Das Anonymisierungsprinzip ist eine Abstraktion der grundlegenden Ideen der technischen Realisierung des Wahlgeheimnis.
Setzen die elektronischen Wahlsysteme kryptographische Mechanismen zur Erreichung der Verläßlichkeit (Dependability) ein (Vertraulichkeit, Integrität), dann erhalten diese die Bezeichnung "sicher". Konventionelle elektronische Wahlprotokolle wenden ausschließlich Codierungs- und Signaturoperationen an. Komplexe Wahlprotokolle setzen darüber hinaus komplizierte kryptographische Mechanismen ein (Secret-Sharing, Blinde Signatur, Zero-Knowledge-Beweise etc.).
Für die Untersuchung elektronischer Wahlsysteme wird auch eine Unterscheidung hinsichtlich ihrer technischen Gestaltung der benützten Geräte und Medien getroffen. Ältere E-Wahlsysteme setzen keine digitalen Wahlscheine ein (z.B. Lochkarten). Vom sicherheitstechnischen Gesichtspunkt sei ein E-Wahlsystem als reines softwarebasiertes System definiert, wenn alle gesendeten und empfangenen Informationen für den Wähler zugänglich sein dürfen. Das Wahlprotokoll läuft mithin in Rechnern, interaktiven Fernsehgeräten, Handys sowie weiteren digitalen Medien ab. Wahlschemen, die dedizierte Sicherheitsmodule bzw. Krypto-Hardware (Chipkarte, Verschlüsselungsbox, etc.) einsetzen, benutzen physische Komponenten, die geheime Informationen vor dem Anwender schützen. Nicht einmal die Inhaber der Krypto-Hardware dürfen geschützte Geheiminformationen lesen oder verändern.
Die Anzahl und der Zweck der administrativen Einheiten hängt vom Anwendungsfeld des elektronischen Wahlsystems ab. Die einfachsten konventionellen E-Wahlsysteme bestehen aus einer einzigen zentralen administrativen Instanz, welche die gesamten für eine E-Wahl erforderlichen Funktionen durchführt. Minimalistisch gesehen, exekutiert ein einziger Server dieser singulären Administration alle erforderlichen Aufgaben einer elektronischen Wahl. Auf der anderen Seite des Spektrums befinden sich die komplexen E-Wahlsysteme, die aus einer Vielzahl von verteilten Administrationen bestehen, bei denen wiederum unterschiedliche Server klar definierte Aufgaben erfüllen. Exotische Wahlschemen benötigen überdies überhaupt keine administrativen Instanzen.
Wir differenzieren zwischen 8 Arten elektronischer Wahlsysteme, die im folgenden definiert werden (diese Einteilung ist phänomenologisch motiviert):
Aufzeichnungssysteme unterstützen die elektronische Eingabe der Wahlentscheidung, doch werden die Daten über unsichere Kanäle zu den Aufzeichnungssystemen (Auswertungs-Servern) übertragen. Das Kriterium des Wahlgeheimnisses ist für diese Art unerreichbar, da jede physische Transmission theoretisch zu ihrer Quelle rückverfolgt werden kann.
Wahlkartenlese- und Aufzeichnungssysteme setzen im Gegensatz zu den restlichen Arten keine kryptographischen Sicherungsmechanismen ein.
Konventionelle Systeme basieren auf einfachen und effizienten kryptographischen Mechanismen und können das Kriterium der Anonymität entweder mangelhaft oder überhaupt nicht erreichen. Das Kriterium der Anonymität versucht dieser Ansatz meistens durch Aufgabentrennung der Administration auf unterschiedliche Instanzen zu erreichen, von denen angenommen wird, daß sie sich wechselseitig mißtrauen. Im einfachsten Fall stellt die erste Instanz (rückverfolgbare) Beglaubigungen aus und die zweite empfängt und wertet die E-Wahlscheine aus. Ein wichtiges Merkmal der konventionellen Systeme ist, daß diese den Ursprung eines empfangenen chiffrierten E-Wahlscheins gegenüber Außenstehenden keinesfalls bekanntgeben.
Die Art der anonymen Kanalsysteme zeichnet sich durch die Anwendung eines sender-anonymen Kanals aus. Dieser verschleiert, welcher Teilnehmer mit welchem Auswertungs-Server kommuniziert und gewährleistet daher die Anonymität des Senders gegenüber dem Empfänger.
Vergeßliche Transfersysteme besitzen das eindeutige Merkmal, daß Transfer-Server (Quelle) eine bekannte und vertrauliche Menge von Geheimnissen durch einen anonymen Prozeß an die Teilnehmer verteilen, wobei die jeweiligen Transfer-Server den Zusammenhang von Wählern und Geheimnissen nicht feststellen können. Außerdem benötigen vergeßliche Transfersysteme einen anonymen Kanal zur Stimmabgabe.
Blinde Beglaubigungssysteme setzen die bereits beschriebene Technik der blinden Signatur ein. Der Wähler erhält nach der Identitätsprüfung ein unverknüpfbares und trotzdem beweissicheres Pseudonym (beglaubigter Schlüssel oder Wahlschein), das ihn zur Teilnahme berechtigt, wobei die Ausstellerinstanz den Inhalt des beglaubigten Geheimnisses nicht kennt. Im allgemeinen benötigt das blinde Beglaubigungssystem auch einen anonymen Kommunikationskanal zur Stimmabgabe.
Verdeckte Auswertungssysteme benötigen keinen anonymen Kanal. Die Stimmen werden mit den öffentlichen Schlüsseln unabhängiger Auswertungs-Server chiffriert, die ihrerseits einen verdeckten Aggregations-Algorithmus ausführen. Daraus geht ein global verifizierbares Endresultat hervor. Die Wähler können die einzelnen Stimminhalte nicht erkennen. Statt dessen verifizieren diese die Korrektheit der gesamten verdeckten Operationen der Auswertungs-Server.
Administrationslose Systeme grenzen sich von allen bisher
beschriebenen Verfahren ab, da sie ohne administrative Instanzen zur Leitung
(Auswertung und Identitätsprüfung) auskommen und die Schiedsrichteraufgaben
im Protokoll implizit integrieren. Alle erforderlichen Anonymisierungsoperationen,
einschließlich der Aufbau anonymer Kanäle, werden von den Wählern
vorgenommen und abgewickelt.
Tabelle 4.1: Klassifikation im Überblick.
Anonymisierungsprinzip |
Primäre Kryptographische Mechanismen |
Primäre Geräte |
Administrative Instanzen |
|
Wahlkartenlesesysteme | Unverknüpfbare Wahlkartendaten | Keine | Lochkartenlesegeräte und
Sensoren,
Netzrechner |
Ja |
Aufzeichnungssysteme |
Keines |
Keine |
Netzrechner, Eingabe-Automaten, Telephon, Handy, Interaktives TV |
Ja |
Konventionelle Systeme |
Aufgabentrennung (Gewaltentrennung) |
Konventionelle Codierung und Signatur |
Netzrechner Sicherheitsmodule, Telefon, Handy, Interaktives TV |
Ja |
Anonyme Kanalsysteme |
Verdeckte Kommunikationsbeziehung |
Konventionelle Codierung und Signatur, Mix-Kanäle, Secret-Sharing |
Netzrechner Sicherheitsmodule Telefon, Handy, Interaktives TV |
Ja |
Vergeßliche Transfersysteme |
Vergeßliche Pseudonym-Übertragung, Verdeckte Kommunikationsbeziehung |
Konventionelle Codierung und Signatur, ANDOS, Mix-Kanäle |
Netzrechner, Sicherheitsmodule, Telefon, Handy, Interaktives TV |
Ja |
Blinde Beglaubigungssysteme |
Unrückverfolgbare beweissichere Pseudonym-Beglaubigung, Verdeckte Kommunikationsbeziehung |
Konventionelle Codierung und Signatur, Blinde Signatur, Mix-Kanäle, Secret-Sharing |
Netzrechner, Sicherheitsmodule, Telefon, Handy, Interaktives TV |
Ja |
Verdeckte Auswertungsysteme |
Verdeckte Stimmenauswertung |
Konventionelle Codierung und Signatur, Secret-Sharing, homomorphe, Codierung |
Netzrechner, Sicherheitsmodule, Telefon, Handy, Interaktives TV |
Ja |
Administrationslose Systeme |
Gruppenbasierte Anonymisierung |
Konventionelle Codierung und Signatur, mixartige Transformationen, Überlagertes Senden |
Netzrechner Telefon, Handy Interaktives TV |
Nein |
Bemerkung:
Erklärung des Begriffs "ANDOS"...............................................siehe
Abschnitt 4.6.
Erklärung des Begriffs "homomorphe Codierung"........................siehe
Abschnitt 4.8.
Erklärung des Begriffs "Überlagertes Senden"..............................siehe
Abschnitt 4.9.