Dazu fragen sie z.B. die Zeitdaten einer kürzlich modifizierten Datei oder die Uhren einiger Netzrechner ab. Folglich erkennen diese die Testsimulation und werden inaktiv, wodurch die gezielte Fehlfunktion nicht zutage tritt. Deshalb muß das Testteam exakte Operationsbedingungen des Wahltages simulieren. Beim verteilten Testen sollte auch eine Anzahl freiwilliger Wähler partizipieren.

Eine Computer-Anomalie (z.B. logische Bombe, Hintertür) vermag weitere böswillige Programme (z.B. trojanisches Pferd) zu induzieren. Weil dynamisches Testen nicht alle Bedingungen der Aktivierung einer Anomalie voraussehen kann, bleibt die Inspektion des Quellcodes unabdingbar.

Manipulationen am Compiler-System gefährden ebenso die Systemsicherheit. Die Quellcode-Compilierung kann zur unbemerkten Hinzufügung von Computer-Anomalien führen. Aufgrund der scheinbaren Korrektheit des Quellcodes ist die Identifizierung solcher gezielten Angriffe praktisch unmöglich. Das Lesen von Maschinencodes ist sehr zeitaufwendig. Eine Methode zur Problemlösung besteht darin, daß der Original-Compiler-Quellcode nochmals übersetzt wird. Die Komplexität des Sicherheitsproblems steigert sich, wenn der alte Compiler beim Übersetzen des Original-Compiler-Quellcodes seine eigenen Veränderungen in den neuen Compiler einpflanzt. Damit verfügt der neue Compiler über dieselben manipulativen Eigenschaften. Daher sollte ein zusätzliches Übersetzten der Programme durch unabhängige Dritte bzw. Öffentlichkeit erfolgen.

Die Verwendung einer zertifizierten Software von zuverlässigen Herstellern ist eine Grundbedingung für einen sicheren Quellcode. Allgemein trägt der Hersteller die Verantwortung für unzulässige Sonderfunktionalitäten. Alle Systemkompontenten des Teilnehmers (Client, Chipkarte) sollten von vertrauenswürdigen Herstellern angefordert werden. Um unzulässige Software-Modifikation zu verhindern, können Codeteile des Client mit dem Herstellerschlüssel signiert werden. Der Wähler kann die korrekte Signatur des Herstellers verifizieren. Weiters wird hier eine Liste von möglichen Maßnahmen gegen Computer-Anomalien dargestellt.

• "Test ballots: Special test ballots can be sent from vote clients and checked by software at the county. The number, location, timing, and contents of the test ballots should be known by the county, but they should be otherwise indistinguishable from real ballots, so that any malicious code that destroys or changes real ballots will affect the test ballots as well. Analysis of the test ballots will enable any malicious code attacks to be detected, the locations of infected machines to be determined, the approximate time of the attack to be estimated, and the total number of votes affected to be bounded.
• Note that this technique does not prevent malicious code attacks; it only detects them after the fact. Hence it must be combined with one of the following preventative techniques. Still, it is a very powerful technique because it can also be used to detect any systematic cause of lost ballots, not just malicious code attacks, and because it provides a quantitative measure of the size of any problem it detect.
• Clean operating system and voting application: Prior to voting, the voter’s machine could be booted from a CD-ROM (or similar media) containing a "clean" operating system, with no extensions that might harbor malicious code. Combined with sophisticated scans for an infected BIOS (or equivalent on other computers), this step could virtually eliminate the possibility of malicious software during voting. This is presumably the approach that would be used for county-controlled voting machines; but such a CD-ROM could also be distributed for home voting via the postal service in response to a voter’s request for i-voting authorization.
• The application program used for browsing, presumably distributed on the same CD-ROM, would also have to be "clean". Current commercial browsers are not suitable for voting because they are particularly vulnerable to malicious software. A special-purpose web browser that does not accept extensions such as plug-ins, applets, controls, or scripts, and that is dedicated solely to voting, would be far more resistant to infection than today’s commercial browsers, and its integrity could be conclusively verified with a cryptographic hash or digital signature.
• Special security PC hardware: A special, software-closed security device might be developed to be attached to the voter’s computer, e.g. through a USB port. Its purpose would be to display the ballot to the user, accept the voter’s choices as input, and perform the cryptographic operations. In effect the voting is done on the security device, and the PC it is attached to is used only as a conduit to the Internet. Since the device is software-closed, meaning its software cannot be changed, it is not subject to infection by malicious code.
• Closed, secure devices: It is possible that special, software-closed, Internet-capable devices, such as network computers (NCs) or hand-held, wireless descendants of today’s cell phone and electronic organizers, may be developed for commerce and may be secure enough for voting as well.
• Secure PC operating systems: Future commercial PC operating systems may be designed for greater security than today’s systems. For example, they may be composed of digitally-signed modules, allowing secure applications to exclude, as untrusted, modules of dubious origin (i.e. potentially malicious programs). Such an operating system would enable practical, secure home and workplace voting.
• Code sheets: Voters could be mailed code sheets that map their vote choices to entry codes on their ballot. While voting, the voter uses the code sheet to know what to type in order to vote for a particular candidate. In effect, the voter does the vote encryption, and since any malicious software on the PC would have no access to the code sheet, it would not be able to change a voter’s intentions without invalidating the ballot.
• Obscurity/complexity: One final approach, while not sufficient for real security, nonetheless raises the cost to potential attackers. Digital ballot formats and voting software may be kept secret prior to the election and possibly randomly changed during the election, or made complex in other ways. In order to successfully carry out an attack and escape detection, malicious software authors must have a great deal of information about the internal format of the ballot and voting software. If these details are not available in advance, and/or if that information is complex, the potential authors of attack software may not have enough time to develop and distribute it during the election window"(California Internet Voting Task Force, 2000, Appendix A, S. 31) .

3.11.3.1 Effizienz

Alle Alpha-Protokolle zeichnen sich durch geringen Kommunikations- und Berechnungsaufwand aus. Das Alpha-4-Protokoll bedingt aus der Sicht der Teilnehmer mindestens zwei Durchgänge.

Tabelle 3.9: Länge der Entscheidungsdaten ohne Empfangsbestätigung pro Teilnehmer.
 

	Länge der Entscheidungsdaten pro Teilnehmer (L)
Alpha-1-System	L(||||)
Alpha-2-System
Alpha-3-System	L
Alpha 4-System	L+ L

Bemerkung: Wir nehmen an, daß die Funktion L die Länge der Eingabedaten in Bit liefert.

Die Anwendung des konventionellen blinden Zertifizierungsprotokolls erfordert aus der Perspektive des Wählers zwei Durchgänge, um ein Votum abzugeben. Das erweiterte blinde Zertifizierungsprotokoll reduziert die durchschnittliche Anzahl der Durchgänge auf eine Übertragung, da eine fixe Anzahl von Zertifikaten (z.B. 25) in einem Schritt angefordert werden kann. Ein Zertifikat korrespondiert mit jeweils einer bestimmten Entscheidung. Dadurch wird die Stimmabgabe in einem Schritt möglich.

Ein entschlüsselter Wahlschein ist Bit lang. Ein zum BBS gesendetes Datenpaket hat die Länge Die Größe eines codierten Wahlscheins entspricht der Länge eines Wahlscheins plus mal die Länge einer asymmetrischen Chiffrierung eines symmetrischen Schlüssels, d.h.

Das Gamma-System hat trotz erhöhter Sicherheit gegenüber dem Beta-System keine Effizienzverluste, da die Länge der Entscheidungsdaten gleich bleibt. Die Effizienz des Gamma-Systems ist bei weitem besser als die vergleichbaren Ansätze von Okamoto (Okamoto, 1996, 1997), da keine aufwendigen Zero-Knowledge-Beweise nötig sind.
 
 

Anforderungen	Beschreibung
Verfügbarkeit Zuverlässigkeit	Durch Fehlertoleranz von Netzwerk, HW und SW wird das Kriterium erreicht. Die Mix-Stationen haben redundante Komponenten. Alle weiteren Server-Systeme lassen sich duplizieren. Damit die Verfügbarkeit der Auswertung bei Ausfall eines Auswertungs-Servers gegeben ist, kann das Secret-Sharing-Protokoll zu einem Schwellenwertschema ausgebaut werden, damit k<J Einheiten die Teilentschlüsselungen durchführen können.  Maßnahmen gegen Denial-of-Service-Angriffe: "There are numerous well-known denial-of-service attacks. Many can be ameliorated by careful firewall configuration. Others can be defended with the help of excess resources on the server, and redundant servers with smooth failover techniques. But the most comprehensive approach is to vigilantly monitor the server(s) and networks for such an attack and to be prepared quickly to cut communications with the network(s) from which the attack originates (although that would also cut off voters originating from that network). This requires skilled systems personnel" (California Internet Voting Task Force, 2000, Appendix A, S. 40)
Wartbarkeit	Die Wartbarkeit ist abhängig vom Betrieb.
Skalierbarkeit	Der Ansatz reflektiert die Philosophie des verteilten Systems, da kein zentraler Server bei einer entsprechenden Systemverteilung Engpaßprobleme bekommt. Theoretisch kann jede Kommune ihr unabhängiges elektronisches Wahlsystem benützen, wobei die Auswertungen dezentral und parallel erfolgen.
Performance	Ein hoher Auswertungsdurchsatz wird durch viele verteilte Auswertungs-Server erreicht. Im Beta- und Gamma-System hängen Übertragungszeit und –durchsatz primär von der Geschwindigkeit und Länge des eingesetzten Mixkanals ab.
Portabilität	Das Kriterium der Portabilität läßt sich durch plattform-unabhängige Entwicklung erreichen.
Ortsunabhängigkeit	Netz-Szenario und Wahlzellen-Szenario können uneingeschränkt eingesetzt werden.
Benutzerfreundlichkeit	Die einfache Bedienung und Komfortabilität macht die Gamma-System- Variante mit biometrischen Fingertip-Verifikation besonders attraktiv, da der Nutzer keine Authentifikationscodes lernen muß.
Flexibilität	Der Teilnehmer kann beliebige Formattypen signieren. Das Wahlsystem läßt sich deshalb auch für beliebige Entscheidungsarten einsetzen.
Änderbarkeit	Die Änderbarkeit wird nicht unterstützt.
Rechnerschutz	Auf administrativer Seite bleiben Sicherheitsmaßnahmen unabdingbar. Gegen aktive Angriffe von außen sollten Mix-Einheiten, Zertifizierungs-Server und BBS nur von Personen, die sich in den Räumlichkeiten der Administration befinden, gesteuert werden. Das Recht zur Generierung von Server-Schlüsseln darf nur der Administrator haben. Auch sind Sicherheitsmaßnahmen in den Räumlichkeiten der Server zu treffen. Beispielsweise muß der Rechnerraum verschlossen, und nur wenige ausgewählte Personen Zutritt haben dürfen. Indem der Administrator Zugriffsrechte zu Server und Server-Daten vergibt, kann eine unbefugte Änderung und Löschung verhindert werden. Geheime Daten werden von den jeweiligen Administratoren (nach dem Ende der Wahl) durch One-Time-Pads geschützt (siehe oben: Schlüsselverwaltung). Bauliche Maßnahmen Jeder Mix-Server sollte in einem eigenen Raum untergebracht sein. Selbständige Brandschutzklappen in den Ein- und Austrittstellen der  Klimakanäle. Technische Einrichtungen zur frühzeitigen Erkennung von Brandgefahren in EDV-Bereichen. Wirksame Verhinderung des Zutritts zum Rechnerraum durch Zugriffskontrollmaßnahmen. Schutz des Systems und der Datenträger vor Wasserschäden. Die Tempest-Angriffsmöglichkeit (für einen gut ausgerüsteten Gegner) basiert auf  der Auswertung der elektromagnetischen Strahlung, die ein Computer aussendet. Der Angriff ist zwar teuer und arbeitsintensiv, aber wahrscheinlich immer noch billiger als eine richtige Kryptoanalyse. Ein entsprechend ausgerüsteter Kleinbus könnte ja in der Nähe des abzuhörenden Computers geparkt sein und jeden Tastendruck und jeden Bildschirminhalt aufzeichnen. Im Alph-, Beta- und Gamma-System werden keine Passworte offenlegt. Das Interface wird derartig programmiert, damit Wählername und Wahlscheininhalt unverknüpfbar sind. Abwehren läßt sich dieser Angriff durch eine geeignete Abschirmung des Computers, des Zubehörs (Drucker usw.) und gegebenenfalls der Netzwerk-Verkabelung.  Eine solche Abschirmung ist unter dem Begriff "sturmsicher" bekannt, und wird u.a. von einigen Regierungsbehörden und Rüstungsfirmen eingesetzt.
Verlusttoleranz	Fertigt der Teilnehmer Backups der eingesetzten Schlüssel an, dann wird Verlusttoleranz gewährleistet. Bei Verlust bzw. Diebstahl der Chipkarte kann der betreffende Teilnehmer durch Wiederherstellung der Daten trotzdem wählen. Im Gamma-System muß die neue Chipkarte zusätzlich von der entsprechenden Behörde registriert werden. Ein Finder bzw. Dieb der Chipkarte kann keine Wahlscheine abgeben, da er weder die geheimen Wähler- und Chipkartenschlüssel noch den Fingerabdruck/PIN/Paßwort des Wählers kennt.
Technische Integrationsfähigkeit	Durch definierte und offengelegte Schnittstellen wird das Kriterium der technischen Integrationsfähigkeit erreicht.
Durchgängigkeit	Alle Funktionalitäten werden über ein öffentliches Rechnernetz abgewickelt, wodurch kein Medienbruch resultiert.
Integration in eine  E-Demokratieinfrastrukt.	Die Integration in eine E-Demokratieinfrastruktur bedingt standardisierte Datenformate.
Entwicklungspotential	Das Entwicklungspotential ist abhängig von Entwicklern und Benutzern
Geographische Einsetzbarkeit	Das entwickelte Wahlsystem ist auf internationaler Ebene einsetzbar – allerdings können Kryptographiebeschränkungen der Internationalisierung Grenzen setzen.
Akzeptanz	Eine steigende Bevölkerungszahl arbeitet bereits mit Rechnern und hat praktisch keine Schwierigkeiten im Umgang mit den neuen Technologien – die Hemmschwelle zur Nutzung verringert sich durch zunehmende Vereinfachung der Bedienbarkeit. Demzufolge können interaktive Fernsehsysteme mit Internet-Integration neue "Spielzeuge" für das Heim bereitstellen, die dazu genützt werden können, das politische Interesse zu steigern. Das Konzept der Wahlen ist zudem tief in der Psyche der Bürger westlicher Demokratien verwurzelt. Wegen zahlreicher Wahlen innerhalb des Ausbildungssystems (z.B. Klassensprecher, etc.) sollten die meisten Bürger diese Methode der Entscheidungsfindung bereits verinnerlicht haben.