4.6 Vergeßliche Transfersysteme

Das Transfersystem von Nurmi et al. (Nurmi/Salomaa/Santean, 1991) benützt ein ANDOS-Protokoll (All or Nothing Disclosure of Secrets) zur Geheimnisverteilung. Es stellt sicher, daß Client aus einer Menge von Geheimnissen genau eines erfährt und der Registrierungs-Server nach Ablauf des Protokolls nicht weiß, welches Client kennt. Einige ANDOS-Protokolle sind aufgrund hoher Kommunikationskomplexität unpraktikabel. Niemi konnte die Effizienz des ANDOS-Protokolls verbessern (Niemi, 1994). Die österreichische Wissenschaftlerin Hassler entwickelte eine modifizierte LAN-Variante des Protokolls von Nurmi et al., das nur für kleine Teilnehmerzahlen einsetzbar ist (Hassler/Posch, 1995).

Ein weiteres Protokoll von Niemi und Renvall (Niemi/Renvall, 1995) versucht das Kriterium der Unmittelbarkeit durch unüberprüfbare Geheimnisse zu erreichen. Der Wähler wickelt ein Transferprotokoll mit den Servern der Kandidaten in einer gesicherten Wahlzelle ab, wobei jeder Kandidaten-Server einen geheimen Teilwert zum Client über einen sicheren Kanal sendet. Client kombiniert die Teilwerte und gewinnt daraus ein Berechtigungstoken. Die Gültigkeit des Tokens ist für den Teilnehmer nur in der E-Wahlzelle überprüfbar und kann gegenüber Dritten nicht nachgewiesen werden. Nur alle Kandidaten-Server können die Korrektheit des Tokens gemeinsam verifizieren. Im Wahlzeitpunkt sendet Client das Votum mit dem Berechtigungstoken über einen anonymen Kanal zur Administration. Der Ansatz benötigt einen sehr hohen Berechnungsaufwand und gesicherte E-Wahlzellen.
 

4.6.1 Konventionelles Transferprotokoll

Wir verzichten auf eine genaue Beschreibung dieser z.T. sehr umständlichen Verfahren und präsentieren als Fallbeispiel ein Hybrid aus den folgenden zwei Ansätzen: (1) Das vergeßliche Transfersprotokoll und das Vorbereitungsprotokoll stammt von Chang und Wu (Chang/Wu, 1997). (2) Das Wahlprotokoll und Auswertungsprotokoll wurde von Nurmi et al. (Nurmi/Salomaa/Santean, 1991) publiziert.

Die Administration besteht aus vier verschiedenen Servern:

4.6.1.1 Vorbereitungsprotokoll 4.6.1.2 Transferprotokoll

Das folgende Protokoll erfordert, daß der Verschlüsselungs-Algorithmus kommutativ ist, d.h. . Im allgemeinen trifft diese Eigenschaft auf manche asymmetrische Verfahren zu (z.B. RSA mit identischen Moduli) (Chang/Wu, 1997).

Wir gehen davon aus, daß der Registrierungs-Server n zufälligePrimzahlen  die als eindeutige Registrierungsnummern dienen, erzeugt.

Um die Einfachheit der Beschreibung zu erhalten, nehmen wir an, daß der Wähler  das zufällige Paket  bekommt, das mit dem öffentlichen Schlüssel von  codiert wurde. Stimmen beide überein, dann besitzt der Wähler eine gültige Registrierungsnummer.

Die Geheimhaltung der Verteilung beruht auf der Annahme der Unabhängigkeit von R und MS und auf kryptographischen Annahmen. Erhöhte Geheimhaltung läßt sich durch eine Mix-Kanal-Verteilung realisieren.

Zur Stimmabgabe setzen wir das Protokoll von Nurmi et al. (Nurmi/Salomaa/Santean, 1991) ein, das über zwei günstige Eigenschaften verfügt:

Das Wahlprotokoll benützt eine Hash-Funktion  mit Hintertüre, die drei Eigenschaften besitzt: (= Hintertüre) ist die Berechnung von y einfach.

Es ist z.B. möglich, einen Public-Key-Verschlüsselungs-Algorithmus in einem Blockverkettungsmodus als Einweg-Hash-Funktion zu verwenden (Nurmi/Salomaa/Santean, 1991, S. 554). Kennt man den geheimen Schlüssel (= Hintertüre) nicht, dann ist das Knacken der Hash-Funktion genauso schwierig wie das Knacken einer codierten Nachricht ohne Kenntnis des geheimen Schlüssels (Beispiel: Schneier, 1996, S. 519).

4.6.1.3 Wahlprotokoll

zu berechnen.

4.6.1.4 Auswertungsprotokoll

Wenn  die Stimme nur einmal ändern will, so sendet Client  über den anonymen Kanal, wobei  die modifizierte Stimme darstellt.

Im Fall einer mehrfachen Änderung erzeugt  jeweils eine neue Hash-Funktion Client generiert das neue Votum  Der Auswertungs-Server bestätigt den Empfang von  durch Veröffentlichung des Wertes  im BBS.

Danach überträgt Client  zum Auswertungs-Server, der den alten Hash-Wert  mit korrespondierender Stimme aus dem Resultat entfernt und durch das Paar  ersetzt.
 
 
 
Anforderungen (Beschreibung)
Authentifikation  Die Authentifikation wird im Schritt 2 des Vorbereitungsprotokolls erbracht. Der Misch-Server garantiert, daß jeder Wähler genau ein Berechtigungstoken erhält. 
Übertragungsintegrität Fehler im Transferprotokoll können erkannt werden, da Client die Korrektheit der geheimen Registrierungsnummern im BBS prüft. 
Korrektheit Die Teilnehmer verifizieren die Korrektheit der Auswertung im BBS.
Verifizierbarkeit Die individuelle Verifizierbarkeit ist gegeben. Stellt ein Wähler fest, daß seine Stimme inkorrekt berücksichtigt wurde, so sendet dieser die Protestnachricht 
Vertraulichkeit Die Vertraulichkeit der Kommunikation ist gewährleistet, da das Votum mit der Hash-Funktion versiegelt wird.
Nichtvermehrbarkeit Wieder besteht für eine böswillige Administration die Möglichkeit, Stimmen für Nichtwähler einzuschleusen, da sie über alle Geheimnummern verfügt. 
Nichtbeeinflußbarkeit Erfolgt Schritt 4 des Wahlprotokolls nach dem Ende der Wahlzeit, dann wird das Kriterium der Nichtbeeinflußbarkeit erreicht.
Wahlgeheimnis Wenn Misch-Server und Registrierungs-Server vollständig unabhängig arbeiten und ein Standard-Mix-Kanal eingesetzt wird, ist das Wahlprotokoll komplexitätstheoretisch nichtrückverfolgbar. 
Unmittelbarkeit Nicht möglich.
Effizienz Das Protokoll erreicht mittelmäßige Effizienz, da ein Teilnehmer zwei Durchgänge benötigt, um eine eindeutige Registrierungsnummer zu erhalten und zwei weitere zur Stimmabgabe.
Skalierbarkeit Nurmi et al. lösen das Skalierungsproblem durch die Annahme, große Gemeinden in kleine Einheiten ähnlich den Wahlbezirken aufzuteilen.
Ortsunabhängigkeit Wahlzellen-Szenario und Netz-Szenario sind realisierbar 
Flexibilität Die Hash-Funktion ermöglicht, komplexe Formate zu codieren. 
Änderbarkeit Die Änderbarkeit ist optional unterstützbar.