Kapitel3

3.5 Einführung in das Gamma-System

Im Beta-System kann der Teilnehmer gegenüber Dritten nachweisen, wie er gewählt hat, indem er beweist, Inhaber des geheimen Zufallsschlüssels zu sein. Ein solcher Beweis besteht beispielsweise aus einer Client-Signatur zu einer Nachricht, die der Käufer vorgibt. Daraufhin überprüft der Käufer, ob seine gewünschte Stimme, die mit dem geheimen Zufallsschlüssel signiert wurde, im Endergebnis auftritt. Bei einer anderen Variante des überprüfbaren Stimmenkaufs definiert der Käufer die zu verwendenden Protokollwerte des Client (z.B. Schlüsselpaare). Der Einsatz einer fälschungssicheren Hardware, die Protokollwerte selbst erzeugt und verwaltet, sichert dagegen die Unmittelbarkeit.

Die eingesetzte Chipkarte sollte symmetrische und asymmetrische Verschlüsselungs- sowie digitale Signaturoperationen ausführen können. Solche Smart-Cards, welche die Authentifizierung des Nutzers durch PIN-Nummern oder Paßwörter unterstützen, sind gegenwärtig preisgünstig produzierbar. Wesentlich benutzerfreundlicher ist z.B. die Authentifizierung durch biometrische Fingertip-Verifikation. Für solche biometrische Verfahren werden zur Zeit Lösungen entwickelt. Besonders vielversprechend ist der Fingertip-Sensor, den Siemens-Forscher als Prototyp entwickelten. Der Mikrochip enthält über 65000 Sensorelemente, welche die Details der Haut - mit einer Auflösung von 500 dpi - erfassen. Legt der Nutzer seinen Finger auf den Chip, so messen die Kondensatorzellen der Chipoberfläche hochpräzise den Abstand der Fingerlinien. Das Bild der Fingerkuppe mit allen Merkmalen (Verzweigungen, Wirbeln, Linienenden) leitet der Chip als digitalen Datensatz an ein Rechensystem weiter, das den Vergleich mit den gesicherten Daten vornimmt. Gegenüber den bisherigen teuren und unpraktikablen Fingerabdruck-Meßsystemen kann dieser Sensor in Massenfertigung produziert werden. Die Elektronik für die Digitalisierung der User-Daten befindet sich bereits auf dem Chip, so daß nach den Angaben der Siemens-Forscher der Chip in Zukunft selbst das Originalbild speichern könnte. Es genügt die Chipkarte an der entsprechende Stelle anzufassen und sie erlaubt die Ausführung des Wahlprotokolls. Das Gamma-System ist jedenfalls auch mit einer billigen Chipkarte mit PIN/Paßwort-Authentifikation ausführbar. Wir nehmen an, daß für das Gamma-System zwei Optionen zur Verfügung stehen: (1) eine Chipkarte mit Fingertip-Sensor oder (2) eine "günstige" konventionelle Chipkarte mit einfacher Paßwort/PIN-Authentifikation. Alternativ dazu ist auch eine Verschlüsselungsbox oder ein Handy mit Fingertip-Sensor anwendbar. Wir fassen beim Einsatz der fälschungssicheren Krypto-Hardware-Variante zwei Vorteile gegenüber rein softwarebasierten Lösungen ins Auge:

Wahlprotokolle, die auf einer fälschungssicheren Hardware basieren, können Versuche verhindern, sensible Wahldaten an Dritte zu verkaufen, da der potentielle Käufer das jeweilige Gerät zur Stimmabgabe benötigt. Im Netz-Szenario besteht für den Teilnehmer die theoretische Möglichkeit, Zugangscodes an Dritte zu verkaufen. Solche unzulässigen Transaktionen macht eine Krypto-Hardware praktisch undurchführbar. Die biometrische Fingertip-Verifikation verhindert überdies die Übertragung der Hardware-Geräte an Dritte, denn der potentielle Käufer muß schon an den Finger des Eigentümers gelangen.
Eine biometrische Fingertip-Verifikation erfordert kein Wissen über Paßwörter bzw. PIN-Nummern und erhöht die einfache Bedienbarkeit.

Client läuft am Wähler-Computer und kontrolliert beim Gamma-System die Kommunikation zwischen Chipkarte und Rechnernetzwerk. Das Gamma-System erweitert die Beta-Systemfunktionalität und unterstützt neben dem Wahlprotokoll zur Stimmabgabe ein sogenanntes Festlegungsprotokoll. Letzteres ermöglicht dem Wähler, seine Entscheidungen im Voraus auf der Chipkarte zu speichern. Falls der Wähler eine vorzeitige Festlegung macht, dann ignoriert die Chipkarte im Wahlzeitpunkt die Wählereingaben und übernimmt statt dessen das auf der Karte gespeicherte Votum. Hierbei unterstützt die Chipkarte zwei unterschiedliche Modi der Stimmenfestlegung, nämlich

Modus X_MAL_FESTLEGEN,
Modus 1_MAL_FESTLEGEN.

Der Modus X_MAL_FESTLEGEN erlaubt den Teilnehmern vor der Wahlzeit Stimmen festzulegen, wenn sie damit rechnen, während des Wahlaktes (zufällig) beobachtet zu werden. Beispielsweise weilen während der gesamten Wahlzeit Gäste im privaten Rechnerraum des Wählers. In diesem Modus darf der Teilnehmer (1) seine gesicherte Stimme beliebig oft ändern und (2) den Inhalt der Festlegung nach erfolgreicher Authentifikation verifizieren.

Dagegen zielt der Modus 1_MAL_FESTLEGEN darauf ab, den Teilnehmer unbedingt gegenüber der Eingabenkontrolle durch zwangausübende Personen (ZP) zu schützen und seine Entscheidungsfreiheit unabänderlich sicherzustellen. Diese Schutzmaßnahme wird in einer demokratischen Gesellschaft lediglich in Extremfällen eingesetzt. Legt der Wähler seine Entscheidung einmal im Modus 1_MAL_FESTLEGEN fest, dann bleiben ausgeführte Änderungsversuche im Modus X_MAL_FESTLEGENwirkungslos. Auch verhindert der Modus 1_MAL_FESTLEGEN die Verifikation des Festlegungsinhaltes, denn ZP darf keine Information darüber gewinnen. Eine Entscheidungsfestlegung gilt nur für die betreffende Wahl, anschließend wird die aktuelle Festlegung automatisch gelöscht. Dieses Festlegungsprotokoll erzielt sogar gegenüber einem unzulässigen Beobachtungsangriff ein höheres Sicherheitsniveau als in einer konventionellen Wahlkabine: Durch Installierung und Positionierung einer versteckten Mini-Kamera lassen sich im Wahllokal die Entscheidungen der Wähler aufzeichnen und nachträglich analysieren, wodurch das Wahlgeheimnis kompromittiert wäre. Erfolgt am Wahltag eine vergleichbare Überwachung in der Wohnung des Wählers, so sind keine Rückschlüsse auf den Inhalt der Stimme möglich, da der Beobachter Ort und Zeit einer möglichen Festlegung des Stimmeninhaltes durch den Wähler nicht kennt.

Das Gamma-System verlagert Rechen- und Speicheraufwand der Chipkarte zum Client-Computer. Client führt das blinde Signaturprotokoll und die Mix-Codierungen aus.

Der Trick im Gamma-System besteht darin, daß der öffentliche Kollektivschlüssel vom Zertifizierungs-Server verschlüsseltin die Chipkarte transferiert wird. Dabei codiert der Zertifizierungs-Server den Kollektivschlüssel und die korrespondierende Signatur des BBS mit einem zufälligen symmetrischen Schlüssel. Letzterer wird mit dem öffentlichen Schlüssel der Chipkarte verschlüsselt. Beide Daten (codierter symmetrischer Schlüssel und Chiffretext) sendet der Zertifizierungs-Server an die Chipkarte. Anschließend entschlüsselt die Chipkarte den Kollektivschlüssel und prüft dessen Authentizität durch Verifikation der Signatur des BBS.

Jede Administration hält ihren öffentlichen Kollektivschlüssel während der Wahlzeit geheim. Wegen der Kenntnis des öffentlichen Kollektivschlüssels kann ausschließlich die Chipkarte Wahlscheine verschlüsseln. Mit dem öffentlichen Kollektivschlüssel codiert die Chipkarte das erwünschte Votum durch eine hybride Verschlüsselung, so daß niemand aus dem Chiffretext den Inhalt des Votums feststellen kann. Diese Codierung wird durch die Kombination einer symmetrischen mit asymmetrischen Verschlüsselung erreicht. Alle rechenintensiven Operationen führt der Client-Computer durch. In der Folge erhält Client ohne Mitwirkung der Chipkarte kein gültiges Votum. Bei dieser Realisierungsart chiffriert die Chipkarte im Wahlzeitpunkt das

Votum und
eine zufällige Verifikationsnummer

mit einem neuen von der Chipkarte erzeugten zufälligen symmetrischen Schlüssel. Der symmetrische Schlüssel wird nun mit dem öffentlichen Kollektivschlüssel codiert. Die weiteren Protokollschritte zur Stimmabgabe verlaufen wie im Beta-System.

Abbildung 3.10: Zertifizierungsprotokoll im Gamma-System (stark vereinfacht).

Die öffentliche Verifikationsnummer nützt der Wähler später zur Überprüfung seiner Stimme im Endergebnis. Während der Wahlzeit hält die Chipkarte die öffentliche Verifikationsnummer geheim, damit Client/Wähler diese nicht an Dritte weitergeben kann.

Nach der Publikation der Auswertungslisten wird der Kollektivschlüssel im BBS publiziert. Erst dann kann Client den öffentlichen Kollektivschlüssel laden und an die Smart-Card senden. Erhält die Smart-Card einen öffentlichen Kollektivschlüssel, so sendet sie die geheime Verifikationsnummer zum Wähler. Es wird keine Bestätigung (z.B. Signatur, Commitment) zur Verifikationsnummer übertragen.

Für einen räumlich entfernten Stimmenkäufer ist eine vom Wähler empfangene Verifikationsnummer kein Beweis für eine geforderte Stimme, da der Wähler jede beliebige in der Auswertungsliste erscheinende Verifikationsnummer übertragen kann. Die Korrektheit der Verifikationsnummer ist für KF nur dann überprüfbar, wenn er sich im Zeitpunkt ihrer Lieferung im gleichen Raum mit dem Wähler befindet. Das Gamma-System bietet gegenüber dieser Output-Kontrolle keinen Schutz. Um die Output-Kontrolle tatsächlich zu verhindern, dürfte die Chipkarte keine Verifikationsnummer an den Teilnehmer senden. Dadurch würde aber für den Wähler die individuelle Verifikation der Stimmabgabe unmöglich sein. Das Gamma-System kann so modifiziert werden, daß die Chipkarte keine Verifikationsnummer liefert. Daraus geht das Gamma-System+ hervor. Die Output-Kontrolle wird dadurch undurchführbar. Der Wähler kann aber trotzdem die korrekte Anonymisierung seiner Wahldaten verifizieren.

Damit der Stimmenkauf im Gamma-System das Wahlresultat entscheidend beeinflussen kann, muß aber eine große Anzahl konspirierender Personen die Chipkarten-Ausgaben im Zeitpunkt der Veröffentlichung der entschlüsselten Auswertungsliste überwachen (KF/ZP und Wähler sind im gleichen Raum). Ein solches Szenario ist in einer demokratischen Gesellschaft wegen des extrem hohen Personenaufwandes (z.B. bei einer Bundestagswahl) praktisch undurchführbar.

Wenn der Wähler fürchtet, daß jemand die Lieferung der Verifikationsnummer überwacht (seine Rechnerausgabe und/oder der Chipkarten-Output werden abgehört), woraus für ihn negative Konsequenzen hervorgehen würden, so kann dieser im Gamma-System sogar vor der Wahl durch Anwendung eines speziellen Festlegungsprotokolls ihre Herausgabe unabänderlich verhindern.

Abbildung 3.11: Wahlprotokoll im Gamma-System.

Im Gamma-System muß der Auswertungs-Server die entschlüsselten Stimmdaten in einer Repräsentation veröffentlichen, die das Verknüpfen von Stimme, Zertifikat und öffentlichem Zufallsschlüssel aus der Perspektive eines externen Beobachters verhindert. Daher publiziert der Auswertungs-Server zwei unverknüpfbare Listen im BBS: Auswertungsliste 1, Auswertungsliste 2. Die nach der öffentlichen Verifikationsnummer sortierte Auswertungsliste 1 besteht aus den nachstehenden Einträgen:

öffentliche Verifikationsnummer,
Votum.

Die Auswertungsliste 2 besitzt folgende Einträge:

Zertifikat,
Signatur,
codiertes Votum,
mit Kollektivschlüssel codierter symmetrischer Schlüssel (von der Chipkarte).

Der jeweilige Auswertungs-Server hält alle symmetrischen Schlüssel (von den Chipkarten) unbedingt geheim. Für Wähler und Außenstehende ist somit keine Korrespondenz zwischen den Daten aus Liste 1 und Liste 2 feststellbar. Nichtsdestoweniger kann der Wähler im Gamma-System verifizieren, ob seine Stimme unter der Verifikationsnummer in Liste 1 erscheint. Im Gamma-System+ kann der Wähler nur Auswertungsliste 2 verifizieren. Dies ist aber für ein korrektes Votum in Liste 1 ausreichend: Falls mindestens eine Einheit im Dechiffrierungskreis ordnungsgemäß funktioniert, wird das Votum korrekt entschlüsselt. Es kann nicht gefälscht werden. Ein Betrug ist in der gemeinsamen Entschlüsselungsphase damit praktisch auszuschließen.

Im Gamma-System+ ist der überprüfbare Stimmenkauf völlig ausgeschlossen, da keine Verifikationsnummer geliefert wird.

Sind Käufer und Verkäufer räumlich voneinander getrennt, dann ist der überprüfbare Stimmenkauf im Gamma-System praktisch unmöglich, da

die Chipkarte die öffentliche Verifikationsnummer erst nach der Publikation beider Listen liefert,
Liste 1 und Liste 2 praktisch unverknüpfbar sind, da weder Wähler noch Dritte die nötigen symmetrischen Schlüssel kennen.