Electronic Voting Systems

4.1 Klassifikation im Überblick

In diesem Abschnitt werden die in der Literatur vorgeschlagen Wahlprotokolle klassifiziert und für jede Realisierungsart ausgewählte Protokolle in Form von Schemen dargestellt, ohne auf die konkrete kryptographische Implementierung einzugehen. Zu jeder Realisierungsart werden Beispiele angegeben und diese anhand einer fixen Menge expliziter Anforderungen bewertet. Allgemein können die einzelnen Verfahren nach verschiedenen Aspekten unterschieden werden. Die Kryptographen Horster und Michels teilen sichere und geheime E-Wahlprotokolle in drei Klassen ein. Die Protokolle unterscheiden sich durch den Grad des Vertrauens (Vertrauensaspekt), den die Wähler in die Administration (Wahlleiter) setzen müssen.

"Die Klasse der theoretischen Verfahren zeichnet sich dadurch aus, daß keine Wahlleiter am Protokoll teilnehmen und somit die Wähler alle erforderlichen Berechnungen selber durchführen können. Die Protokolle erfüllen die Kriterien der Anonymität und der Ehrlichkeit entweder unbedingt im informationstheoretischen Sinne oder unter Voraussetzung einer kryptographischen Annahme, ohne daß die Wähler Vertrauen in irgendeine vertrauenswürdige Instanz haben müssen. Leider sind die durchzuführenden Berechnungen mit so hohem Aufwand verbunden, daß diese Protokolle nur von theoretischem Interesse sind.
Die Protokolle der zweiten Klasse zeichnen sich durch die Existenz eines sicheren anonymen Kommunikationskanales und mindestens eines Wahlleiters aus. Die Anonymität der Stimmabgabe ist dann auch ohne jegliches Vertrauen seitens der Wähler gegenüber dem Wahlleiter erfüllt.
Die verbleibenden Protokolle zeichnen sich dadurch aus, daß die Anonymität der Stimmabgabe durch die Verschlüsselung der Wahlscheine mit den öffentlichen Schlüsseln der Wahlleiter erreicht wird. Damit ist die Geheimhaltung der Stimmabgabe nur dann gewährleistet, wenn mindestens ein Wahlleiter vertrauenswürdig ist. Dieser höhere Grad an notwendigem Vertrauen seitens der Wähler wird durch den moderaten Aufwand bei der Durchführung des Protokolls ´kompensiert´" (Horster/Michels, 1995, S. 2-3).

In dieser Arbeit wird dagegen eine vollständige Klassifikation der E-Wahlsysteme entwickelt, die auf deren Basierung beruht. Dabei ist die Unterscheidung zwischen dem Prinzip der Anonymisierung, den angewendeten kryptographischen Mechanismen, den eingesetzten Geräten und Medien sowie der Anzahl administrativer Instanzen erkenntnisleitend.

Das Anonymisierungsprinzip ist eine Abstraktion der grundlegenden Ideen der technischen Realisierung des Wahlgeheimnis.

Setzen die elektronischen Wahlsysteme kryptographische Mechanismen zur Erreichung der Verläßlichkeit (Dependability) ein (Vertraulichkeit, Integrität), dann erhalten diese die Bezeichnung "sicher". Konventionelle elektronische Wahlprotokolle wenden ausschließlich Codierungs- und Signaturoperationen an. Komplexe Wahlprotokolle setzen darüber hinaus komplizierte kryptographische Mechanismen ein (Secret-Sharing, Blinde Signatur, Zero-Knowledge-Beweise etc.).

Für die Untersuchung elektronischer Wahlsysteme wird auch eine Unterscheidung hinsichtlich ihrer technischen Gestaltung der benützten Geräte und Medien getroffen. Ältere E-Wahlsysteme setzen keine digitalen Wahlscheine ein (z.B. Lochkarten). Vom sicherheitstechnischen Gesichtspunkt sei ein E-Wahlsystem als reines softwarebasiertes System definiert, wenn alle gesendeten und empfangenen Informationen für den Wähler zugänglich sein dürfen. Das Wahlprotokoll läuft mithin in Rechnern, interaktiven Fernsehgeräten, Handys sowie weiteren digitalen Medien ab. Wahlschemen, die dedizierte Sicherheitsmodule bzw. Krypto-Hardware (Chipkarte, Verschlüsselungsbox, etc.) einsetzen, benutzen physische Komponenten, die geheime Informationen vor dem Anwender schützen. Nicht einmal die Inhaber der Krypto-Hardware dürfen geschützte Geheiminformationen lesen oder verändern.

Die Anzahl und der Zweck der administrativen Einheiten hängt vom Anwendungsfeld des elektronischen Wahlsystems ab. Die einfachsten konventionellen E-Wahlsysteme bestehen aus einer einzigen zentralen administrativen Instanz, welche die gesamten für eine E-Wahl erforderlichen Funktionen durchführt. Minimalistisch gesehen, exekutiert ein einziger Server dieser singulären Administration alle erforderlichen Aufgaben einer elektronischen Wahl. Auf der anderen Seite des Spektrums befinden sich die komplexen E-Wahlsysteme, die aus einer Vielzahl von verteilten Administrationen bestehen, bei denen wiederum unterschiedliche Server klar definierte Aufgaben erfüllen. Exotische Wahlschemen benötigen überdies überhaupt keine administrativen Instanzen.

Wir differenzieren zwischen 8 Arten elektronischer Wahlsysteme, die im folgenden definiert werden (diese Einteilung ist phänomenologisch motiviert):

Wahlkartenlesesysteme,
Aufzeichnungssysteme,
Sichere konventionelle Systeme,
Sichere anonyme Kanalsysteme,
Sichere vergeßliche Transfersysteme,
Sichere blinde Beglaubigungssysteme,
Sichere verdeckte Auswertungssysteme,
Sichere administrationslose Systeme.

Wahlkartenlesesysteme werten entweder Lochkarten oder Multiple-Choice-Karten automatisiert aus. Bei der ersten Methode erfolgt die Entscheidungsfestlegung durch Lochung und bei der zweiten durch Markierung von vorgegebenen Wahlscheinbereichen mit einem Schreibmedium. Das Wahlgeheimnis wird durch unverknüpfbare Wahlkartendaten erreicht.

Aufzeichnungssysteme unterstützen die elektronische Eingabe der Wahlentscheidung, doch werden die Daten über unsichere Kanäle zu den Aufzeichnungssystemen (Auswertungs-Servern) übertragen. Das Kriterium des Wahlgeheimnisses ist für diese Art unerreichbar, da jede physische Transmission theoretisch zu ihrer Quelle rückverfolgt werden kann.

Wahlkartenlese- und Aufzeichnungssysteme setzen im Gegensatz zu den restlichen Arten keine kryptographischen Sicherungsmechanismen ein.

Konventionelle Systeme basieren auf einfachen und effizienten kryptographischen Mechanismen und können das Kriterium der Anonymität entweder mangelhaft oder überhaupt nicht erreichen. Das Kriterium der Anonymität versucht dieser Ansatz meistens durch Aufgabentrennung der Administration auf unterschiedliche Instanzen zu erreichen, von denen angenommen wird, daß sie sich wechselseitig mißtrauen. Im einfachsten Fall stellt die erste Instanz (rückverfolgbare) Beglaubigungen aus und die zweite empfängt und wertet die E-Wahlscheine aus. Ein wichtiges Merkmal der konventionellen Systeme ist, daß diese den Ursprung eines empfangenen chiffrierten E-Wahlscheins gegenüber Außenstehenden keinesfalls bekanntgeben.

Die Art der anonymen Kanalsysteme zeichnet sich durch die Anwendung eines sender-anonymen Kanals aus. Dieser verschleiert, welcher Teilnehmer mit welchem Auswertungs-Server kommuniziert und gewährleistet daher die Anonymität des Senders gegenüber dem Empfänger.

Vergeßliche Transfersysteme besitzen das eindeutige Merkmal, daß Transfer-Server (Quelle) eine bekannte und vertrauliche Menge von Geheimnissen durch einen anonymen Prozeß an die Teilnehmer verteilen, wobei die jeweiligen Transfer-Server den Zusammenhang von Wählern und Geheimnissen nicht feststellen können. Außerdem benötigen vergeßliche Transfersysteme einen anonymen Kanal zur Stimmabgabe.

Blinde Beglaubigungssysteme setzen die bereits beschriebene Technik der blinden Signatur ein. Der Wähler erhält nach der Identitätsprüfung ein unverknüpfbares und trotzdem beweissicheres Pseudonym (beglaubigter Schlüssel oder Wahlschein), das ihn zur Teilnahme berechtigt, wobei die Ausstellerinstanz den Inhalt des beglaubigten Geheimnisses nicht kennt. Im allgemeinen benötigt das blinde Beglaubigungssystem auch einen anonymen Kommunikationskanal zur Stimmabgabe.

Verdeckte Auswertungssysteme benötigen keinen anonymen Kanal. Die Stimmen werden mit den öffentlichen Schlüsseln unabhängiger Auswertungs-Server chiffriert, die ihrerseits einen verdeckten Aggregations-Algorithmus ausführen. Daraus geht ein global verifizierbares Endresultat hervor. Die Wähler können die einzelnen Stimminhalte nicht erkennen. Statt dessen verifizieren diese die Korrektheit der gesamten verdeckten Operationen der Auswertungs-Server.

Administrationslose Systeme grenzen sich von allen bisher beschriebenen Verfahren ab, da sie ohne administrative Instanzen zur Leitung (Auswertung und Identitätsprüfung) auskommen und die Schiedsrichteraufgaben im Protokoll implizit integrieren. Alle erforderlichen Anonymisierungsoperationen, einschließlich der Aufbau anonymer Kanäle, werden von den Wählern vorgenommen und abgewickelt.

Tabelle 4.1: Klassifikation im Überblick.

Anonymisierungsprinzip
Primäre
Kryptographische Mechanismen
Primäre
Geräte
Administrative Instanzen

Wahlkartenlesesysteme Unverknüpfbare Wahlkartendaten Keine Lochkartenlesegeräte und Sensoren,
Netzrechner
Ja

Aufzeichnungssysteme
Keines
Keine
Netzrechner,
Eingabe-Automaten,
Telephon, Handy,
Interaktives TV
Ja

Konventionelle
Systeme
Aufgabentrennung
(Gewaltentrennung)
Konventionelle
Codierung und Signatur
Netzrechner
Sicherheitsmodule,
Telefon, Handy,
Interaktives TV
Ja

Anonyme
Kanalsysteme
Verdeckte Kommunikationsbeziehung
Konventionelle
Codierung und Signatur,
Mix-Kanäle,
Secret-Sharing
Netzrechner
Sicherheitsmodule
Telefon, Handy,
Interaktives TV
Ja

Vergeßliche Transfersysteme
Vergeßliche
Pseudonym-Übertragung,
Verdeckte
Kommunikationsbeziehung
Konventionelle Codierung und Signatur,
ANDOS,
Mix-Kanäle
Netzrechner,
Sicherheitsmodule,
Telefon, Handy,
Interaktives TV
Ja

Blinde Beglaubigungssysteme
Unrückverfolgbare
beweissichere
Pseudonym-Beglaubigung,
Verdeckte
Kommunikationsbeziehung
Konventionelle
Codierung und Signatur,
Blinde Signatur,
Mix-Kanäle,
Secret-Sharing
Netzrechner,
Sicherheitsmodule,
Telefon, Handy,
Interaktives TV
Ja

Verdeckte Auswertungsysteme
Verdeckte
Stimmenauswertung
Konventionelle
Codierung und Signatur,
Secret-Sharing,
homomorphe,
Codierung
Netzrechner,
Sicherheitsmodule,
Telefon, Handy,
Interaktives TV
Ja

Administrationslose
Systeme
Gruppenbasierte Anonymisierung
Konventionelle
Codierung und Signatur,
mixartige Transformationen,
Überlagertes Senden
Netzrechner
Telefon, Handy
Interaktives TV
Nein

Bemerkung:
Erklärung des Begriffs "ANDOS"...............................................siehe Abschnitt 4.6.
Erklärung des Begriffs "homomorphe Codierung"........................siehe Abschnitt 4.8.
Erklärung des Begriffs "Überlagertes Senden"..............................siehe Abschnitt 4.9.

	Anonymisierungsprinzip	Primäre Kryptographische Mechanismen	Primäre Geräte	Administrative Instanzen
Wahlkartenlesesysteme	Unverknüpfbare Wahlkartendaten	Keine	Lochkartenlesegeräte und Sensoren, Netzrechner	Ja
Aufzeichnungssysteme	Keines	Keine	Netzrechner, Eingabe-Automaten, Telephon, Handy, Interaktives TV	Ja
Konventionelle Systeme	Aufgabentrennung (Gewaltentrennung)	Konventionelle Codierung und Signatur	Netzrechner Sicherheitsmodule, Telefon, Handy, Interaktives TV	Ja
Anonyme Kanalsysteme	Verdeckte Kommunikationsbeziehung	Konventionelle Codierung und Signatur, Mix-Kanäle, Secret-Sharing	Netzrechner Sicherheitsmodule Telefon, Handy, Interaktives TV	Ja
Vergeßliche Transfersysteme	Vergeßliche Pseudonym-Übertragung, Verdeckte Kommunikationsbeziehung	Konventionelle Codierung und Signatur, ANDOS, Mix-Kanäle	Netzrechner, Sicherheitsmodule, Telefon, Handy, Interaktives TV	Ja
Blinde Beglaubigungssysteme	Unrückverfolgbare beweissichere Pseudonym-Beglaubigung, Verdeckte Kommunikationsbeziehung	Konventionelle Codierung und Signatur, Blinde Signatur, Mix-Kanäle, Secret-Sharing	Netzrechner, Sicherheitsmodule, Telefon, Handy, Interaktives TV	Ja
Verdeckte Auswertungsysteme	Verdeckte Stimmenauswertung	Konventionelle Codierung und Signatur, Secret-Sharing, homomorphe, Codierung	Netzrechner, Sicherheitsmodule, Telefon, Handy, Interaktives TV	Ja
Administrationslose Systeme	Gruppenbasierte Anonymisierung	Konventionelle Codierung und Signatur, mixartige Transformationen, Überlagertes Senden	Netzrechner Telefon, Handy Interaktives TV	Nein