Die eingesetzte Chipkarte sollte symmetrische und asymmetrische Verschlüsselungs- sowie digitale Signaturoperationen ausführen können. Solche Smart-Cards, welche die Authentifizierung des Nutzers durch PIN-Nummern oder Paßwörter unterstützen, sind gegenwärtig preisgünstig produzierbar. Wesentlich benutzerfreundlicher ist z.B. die Authentifizierung durch biometrische Fingertip-Verifikation. Für solche biometrische Verfahren werden zur Zeit Lösungen entwickelt. Besonders vielversprechend ist der Fingertip-Sensor, den Siemens-Forscher als Prototyp entwickelten. Der Mikrochip enthält über 65000 Sensorelemente, welche die Details der Haut - mit einer Auflösung von 500 dpi - erfassen. Legt der Nutzer seinen Finger auf den Chip, so messen die Kondensatorzellen der Chipoberfläche hochpräzise den Abstand der Fingerlinien. Das Bild der Fingerkuppe mit allen Merkmalen (Verzweigungen, Wirbeln, Linienenden) leitet der Chip als digitalen Datensatz an ein Rechensystem weiter, das den Vergleich mit den gesicherten Daten vornimmt. Gegenüber den bisherigen teuren und unpraktikablen Fingerabdruck-Meßsystemen kann dieser Sensor in Massenfertigung produziert werden. Die Elektronik für die Digitalisierung der User-Daten befindet sich bereits auf dem Chip, so daß nach den Angaben der Siemens-Forscher der Chip in Zukunft selbst das Originalbild speichern könnte. Es genügt die Chipkarte an der entsprechende Stelle anzufassen und sie erlaubt die Ausführung des Wahlprotokolls. Das Gamma-System ist jedenfalls auch mit einer billigen Chipkarte mit PIN/Paßwort-Authentifikation ausführbar. Wir nehmen an, daß für das Gamma-System zwei Optionen zur Verfügung stehen: (1) eine Chipkarte mit Fingertip-Sensor oder (2) eine "günstige" konventionelle Chipkarte mit einfacher Paßwort/PIN-Authentifikation. Alternativ dazu ist auch eine Verschlüsselungsbox oder ein Handy mit Fingertip-Sensor anwendbar. Wir fassen beim Einsatz der fälschungssicheren Krypto-Hardware-Variante zwei Vorteile gegenüber rein softwarebasierten Lösungen ins Auge:
Client läuft am Wähler-Computer und kontrolliert
beim Gamma-System die Kommunikation zwischen Chipkarte und Rechnernetzwerk.
Das Gamma-System erweitert die Beta-Systemfunktionalität und unterstützt
neben dem Wahlprotokoll zur Stimmabgabe ein sogenanntes Festlegungsprotokoll.
Letzteres ermöglicht dem Wähler, seine Entscheidungen im Voraus
auf der Chipkarte zu speichern. Falls der Wähler eine vorzeitige Festlegung
macht, dann ignoriert die Chipkarte im Wahlzeitpunkt die Wählereingaben
und übernimmt statt dessen das auf der Karte gespeicherte Votum. Hierbei
unterstützt die Chipkarte zwei unterschiedliche Modi der Stimmenfestlegung,
nämlich
Dagegen zielt der Modus 1_MAL_FESTLEGEN darauf ab, den Teilnehmer unbedingt gegenüber der Eingabenkontrolle durch zwangausübende Personen (ZP) zu schützen und seine Entscheidungsfreiheit unabänderlich sicherzustellen. Diese Schutzmaßnahme wird in einer demokratischen Gesellschaft lediglich in Extremfällen eingesetzt. Legt der Wähler seine Entscheidung einmal im Modus 1_MAL_FESTLEGEN fest, dann bleiben ausgeführte Änderungsversuche im Modus X_MAL_FESTLEGENwirkungslos. Auch verhindert der Modus 1_MAL_FESTLEGEN die Verifikation des Festlegungsinhaltes, denn ZP darf keine Information darüber gewinnen. Eine Entscheidungsfestlegung gilt nur für die betreffende Wahl, anschließend wird die aktuelle Festlegung automatisch gelöscht. Dieses Festlegungsprotokoll erzielt sogar gegenüber einem unzulässigen Beobachtungsangriff ein höheres Sicherheitsniveau als in einer konventionellen Wahlkabine: Durch Installierung und Positionierung einer versteckten Mini-Kamera lassen sich im Wahllokal die Entscheidungen der Wähler aufzeichnen und nachträglich analysieren, wodurch das Wahlgeheimnis kompromittiert wäre. Erfolgt am Wahltag eine vergleichbare Überwachung in der Wohnung des Wählers, so sind keine Rückschlüsse auf den Inhalt der Stimme möglich, da der Beobachter Ort und Zeit einer möglichen Festlegung des Stimmeninhaltes durch den Wähler nicht kennt.
Das Gamma-System verlagert Rechen- und Speicheraufwand der Chipkarte zum Client-Computer. Client führt das blinde Signaturprotokoll und die Mix-Codierungen aus.
Der Trick im Gamma-System besteht darin, daß der öffentliche Kollektivschlüssel vom Zertifizierungs-Server verschlüsseltin die Chipkarte transferiert wird. Dabei codiert der Zertifizierungs-Server den Kollektivschlüssel und die korrespondierende Signatur des BBS mit einem zufälligen symmetrischen Schlüssel. Letzterer wird mit dem öffentlichen Schlüssel der Chipkarte verschlüsselt. Beide Daten (codierter symmetrischer Schlüssel und Chiffretext) sendet der Zertifizierungs-Server an die Chipkarte. Anschließend entschlüsselt die Chipkarte den Kollektivschlüssel und prüft dessen Authentizität durch Verifikation der Signatur des BBS.
Jede Administration hält ihren öffentlichen Kollektivschlüssel während der Wahlzeit geheim. Wegen der Kenntnis des öffentlichen Kollektivschlüssels kann ausschließlich die Chipkarte Wahlscheine verschlüsseln. Mit dem öffentlichen Kollektivschlüssel codiert die Chipkarte das erwünschte Votum durch eine hybride Verschlüsselung, so daß niemand aus dem Chiffretext den Inhalt des Votums feststellen kann. Diese Codierung wird durch die Kombination einer symmetrischen mit asymmetrischen Verschlüsselung erreicht. Alle rechenintensiven Operationen führt der Client-Computer durch. In der Folge erhält Client ohne Mitwirkung der Chipkarte kein gültiges Votum. Bei dieser Realisierungsart chiffriert die Chipkarte im Wahlzeitpunkt das
Abbildung 3.10: Zertifizierungsprotokoll im Gamma-System (stark vereinfacht).
Die öffentliche Verifikationsnummer nützt der Wähler später zur Überprüfung seiner Stimme im Endergebnis. Während der Wahlzeit hält die Chipkarte die öffentliche Verifikationsnummer geheim, damit Client/Wähler diese nicht an Dritte weitergeben kann.
Nach der Publikation der Auswertungslisten wird der Kollektivschlüssel im BBS publiziert. Erst dann kann Client den öffentlichen Kollektivschlüssel laden und an die Smart-Card senden. Erhält die Smart-Card einen öffentlichen Kollektivschlüssel, so sendet sie die geheime Verifikationsnummer zum Wähler. Es wird keine Bestätigung (z.B. Signatur, Commitment) zur Verifikationsnummer übertragen.
Für einen räumlich entfernten Stimmenkäufer ist eine vom Wähler empfangene Verifikationsnummer kein Beweis für eine geforderte Stimme, da der Wähler jede beliebige in der Auswertungsliste erscheinende Verifikationsnummer übertragen kann. Die Korrektheit der Verifikationsnummer ist für KF nur dann überprüfbar, wenn er sich im Zeitpunkt ihrer Lieferung im gleichen Raum mit dem Wähler befindet. Das Gamma-System bietet gegenüber dieser Output-Kontrolle keinen Schutz. Um die Output-Kontrolle tatsächlich zu verhindern, dürfte die Chipkarte keine Verifikationsnummer an den Teilnehmer senden. Dadurch würde aber für den Wähler die individuelle Verifikation der Stimmabgabe unmöglich sein. Das Gamma-System kann so modifiziert werden, daß die Chipkarte keine Verifikationsnummer liefert. Daraus geht das Gamma-System+ hervor. Die Output-Kontrolle wird dadurch undurchführbar. Der Wähler kann aber trotzdem die korrekte Anonymisierung seiner Wahldaten verifizieren.
Damit der Stimmenkauf im Gamma-System das Wahlresultat entscheidend beeinflussen kann, muß aber eine große Anzahl konspirierender Personen die Chipkarten-Ausgaben im Zeitpunkt der Veröffentlichung der entschlüsselten Auswertungsliste überwachen (KF/ZP und Wähler sind im gleichen Raum). Ein solches Szenario ist in einer demokratischen Gesellschaft wegen des extrem hohen Personenaufwandes (z.B. bei einer Bundestagswahl) praktisch undurchführbar.
Wenn der Wähler fürchtet, daß jemand die
Lieferung der Verifikationsnummer überwacht (seine Rechnerausgabe
und/oder der Chipkarten-Output werden abgehört), woraus für ihn
negative Konsequenzen hervorgehen würden, so kann dieser im Gamma-System
sogar vor der Wahl durch Anwendung eines speziellen Festlegungsprotokolls
ihre Herausgabe unabänderlich verhindern.
Abbildung 3.11: Wahlprotokoll im Gamma-System.
Im Gamma-System muß der Auswertungs-Server die entschlüsselten Stimmdaten in einer Repräsentation veröffentlichen, die das Verknüpfen von Stimme, Zertifikat und öffentlichem Zufallsschlüssel aus der Perspektive eines externen Beobachters verhindert. Daher publiziert der Auswertungs-Server zwei unverknüpfbare Listen im BBS: Auswertungsliste 1, Auswertungsliste 2. Die nach der öffentlichen Verifikationsnummer sortierte Auswertungsliste 1 besteht aus den nachstehenden Einträgen:
Im Gamma-System+ ist der überprüfbare Stimmenkauf völlig ausgeschlossen, da keine Verifikationsnummer geliefert wird.
Sind Käufer und Verkäufer räumlich voneinander getrennt, dann ist der überprüfbare Stimmenkauf im Gamma-System praktisch unmöglich, da