Ein weiteres Unterscheidungskriterium ist der Inhalt der blinden Zertifizierung. Viele publizierte Ansätze signieren einen blinden E-Wahlschein (wahlscheinzertifizierende blinde Beglaubigungssysteme), während die übrigen einen blinden Pseudonym-Schlüssel zertifizieren, dessen korrespondierender geheimer Zufallsschlüssel zur Unterzeichnung des Wahlscheines durch den Wähler dient (schlüsselzertifizierende blinde Beglaubigungssysteme).

Die Mehrzahl blinder Beglaubigungssysteme benützen auch anonyme Kanalsysteme. Die Abgabe von einem öffentlichen Terminal (Wahlzellen-Szenario) erfordert nicht unbedingt einen anonymen Kanal. Im Netz-Szenario ist der Einsatz eines anonymen Kanals unabdingbar, wenn die Stimmen vom Wohnsitz übertragen werden. Fast alle vorgeschlagenen Ansätze setzen stillschweigend die Existenz eines informationstheoretisch sicheren anonymen Kommunikationskanals voraus, ohne dabei auf dessen konkrete praktische Realisierung einzugehen.

Eine zusätzliche Möglichkeit der Differenzierung blinder Beglaubigungssysteme besteht zwischen der internen und externen Anordnung der anonymen Kanäle. Beta- und Gamma-Systeme stellen damit die ersten Ansätze unter der Prämisse eines internen anonymen Kommunikationskanals dar.

Borrell und Riera wichen mit ihrem exotischen Wahlprotokoll von dieser Einteilung ab (Borrell/Riera, 1999): Eine zentrale administrative Instanz erzeugt alle geheimen und öffentlichen Schlüssel für alle mixartig angeordneten Misch-Server, die durch die lokalen Administrationen gebildet werden (eine Administration hat genau einen Misch-Server). Intelligente Agenten transportieren diese geheimen Schlüssel der zentralen Administration in codierter Form zu den jeweiligen unabhängigen Misch-Servern einer Mix-Kette, die mixartige Operationen ausführen. Dieser Ansatz bildet nach der ursprünglichen Definitionen mithin keinen anonymen Kanal, da eine Rückverfolgung der Stimmen möglich ist, sobald nur ein böswilliger Sammel-Server einer lokalen Administration, welcher die chiffrierten Mix-Pakete aufzeichnet, mit der zentralen Instanz durch Zusammenschluß der protokollierten Daten konspiriert. Daraus geht eine von den Entwicklern verschwiegene Big-Brother-Wahlsystemvariante hervor.

Blinde Signaturprotokolle können auch noch durch sogenannte Wähle-und-Teile-Verfahren erweitert werden, um sicherzustellen, daß Client die zu zertifizierenden blinden Wahldaten korrekt bildete, wodurch der Protokollaufwand beträchtlich erhöht wird. Client sendet zum Zertifizierungs-Server eine fixe Menge von x blinden Wahldaten. Z wählt per Zufallsentscheid genau einen Kandidaten aus. Für alle weiteren blinden x-1 Daten fordert dieser den Client auf, die jeweiligen Transformationsschlüssel offenzulegen. Z signiert den gewählten Kandidaten erst dann, wenn alle anderen blinden Daten korrekt sind.

Insgesamt werden blinde Beglaubigungssysteme des weiteren in vier Unterarten eingeteilt, nämlich

• Schwache blinde Signatursysteme: Die Unterart der schwachen blinden Signatursysteme beruht entweder auf keinem anonymen Kanal oder auf einem schwachen Mix-Kanal, der die Worst-Case-Annahme "Sicherstellung der Anonymität bei NMAX-1 konspirativen Einheiten" nicht erfüllen kann.
• Konventionelle blinde Signatursysteme: Diese Unterart zeichnet sich dadurch aus, daß ein blindes standardisiertes Signaturverfahren und externe anonyme Kanal-systeme eingesetzt werden.
• blinde Multisignatursysteme: Zur Verhinderung einer unzulässigen Stimmenvermehrung durch eine böswillige Administration werden die Wahldaten durch mehrere voneinander unabhängige Zertifizierungs-Server signiert, woraus Multisignaturen hervorgehen. Jene mehrfach zertifizierten Wahldaten sendet Client über einen externen anonymen Kanal zur jeweiligen Administration.
• authentifizierbare Abgabesysteme: Sie benützen ein blindes Standard-Signaturschema, setzen einen internen anonymen Kanal ein und ermöglichen die Identifizierung der Teilnehmer durch die Öffentlichkeit zu jedem Protokollzeitpunkt. Durch öffentliche Kontrolle ist die unzulässige Vermehrung oder Entfernung von Stimmen praktisch undurchführbar.

4.7.1 konventionelle Blinde Signatursysteme

Fan und Lei entwickelten ein effizientes blindes Signatursystem, doch hat der Teilnehmer nur die eingeschränkte Wahlmöglichkeit zwischen Ja- und Nein-Stimmen (Fan/Lei, 1996). Der Ansatz von Boyd (Boyd, 1989) kann das Kriterium der Nichtbeeinflußbarkeit nicht erreichen und erlaubt der Administration eine gefälschte Auswertungsliste durch unbemerktes hinzufügen von Stimmen zu produzieren.

Das Wahlschema von Fujioka, Okamoto und Otha (Fujioka/Okamoto/Otha, 1992) unterstützt hingegen beliebige Wahlscheinformate und gehört zum Standard für konventionelle blinde Signatursysteme. Es ging aus der Arbeiten von Otha (Otha, 1988) und Fujioka (Fujioka, 1992) hervor und benützt kryptographische Techniken der elektronischen Unterschrift, der blinden Signatur, des Bit-Commitment sowie des anonymen Kanals. Dieses Wahlschema wurde unter der Leitung des berühmten amerikanischen Kryptographen Ron Rivest im Rahmen eines MIT-Forschungsprojektes (http://theory.lcs.mit.edu/~cis/voting/voting.html) implementiert.

4.7.1.1 Zertifizierungsprotokoll

• Der Wähler  "füllt" seinen E-Wahlschein  aus und  codiert diesen mit einem sicheren Bit-Commitment 
• und Z führen das blinde Signaturprotokoll aus: .
• Nach dem Protokollende erhält Client eine gültige Signatur  zu 

• Nach Ende der Verwaltungsphase gibt der Zertifizierungs-Server die Anzahl der Stimmberechtigten m bekannt. Auch werden die blinden Signaturen, die blinden Wahlscheine und die dazugehörige Wähleridentität veröffentlicht. Die Administration überträgt  zum BBS. Dabei ist  die blinde Signatur zum blinden Wahlschein 

• überprüft, ob die Signatur  zu  gültig ist. Wenn die Unterschrift ungültig ist, überträgt  zusammen mit einer Protestnachricht an eine vertrauenswürdige Instanz.
• sendet  über einen anonymen Kanal an Z.

• Der Auswertungs-Server überprüft die Korrektheit der Signatur 
• Nachdem alle Stimmen gesendet wurden oder die Wahlzeit ablief, veröffentlicht A eine sortierte und numerierte Liste der erhaltenen versiegelten Wahlscheine mit den korrespondierenden Signaturen. Diese Liste ist für alle Teilnehmer frei zugänglich.

• Der Wähler überprüft, ob die Anzahl der verschlossenen Wahlscheine nicht die Anzahl der wahlberechtigten Personen überschreitet. Wenn diese Überprüfung fehlerhaft ist, dann enthüllt  den Transformationsschlüssel  gegenüber einer vertrauenswürdigen Instanz.
• Client verifiziert, ob sein verschlossener Wahlschein in der Liste auftritt. Verläuft die Überprüfung negativ, dann sendet er 

über einen anonymen Kanal zu einer vertrauenswürdigen Instanz.
• Sonst öffnet der Wähler seinen Wahlschein, indem er dessen Listenposition l zusammen mit dem Commitment-Schlüssel  und Votum   über einen anonymen Kanal an den Auswertungs-Server überträgt.

4.7.1.6 Auswertungsprotokoll

• Jeder Wahlschein wird auf Gültigkeit überprüft und anschließend zur Auswertungsliste übertragen.
• A zählt die gültigen Stimmen aus und ordnet diese hinsichtlich der Parteien/Kandidaten.

                                                                          Tabelle 4.3:  Die Auswertungsliste zeigt RN abgegene Stimmen.
 

Listennummer	Wahlscheindaten
1
...	...
l
...	...
RN	...

4.7.1.7 Modifikationen zur Erreichung der Nichtvermehrbarkeit

Wenn jeder registrierte Teilnehmer sein Votum abgibt, dann entspricht die Anzahl der abgegebenen Voten der Anzahl der berechtigten Wähler. Bleiben einige Wähler fern, so kann eine böswillige Administration Stimmen für Nichtwähler abgeben. Im allgemeinen besteht zur Annahme einer hunderprozentigen Wahlteilnahme kein Anlaß. "We believe that such a requirement is restrictive: in large scale election it is quite common that more than 50% of voters abstain" (Burmester/Chen, 1994, S. 100)

Ein Ansatz, der versucht, das Problem zu beheben, stammt von Baraani-Dastjerdi, Pieprzyk und Safavi-Naini (Baraani-Dastjerdi/Pieprzyk/Safavi-Naini, 1994) und basiert auf einer vertrauenswürdigen Instanz, die zu jedem Wähler genau ein codiertes Pseudonym über einen nichtrückverfolgbaren Kanal sendet. Den Schlüssel zur Dechiffrierung der Pseudonyme verteilt die vertrauenswürdige Instanz auf die Server der Kandidaten. Im Wahlzeitpunkt sendet Client das chiffrierte Pseudonym mit dem signierten Wahlschein über einen anonymen Kanal an alle Kandidaten-Server, die sich wechselseitig kontrollieren und die codierten Pseudonyme durch Anwendung eines verifizierbaren Schwellenwertschemas gemeinsam entschlüsseln. Dieses Schema teilt den geheimen Dechiffrierungsschlüssel in n Teile auf, wobei jeder Kandidaten-Server einen Teil erhält. Mit mindestens t Teilgeheimnissen () kann das verschlüsselte Pseudonym rekonstruiert werden. Dabei handelt es sich um ein -Schwellenwertverfahren. Die Ergebnisse der Kandidaten-Server werden zum Auswertungs-Server übertragen. Eine betrügerische Administration vermag keine zusätzlichen Stimmen zu senden, da sie die Pseudonyme erst nach Wahlende erfährt und die Ausgaben der Kandidaten-Server nicht manipuliert werden können. Der hohe Kommunikationsaufwand und die Komplexität der unrückverfolgbaren Pseudonym-Verteilung macht diesen Ansatz unattraktiv.

Eine effizientere Problemlösung von Burmester und Chen (Burmester/Chen, 1994) benötigt zwei getrennte und unabhängige BBS-Instanzen, einen zur Registrierung der Teilnehmer (Registrierungs-BBS) und einen zum Überprüfen abgegebener Stimmen (Wahl-BBS). Beide Systeme werden von einem Komitee unabhängiger Personen verwaltet. Es ist davon auszugehen, daß mindestens ein Komiteemitglied korrekt arbeitet. Im Streitfall schließen die Mitglieder ihre Datensammlungen zusammen. Ein unehrliches Mitglied kann nur den Zugriff verweigern bzw. Einträge löschen. Das Recht zum Ändern von BBS-Einträgen bleibt dem BBS-Administrator vorbehalten. Das Schema verlangt, daß jeder Teilnehmer, der einen blindsignierten Wahlschein anfordert, sofort sein Commitment zum Wahl-BBS sendet. Dieses Commitment mit Signatur  sendet jeder Wähler am Ende des blinden Signaturprotokolls über den anonymen Kanal zum Wahl-BBS. Die Gruppe von Stimmberechtigten, die nicht an der Wahl teilnehmen möchte, muß kein Registrierungsprotokoll ausführen. Diejenigen Teilnehmer, die sich registrierten und keine Stimme abgeben wollen, senden zwar am Ende des blinden Signaturprotokolls ihr Commitment zu dem Wahl-BBS, jedoch übertragen sie im Wahlzeitpunkt keinen Commitment-Schlüssel. Z publiziert seine Sicht des blinden Signaturprotokolls im Registrierungs-BBS.

Bezeichnet die Variable WN die Anzahl der Commitments des Wahl-BBS und RN die Anzahl der ausgestellten blinden Signaturen des Registrierungs-BBS, dann können nach Ende des Registrierungsprotokolls folgende Fälle eintreten:

• RN=WN: Das Registrierungsprotokoll wurde ordnungsgemäß durchgeführt.
• RN<WN: Ein Betrugsversuch durch die Administration liegt vor. Die Registrierung ist ungültig und muß wiederholt werden.
• RN>WN: Das Registrieren ist ungültig und muß wiederholt werden.

Wir gehen davon aus, daß der Client sein Commitment sofort nach Ende der Rücktransformation des blinden Signaturprotokolls sendet.

Läßt sich eine Anzahl nachlässiger Nichtwähler registrieren und sendet diese vorsätzlich (durch Manipulation am Client) kein Commitment, dann erzwingt die Gruppe eine einmalige Blockade des Registrierens. Beispielsweise können Sonderfälle durch Manipulation oder Stromausfälle eintreten, welche das Protokoll stoppen, wobei Teilnehmer unabsichtlich eine Neudurchführung des Registrierungsprotokolls auslösen. In diesem Fall sollten die betreffenden Teilnehmer die Administration kontaktieren, um nicht die Konsequenzen einer möglichen Strafe tragen zu müssen. Das Enthüllen der Transformationsschlüssel ehrlicher Wähler bewirkt, daß der Regelverstoß aufgedeckt werden kann. Anschließend werden böswillige Teilnehmer disqualifiziert oder erhalten gegebenenfalls eine Strafe.

Konspiriert eine Gruppe böswilliger Nichtwähler zusätzlich mit Z, wobei Z für die betreffenden Wähler eigenständig Stimmen abgibt, so daß RN=WN gilt, dann ist der Wahlbetrug nicht mehr aufdeckbar. Ein solcher Tatbestand legt die Annahme des Stimmenkaufs nahe. Bleibt der Betrug erfolgreich, dann läuft Z Gefahr, daß seine Aktivitäten später zurückverfolgt werden: Eine mit dem Administrator konspirierende Person kann z.B. ein verdeckter Ermittler sein, der nachträglich seinen Transformationsschlüssel sowie weitere Beweismittel preisgibt, um den Administrator zu überführen.

4.7.1.8 Modifikation zur Erreichung der Unmittelbarkeit

Unabhängig von den aufgezeigten Erweiterungen entwickelte Okamoto den Standard-Ansatz von 1992 weiter, um das Kriterium der Unmittelbarkeit zu erreichen (Okamoto, 1996). Die nachstehenden Einheiten nehmen am Protokoll teil:

• Zertifizierungs-Server,
• Mix-Server,
• BBS-Server,
• Auswertungs-Server.

Dazu erweitert Okamoto sein Basissystem durch ein sicheres Bit-Commitment-Schema BC mit Hintertüre (Trapdoor). Nur der Client kennt den geheimen Schlüssel  (=Hintertüre) zur Chiffrierung des Wahlscheines. Mit dem korrespondierenden öffentlichen Schlüssel läßt sich ein vom Wähler festgelegtes Votum verifizieren.

Durch die Hintertüre  besitzt der Wähler die Möglichkeit, unterschiedliche Paare

etc.

zu erzeugen, so daß

gilt.

Wenn dem Wähler ein Votum  aufgezwungen wird, dann kann Client seine geheime Hintertüre  benützen, um ein identisches Funktionsergebnis

zu berechnen. Somit ist die vom Wähler erwünschte Wahlstrategie  versiegelt. Gleichzeitig scheint aus der Stimmenkäufer-Perspektive die Beziehung  zu gelten.

Vorbereitungsprotokoll

• Zunächst erzeugt Client  und .
• Client und Zertifizierungs-Server führen ein interaktives, blindes Signaturprotokoll  durch. Daraus erhält Client die Signatur 

• sendet  über einen sicheren anonymen Kanal zum BBS.
• überträgt  über einen sicheren anonymen Kanal zu einem zufällig gewählten Auswertungs-Server ,

Einspruchsprotokoll

• Client verifiziert, ob seine Stimme im BBS vorkommt. Bei negativer Verifikation erhebt Client Einspruch durch Publikation von 

• Um zu verhindern, daß der Käufer verifizieren kann, mit welchem Commitment-Schlüssel die Stimme geöffnet wurde, modifiziert Okamoto (Okamoto, 1996, 1997) das Auswertungsprotokoll.

Im folgenden skizzieren wir den Zero-Knowledge-Beweis, der pro Stimmengruppe durchgeführt werden muß. Mit einem Zero-Knowledge-Beweis zeigt der Auswertungs-Server, daß die empfangenen Stimmen  mit den Bit-Commitment-Funktionen korrespondieren und durch Anwendung korrekter Commitment-Schlüssel hervorgehen, ohne dabei den Zusammenhang zwischen  und  zu enthüllen. A veröffentlicht die Stimmen  die eine zufällige Permutation der geheimen Liste der Stimmen  darstellt, d.h.  ist eine zufällige Permutation aus I Elementen. Der Auswertungs-Server publiziert  und  im BBS. Dann zeigt er mit dem Zero-Knowledge-Beweis, daß er  kennt, so daß  gilt , ohne dabei  zu enthüllen (Details siehe: Okamoto, 1997).
 
 

	Anforderungen (Beschreibung)
Authentifikation	Durch die Wähler-Signatur wird das Kriterium der Authentifikation im Vorbereitungsprotokoll sichergestellt.
Übertragungsintegrität	Die Übertragungsintegrität gewährleistet das Zertifikat am Wahlschein.
Korrektheit	Da alle abgegebenen Stimmen veröffentlicht werden, ist die Korrektheit der Auswertung global überprüfbar.
Verifizierbarkeit	Durch den Zero-Knowledge-Beweis wird die korrekte Öffnung der Bit-Commitments nachgewiesen. Jeder Teilnehmer kann diesen Beweis überprüfen.
Vertraulichkeit	Die Vertraulichkeit der Kommunikation basiert auf dem Einsatz eines Mix-Netzes.
Nichtvermehrbarkeit	Für Nichtwähler vermag eine böswillige Wahlleitung Stimmen abzugeben. Um das Problem zu beheben, schlägt Okamoto in einer erweiterten Protokollvariante vor, blinde Wahlscheine durch mehrere Zertifizierungs-Server signieren zu lassen (Okamoto, 1996, S. 27).
Nichtbeeinflußbarkeit	Das Kriterium der Nichtbeeinflußbarkeit wird ohne Modifikation unbefriedigend erfüllt, da die Auswertungs-Server frühzeitig ihre Zwischenresultate zusammenschließen können.
Wahlgeheimnis	Das Wahlgeheimnis wird im komplexitätstheoretischen Sinne erreicht.
Unmittelbarkeit	Das Protokoll vermeidet den Stimmenkauf, wenn der Client die Hintertüre  eigenständig erzeugt. Wenn aber ZP/KF  selbst erzeugt und diesen Wert gegenüber dem Client geheim hält, dann ist der Wähler ohne Kenntnis von  nur imstande, eine vorgegebene Option eindeutig zu codieren, da Client nur den öffentlichen Schlüssel  kennt.
Effizienz	Der Zero-Knowledge-Beweis ist weitgehend unpraktikabel, da die Berechnungskomplexität für jede Gruppe hoch ist. So schlägt Okamoto vor, daß der Zero-Knowledge-Beweis für eine Stimmengruppe (k=128) Iterationen benötigt, die im BBS publiziert werden. Der Aufwand erscheint aus praktischer Sicht kaum realisierbar, da sich die im BBS aufgezeichneten Daten erheblich erhöhen.
Skalierbarkeit	Das System läßt sich gut skalieren.
Ortsunabhängigkeit	Beide Szenarien sind realisierbar.
Flexibilität	Alle mögliche Formate können unterstützt werden.
Änderbarkeit	Die Änderbarkeit von Stimmen ist theoretisch denkbar, wenn Client einen neuen Commitment-Schlüssel erzeugt. Sie würde aber die Durchführung weiterer Zero-Knowledge-Beweise bedingen.

Um das Sicherheitsproblem der Unmittelbarkeit zu beheben, fordert Okamoto in einer neueren Variante den Einsatz unabhörbarer Kanäle:

"A physical apparatus is called an "untappable channel" for voter , if only  can send out a message m, to recipient R, and all others can know (information theoretically) nothing about m" (Okamoto, 1997, S. 5).

In dieser Protokollvariante muß jeder Client die geheime Hintertüre  in N Teile  aufspalten. Den Teil  und den öffentlichen Schlüssel  sendet der Client im Wahlzeitpunkt über einen anonymen unabhörbaren Kanal zu jeweils einer unabhängigen und vertrauenswürdigen Prüfinstanz Okamoto bezeichnet die Prüfeinheit als „Parameter Registration Committee“. Jede Instanz  berechnet daraufhin den korrespondierenden öffentlichen Teilschlüssel  den sie zusammen mit  im BBS publiziert. Aus dem öffentlichen Teilschlüssel berechnet der Auswertungs-Server den öffentlichen Schlüssel  Zudem sendet der Wähler im Wahlzeitpunkt die Nachricht

und 

über einen nichtabhörbaren anonymen Kanal zu einem Auswertungs-Server. Dabei stellt  die durch das blinde Zertifizierungsprotokoll gewonnene Signatur zu dem Paket  dar. Die Daten der Prüfinstanzen vergleichen die jeweiligen Auswertungs-Server mit den korrespondierenden Werten in. Die Unmittelbarkeit beruht auf der Prämisse, daß der Client die Teile  im Wahlzeitpunkt eigenständig über den nichtabhörbaren anonymen Kanal zu den unabhängigen Instanzen senden muß. Infolgedessen kennt der Wähler  und die zwangausübende Person kann die Hintertüre nicht mehr vor dem Wähler geheimhalten. An dieser Stelle bleibt festzuhalten, daß der Ansatz von Okamoto den Kommunikationsaufwand stark erhöht, somit von Unpraktikabilität geprägt ist.

4.7.1.9 Modifikationen durch Wähle-und-Teile-Verfahren

David Chaum entwickelte ein Verfahren, das ein bedingungslos nichtrückverfolgbaresSendeprotokoll zur Stimmabgabe benützt (Chaum, 1988a). Der Wahlschein wurde zuvor von einer vertrauenswürdigen Instanz durch Anwendung eines Wähle-und-Teile-Systems blind signiert. Allerdings ist der Aufwand extrem hoch und böswillige Wähler können das Protokoll durch manipulative Eingriffe stören. Infolgedessen muß die Wahl wiederholt werden. Wenn ein böswilliger Administrator Stimmen fehlerhaft auswertet, kann ein verifizierender Wähler keinen anonymen Einspruch erheben, ohne dabei seine Stimme enthüllen zu müssen (Horster/Michels, 1995).
 

• Als Fallbeispiel führen wir ein einfaches Protokoll von Schneier an (Schneier, 1996, S. 150). Die Administration besteht aus einem Zertifizierungs-Server und BBS. Zudem benützt Z ein blindes RSA-Signaturschema und ist sowohl für Zertifizierung und Auswertung zuständig.
• Jeder Teilnehmer generiert n (z.B. n=10)Wahlscheine  Ein Wahlschein  enthält alle m möglichen Stimmen  und jeweils eine Pseudonymnummer Somit erzeugt Client n Wahlscheine: 
• Client verdeckt alle  mit dem Transformationsschlüssel  und erhält durch Anwendung der Transformationsfunktion X den Wert  Diesen sendet der Wähler mit seiner Signatur zum Zertifizierungs-Server. Mithin empfängt Z die verdeckten Wahlscheine 
• Der Zertifizierungs-Server verifiziert die Korrektheit der Wählersignatur, seine Wahlberechtigung und ob der Teilnehmer die blinden Wahlscheine nicht schon einmal zur verdeckten Unterzeichnung eingereicht hat.
• Z wählt per Zufallsentscheidung einen verdeckten Wahlschein  aus und verlangt für die restlichen Wahlscheine, daß Client die dazugehörigen Transformationsschlüssel offenlegt.
• Client sendet die ausgewählten Transformationsschlüssel. Im Rahmen des Teile-und-Wähle-Protokolls überprüft der Zertifizierungs-Server, ob die ausgewählten Wahlscheine korrekt sind. Dann signiert er den verbleibenden blinden Wahlschein  und bekommt

• Der signierte Wahlschein  wird zurück zum Wähler gesendet.
• Der Client transformiert durch Anwendung der Transformationsschlüssel den blinden Wahlschein in seine ursprüngliche Gestalt und erhält 
• Client sucht eine Stimme (Option) aus und verschlüsselt diese mit dem öffentlichen Schlüssel von Z.  transferiert die erwünschte Stimme  über einen anonymen Kanal zu Z.
• Nach Ende der Wahlzeit dechiffriert Z alle Stimmabgaben.
• Anschließend überprüft Z die Unterschriften und durchsucht seine Datenbank nach einer doppelten Seriennummer.
• Der Zertifizierungs-Server wertet die Stimmen aus und veröffentlicht das Wahlergebnis und die Auswertungsliste (Pseudonymnummer, Stimme).

Das Teile-und-Wähle-Protokoll realisiert die Eindeutigkeit der Stimmabgabe. Falls der Wähler versucht, sein Votum mehrfach einzureichen, erkennt die Wahlleitung diesen Angriff wegen der Verifikation der Pseudonymnummer gegenüber ihrer Datenbank (Schritt 9). Versucht ein Wähler, mehrere Wahlscheine unterzeichnen zu lassen, so wird dies im Schritt 3 verhindert.
 
 

	Anforderungen (Beschreibung)
Authentifikation	Die Signatur ermöglicht die Identitätsprüfung. Unautorisierte Wähler können keine Stimme abgeben, solange das Client-Signaturschema sicher ist.
Übertragungsintegrität	Stimmen lassen sich nicht unbemerkt auf der Übertragungsstrecke modifizieren, da ein Angreifer nicht den Signaturschlüssel des Zertifizierungs-Servers hat.
Korrektheit	Die Korrektheit wird erfüllt, da Außenstehende +/- Wähler das Ergebnis verifizieren können.
Verifizierbarkeit	Wird zusätzlich eine Liste aller eingereichten Stimmen und Pseudonymnummern veröffentlicht, so können Wähler verifizieren, ob ihre Stimme in das Wahlresultat eingegangen ist. Wenn ein Wähler die Modifikation seiner Stimme entdeckt, dann verfügt er über kein Beweismittel, um zu zeigen, daß Z seine Stimme änderte.
Vertraulichkeit	Ein Mix-System garantiert die Vertraulichkeit der Kommunikation.
Nichtvermehrbarkeit	Ein böswilliger Z kann unbemerkt eine Anzahl von Stimmen für Nichtwähler generieren und abgeben.
Nichtbeeinflußbarkeit	Nicht möglich, da der Auswertungs-Server die Ergebnisse frühzeitig zu ermitteln vermag.
Wahlgeheimnis	Das blind geleistete Signaturprotokoll verhindert die Rückverfolgung der Pseudonymnummern, die zwar identifizierbar, doch nicht zuordenbar sind.
Unmittelbarkeit	Das Protokoll erlaubt den uneingeschränkten Stimmenkauf sowie die Ausübung von Zwangsmaßnahmen.
Effizienz	Der Kommunikationsaufwand zwischen Client und Zertifizierungs-Server ist hoch und steht in proportionaler Abhängigkeit zur Komplexität (Optionen) des Wahlscheins.
Skalierbarkeit	Die Massenanwendung erfordert eine gleichmäßige Verteilung der Zertifizierungs-Server.
Ortsunabhängigkeit	Netz- und Wahlzellen-Szenario sind uneingeschränkt realisierbar.
Flexibilität	Die Flexibilität wird bei komplexen Formaten eingeschränkt.
Änderbarkeit	Wenn die Veränderbarkeit der Stimme erwünscht ist, zählt Z die letzte unter der gleichen Pseudonymnummer gesendete modifizierte Stimme.

Weiterentwicklungen unter der Prämisse der Effizienzsteigerung des Teile-und-Wähle-Verfahrens haben Borrell und Riera vorgenommen (Borell/Riera, 1999). Ein Wahlschein hat das Format , wobei  ist. Dabei bezeichnet H die Hash-Funktion, t die Wahloption und r einen angefügten Zufallsstring. Ferner ist elect ein Identifizierungsstring, der unabhängig vom Inhalt v das Format des Wahlscheins rechtsgültig macht und einer bestimmten Entscheidung eindeutig zuordnet.

Um der Erzeugung eines fehlerhaften Strings elect durch einen böswilligen Teilnehmer entgegenzuwirken, kommt das Teile-und-Wähle-Verfahren zum Einsatz, wobei wegen der sicheren Hash-Funktion der Wahlscheininhalt für den Zertifizierungs-Server verdeckt bleibt. Sendet der Client x unterschiedliche blinde Wahlscheine, so beträgt die Wahrscheinlichkeit, daß Z ein ungültiges Wahlscheinformat unterzeichnet 1/x. Die Unverknüpfbarkeit der einzelnen blinden Kandidaten erreicht Client, indem dieser zur Wahloption jeweils einen anderen Zufallsstring hinzufügt, bevor schließlich die Hash-Funktion angewendet wird.

4.7.2 Blinde Multisignatursysteme

Um die Administration zu hindern, für Nichtwähler Stimmen abzugeben, können auch blinde Multisignatursysteme benützt werden. Diese Unterart basiert auf der Idee, einen Wahlschein durch eine fixe Anzahl von n unabhängigen Zertifizierungs-Server blind signieren zu lassen. Beim trivialen Ansatz signiert jeder Zertifizierungs-Server den blinden Wahlschein durch Anwendung eines konventionellen blinden Signaturschemas. Daraus gehen n Signaturen hervor und die Länge der Wahlscheindaten reduziert die Effizienz. Im blinden Multisignaturschema von Horster, Michels und Petersen (Horster/Michels/Petersen, 1995) kann Client alle Signaturen zu einer einzigen kombinieren und dadurch akzeptable Effizienz erzielen. Nach dem Abschluß des blinden Multisignatursystems besitzt der Wähler eine Signatur zum Wahlschein, die eine Kombination aller Zertifizierungs-Server-Signaturen darstellt. Solange wenigstens eine Administration ehrlich arbeitet, kann keine Untermenge böswilliger Administrationen Stimmen für Nichtwähler abgeben. Am blinden Multisignaturprotokoll nehmen n Zertifizierungs-Server  teil. Der Server  benützt ein Multisignaturschema (S,V) sowie ein asymmetrisches Schlüsselpaar  Gemeinsam teilen die Zertifizierungs-Server einen öffentlichen Kollektivschlüssel  der durch Kombination der öffentlichen Teilschlüssel gebildet wird und zur Verifikation der Multisignatur dient.

4.7.2.1 Zertifizierungsprotokoll

Ein blindes Multisignaturprotokoll besteht aus einem interaktiven Protokoll zwischen Client und n Zertifizierungs-Server  wobei  den Algorithmus  ausführt. In der formalen Schreibweise bezeichnen wir das Protokoll als

und beschreiben schematisch die notwendigen Protokollschritte.

• Der Client verdeckt seine Nachricht m durch den Transformations-Algorithmus X und erhält  Letztere sendet Client per Multicast-Transmission mit seinem Authentifikationsnachweis an alle Zertifizierungs-Server.
• Jeder Zertifizierungs-Server überprüft die Ausstellungsbedingungen und unterzeichnet nach positiver Überprüfung die Nachricht mit dem Signaturschlüssel  und sendet  zurück zum Client.
• Client prüft jede empfangene Signatur und kombiniert dann die einzelnen blinden Signaturen mit einem Algorithmus K und erhält eine kombinierte blinde Signatur 
• Nach der Rücktransformation mit dem Algorithmus Y bekommt der Client eine Multisignatur sz.

Das Schema von Patrick Horster et al. benützt neben blinden Multisignaturen ein Multicodierungsschema, um das Kriterium der Nichtbeeinflußbarkeit zu erzielen. Bei einem Multicodierungsschema verschlüsselt Client das Votum mit dem Kollektivschlüssel  d.h.  Beim Dechiffrieren der Nachricht  müssen alle n Zertifizierungs-Server mitwirken, um die Nachricht entschlüsseln zu können. Beim Entschlüsseln muß jeder Zertifizierungs-Server mit seinem Teilschlüssel  dechiffrieren. Daraus resultiert die Nachricht  Jeder Zertifizierungs-Server beweist mit einem effizienten Zero-Knowledge-Beweis, daß die Dechiffrierung korrekt war. Das Votum wird aus einzelnen Teilentschlüsselungen durch einen öffentlichen Rekonstruktions-Algorithmus RAG ermittelt, d.h. 

4.7.2.2 Vorbereitungsprotokoll

• Jeder Client chiffriert das Votum mit dem Multicodierungsschema 
• Dann führt Client mit den Zertifizierungs-Servern ein blindes Multisignaturschema durch
 

4.7.2.3 Wahlprotokoll

• Jeder Client sendet  über einen angenommenen anonymen Kanal zum Auswertungs-Server.
• Die Entschlüsselungsphase beginnt nach Ende der Wahlzeit.
• Nach der Verifikation der Unterschrift  führt jeder Zertifizierungs-Server einen Entschlüsselungsschritt  mit seinem geheimen Schlüssel aus und gibt einen Zero-Knowledge-Beweis der korrekten Entschlüsselung an. Das Votum ergibt sich durch Anwendung der Wiederherstellungsfunktion, d.h.
• 

4.7.2.4 Protestprotokoll

• Erscheint ein Wahlschein nicht auf der Auswertungsliste, so sendet der Wähler
 

• Die Zertifizierungs-Server prüfen die Werte und korrigieren gegebenenfalls die BBS-Einträge.

• A zählt die gültigen Stimmen und ordnet sie hinsichtlich der Parteien/Kandidaten.

	Anforderungen (Beschreibung)
Authentifikation	Der Wähler bekommt nur einen zertifizierten Wahlschein, da jeder Zertifizierungs-Server genau eine Signatur vom Wähler empfängt.
Übertragungsintegrität	Wegen des angenommenen sicheren anonymen Kanals wird das Kriterium der Übertragungsintegrität erreicht.
Korrektheit	Wenn Wähler und/oder eine unabhängige Instanz die Auswertung prüfen, dann ist die Korrektheit der Ermittlung gegeben. Beim kollektiven Entschlüsseln erzielt kein böswilliger  durch inkorrektes Dechiffrieren einen Gewinn, weil alle Entschlüsselungsschritte im BBS aufgezeichnet werden.
Verifizierbarkeit	Das System erreicht die individuelle Verifizierbarkeit.
Vertraulichkeit	Durch die Mix-Codierungen wird die Vertraulichkeit der Kommunikation erreicht.
Nichtvermehrbarkeit	Wenn mindestens ein Zertifizierungs-Server ehrlich arbeitet, können keine Stimmen durch betrügerische Zertifizierungs-Server abgegeben werden.
Nichtbeeinflußbarkeit	Solange wenigstens ein Zertifizierungs-Server seine Teilnahme beim Versuch, eingereichte Wahlscheine frühzeitig zu entschlüsseln, verweigert, so bleibt das Kriterium der Nichtbeeinflußbarkeit gewahrt.
Wahlgeheimnis	Das Schema benützt Mix-Systeme und realisiert Unrückverfolgbarkeit im komplexitätstheoretischen Sinne.
Unmittelbarkeit	Unmittelbarkeit kann nicht erfüllt werden, da ZW/KF die Verwendung bestimmter Pseudonyme vor der Wahl verlangen kann.
Effizienz	Die Durchgangskomplexität beträgt zwei Durchgänge. Das System hat Effizienzverluste, da der Kommunikations- und Rechenaufwand relativ zum konventionellen blinden Signaturschema aufwendiger ist.
Skalierbarkeit	Bei großen Systemen bleibt ein einziger anonymer Kanal sehr aufwendig. Eine verteilte Struktur der Mix-Server erlaubt eine flexible Erweiterung des Systems.
Ortsunabhängigkeit	Dieser Ansatz unterstützt Netz-Szenario und Wahlzellen-Szenario
Flexibilität	Das Signaturschema ermöglicht den Einsatz beliebiger Formate.
Änderbarkeit	Nicht möglich.

4.7.3 Authentifizierbare Abgabesysteme

Die Beta- und Gamma-Systeme sind erste Fallbeispiele für authentifizierbare Abgabesysteme, da diese blinde Signatursysteme einsetzen und BBS-signierte Mix-Datenpakete aufzeichnen und sichere Beweismittel zur Aufdeckung unzulässiger Stimmenvermehrung und -entfernung bereitstellen. Das Gamma-System kombiniert authentifizierbare Abgabesysteme mit einer Krypto-Hardware, um das Kriterium der Unmittelbarkeit zu erreichen. Unser Gamma-Protokoll ist verglichen mit den von Okamoto publizierten Verfahren (Okamoto, 1996, 1997) entscheidend effizienter, praktikabler und verhindert außerdem als erstes System Eingabenkontrolle und auch Ausgabenkontrolle durch ZP/KF.