4.7 Blinde Beglaubigungssysteme

Blinde Beglaubigungssysteme lassen sich nach der sicherheitstechnischen Basierung in softwarebasierte und sicherheitsmodulbasierte Verfahren unterteilen. Nach dieser Einteilung stellt das im vorigen Kapitel entwickelte Gamma-System ein chipkartenbasiertes unerzwingbares blindes Beglaubigungssystem dar.

Ein weiteres Unterscheidungskriterium ist der Inhalt der blinden Zertifizierung. Viele publizierte Ansätze signieren einen blinden E-Wahlschein (wahlscheinzertifizierende blinde Beglaubigungssysteme), während die übrigen einen blinden Pseudonym-Schlüssel zertifizieren, dessen korrespondierender geheimer Zufallsschlüssel zur Unterzeichnung des Wahlscheines durch den Wähler dient (schlüsselzertifizierende blinde Beglaubigungssysteme).

Die Mehrzahl blinder Beglaubigungssysteme benützen auch anonyme Kanalsysteme. Die Abgabe von einem öffentlichen Terminal (Wahlzellen-Szenario) erfordert nicht unbedingt einen anonymen Kanal. Im Netz-Szenario ist der Einsatz eines anonymen Kanals unabdingbar, wenn die Stimmen vom Wohnsitz übertragen werden. Fast alle vorgeschlagenen Ansätze setzen stillschweigend die Existenz eines informationstheoretisch sicheren anonymen Kommunikationskanals voraus, ohne dabei auf dessen konkrete praktische Realisierung einzugehen.

Eine zusätzliche Möglichkeit der Differenzierung blinder Beglaubigungssysteme besteht zwischen der internen und externen Anordnung der anonymen Kanäle. Beta- und Gamma-Systeme stellen damit die ersten Ansätze unter der Prämisse eines internen anonymen Kommunikationskanals dar.

Borrell und Riera wichen mit ihrem exotischen Wahlprotokoll von dieser Einteilung ab (Borrell/Riera, 1999): Eine zentrale administrative Instanz erzeugt alle geheimen und öffentlichen Schlüssel für alle mixartig angeordneten Misch-Server, die durch die lokalen Administrationen gebildet werden (eine Administration hat genau einen Misch-Server). Intelligente Agenten transportieren diese geheimen Schlüssel der zentralen Administration in codierter Form zu den jeweiligen unabhängigen Misch-Servern einer Mix-Kette, die mixartige Operationen ausführen. Dieser Ansatz bildet nach der ursprünglichen Definitionen mithin keinen anonymen Kanal, da eine Rückverfolgung der Stimmen möglich ist, sobald nur ein böswilliger Sammel-Server einer lokalen Administration, welcher die chiffrierten Mix-Pakete aufzeichnet, mit der zentralen Instanz durch Zusammenschluß der protokollierten Daten konspiriert. Daraus geht eine von den Entwicklern verschwiegene Big-Brother-Wahlsystemvariante hervor.

Blinde Signaturprotokolle können auch noch durch sogenannte Wähle-und-Teile-Verfahren erweitert werden, um sicherzustellen, daß Client die zu zertifizierenden blinden Wahldaten korrekt bildete, wodurch der Protokollaufwand beträchtlich erhöht wird. Client sendet zum Zertifizierungs-Server eine fixe Menge von x blinden Wahldaten. Z wählt per Zufallsentscheid genau einen Kandidaten aus. Für alle weiteren blinden x-1 Daten fordert dieser den Client auf, die jeweiligen Transformationsschlüssel offenzulegen. Z signiert den gewählten Kandidaten erst dann, wenn alle anderen blinden Daten korrekt sind.

Insgesamt werden blinde Beglaubigungssysteme des weiteren in vier Unterarten eingeteilt, nämlich

Beispiele für schwache blinde Signatursysteme sind z.B. der Ansatz von Borrell und Riera (Borrell/Riera, 1999) oder die Software-Implementierung Sensus (Cranor/Cytron, 1997). Diese Ansätze werden hier nicht weiter behandelt.

4.7.1 konventionelle Blinde Signatursysteme

Fan und Lei entwickelten ein effizientes blindes Signatursystem, doch hat der Teilnehmer nur die eingeschränkte Wahlmöglichkeit zwischen Ja- und Nein-Stimmen (Fan/Lei, 1996). Der Ansatz von Boyd (Boyd, 1989) kann das Kriterium der Nichtbeeinflußbarkeit nicht erreichen und erlaubt der Administration eine gefälschte Auswertungsliste durch unbemerktes hinzufügen von Stimmen zu produzieren.

Das Wahlschema von Fujioka, Okamoto und Otha (Fujioka/Okamoto/Otha, 1992) unterstützt hingegen beliebige Wahlscheinformate und gehört zum Standard für konventionelle blinde Signatursysteme. Es ging aus der Arbeiten von Otha (Otha, 1988) und Fujioka (Fujioka, 1992) hervor und benützt kryptographische Techniken der elektronischen Unterschrift, der blinden Signatur, des Bit-Commitment sowie des anonymen Kanals. Dieses Wahlschema wurde unter der Leitung des berühmten amerikanischen Kryptographen Ron Rivest im Rahmen eines MIT-Forschungsprojektes (http://theory.lcs.mit.edu/~cis/voting/voting.html) implementiert.

4.7.1.1 Zertifizierungsprotokoll

4.7.1.2 Verwaltungsprotokoll 4.7.1.3 Wahlprotokoll 4.7.1.4 Sammelprotokoll 4.7.1.5 Öffnungsprotokoll


4.7.1.6 Auswertungsprotokoll


                                                                          Tabelle 4.3:  Die Auswertungsliste zeigt RN abgegene Stimmen.
 

Listennummer
Wahlscheindaten
1
...
...
l
...
...
RN
...

 
 
Anforderungen (Beschreibung)
Authentifikation  Das Zertifizierungsprotokoll stellt Authentifikation und Gleichheit sicher. 
Übertragungsintegrität Durch den signierten Wahlschein und Publikation der Auswertungsliste wird die Übertragungsintegrität garantiert. 
Korrektheit Der Auswertungs-Server publiziert alle Stimmen im BBS. Dadurch kann jeder Beteiligte die Korrektheit der Auswertung prüfen. 
Verifizierbarkeit Ändert eine Instanz (Administration) abgegebene Stimmen, dann erkennt dies der Wähler, sobald dieser seine Stimme verifiziert (individuelle Verifikation).
Vertraulichkeit Die Vertraulichkeit der Kommunikation garantiert die Codierung mit dem Bit-Commitment-Schema. 
Nichtvermehrbarkeit Versucht der Wähler mehrfach zu wählen, dann benötigt er signierte Wahlscheine. Einen erhält er auf legale Weise, aber für jeden weiteren muß er eine Signatur erzeugen. Dies erfordert das Brechen des blinden Signaturschemas und liefert einen Widerspruch zur Sicherheitsannahme. Der Hauptmangel des Protokolls von Okamoto et al. besteht darin, daß eine betrügerische Administration gültige Wahlscheine für Nichtwähler abzugeben vermag. 
Nichtbeeinflußbarkeit Da jeder Wähler seinen Commitment-Schlüssel erst nach Ende der Wahlzeit überträgt, kann niemand Zwischenresultate ermitteln. 
Wahlgeheimnis Weil ein signierter Wahlschein durch das blinde Signaturprotokoll gewonnen und über einen senderanonymen Kanal transferiert wird, erreicht dieser Ansatz komplexitätstheoretische Nichtrückverfolgbarkeit.
Unmittelbarkeit Nicht möglich, da z.B. der Transformationsschlüssel von Käufern bzw. zwangausübenden Personen definiert werden kann. 
Effizienz Das System erreicht mittlere Effizienz, da zwei Durchgänge zur Stimmabgabe nötig sind: (1) Senden des Wahlscheins und (2) Senden des Commitment-Schlüssels. 
Skalierbarkeit Okamoto geht in diesem System von einer einzigen Administration aus, wodurch das Kriterium der Skalierbarkeit unzureichend erfüllt wird. Doch besteht die Möglichkeit, das System - wie in unserem Modell - auf viele Teilsysteme aufzuteilen. 
Ortsunabhängigkeit Sowohl Netz-Szenario als auch Wahlzellen-Szenario lassen sich uneingeschränkt realisieren.
Flexibilität Das Schema ist flexibel, da es keine Einschränkungen hinsichtlich der zu signierenden Inhalte gibt.
Änderbarkeit Das Ändern der Stimme ist unmöglich, da das Protokoll verlangt, daß der Teilnehmer den Inhalt des Wahlscheins bereits beim Zertifizierungsprotokoll festlegen muß.

4.7.1.7 Modifikationen zur Erreichung der Nichtvermehrbarkeit

Wenn jeder registrierte Teilnehmer sein Votum abgibt, dann entspricht die Anzahl der abgegebenen Voten der Anzahl der berechtigten Wähler. Bleiben einige Wähler fern, so kann eine böswillige Administration Stimmen für Nichtwähler abgeben. Im allgemeinen besteht zur Annahme einer hunderprozentigen Wahlteilnahme kein Anlaß. "We believe that such a requirement is restrictive: in large scale election it is quite common that more than 50% of voters abstain" (Burmester/Chen, 1994, S. 100)

Ein Ansatz, der versucht, das Problem zu beheben, stammt von Baraani-Dastjerdi, Pieprzyk und Safavi-Naini (Baraani-Dastjerdi/Pieprzyk/Safavi-Naini, 1994) und basiert auf einer vertrauenswürdigen Instanz, die zu jedem Wähler genau ein codiertes Pseudonym über einen nichtrückverfolgbaren Kanal sendet. Den Schlüssel zur Dechiffrierung der Pseudonyme verteilt die vertrauenswürdige Instanz auf die Server der Kandidaten. Im Wahlzeitpunkt sendet Client das chiffrierte Pseudonym mit dem signierten Wahlschein über einen anonymen Kanal an alle Kandidaten-Server, die sich wechselseitig kontrollieren und die codierten Pseudonyme durch Anwendung eines verifizierbaren Schwellenwertschemas gemeinsam entschlüsseln. Dieses Schema teilt den geheimen Dechiffrierungsschlüssel in n Teile auf, wobei jeder Kandidaten-Server einen Teil erhält. Mit mindestens t Teilgeheimnissen () kann das verschlüsselte Pseudonym rekonstruiert werden. Dabei handelt es sich um ein -Schwellenwertverfahren. Die Ergebnisse der Kandidaten-Server werden zum Auswertungs-Server übertragen. Eine betrügerische Administration vermag keine zusätzlichen Stimmen zu senden, da sie die Pseudonyme erst nach Wahlende erfährt und die Ausgaben der Kandidaten-Server nicht manipuliert werden können. Der hohe Kommunikationsaufwand und die Komplexität der unrückverfolgbaren Pseudonym-Verteilung macht diesen Ansatz unattraktiv.

Eine effizientere Problemlösung von Burmester und Chen (Burmester/Chen, 1994) benötigt zwei getrennte und unabhängige BBS-Instanzen, einen zur Registrierung der Teilnehmer (Registrierungs-BBS) und einen zum Überprüfen abgegebener Stimmen (Wahl-BBS). Beide Systeme werden von einem Komitee unabhängiger Personen verwaltet. Es ist davon auszugehen, daß mindestens ein Komiteemitglied korrekt arbeitet. Im Streitfall schließen die Mitglieder ihre Datensammlungen zusammen. Ein unehrliches Mitglied kann nur den Zugriff verweigern bzw. Einträge löschen. Das Recht zum Ändern von BBS-Einträgen bleibt dem BBS-Administrator vorbehalten. Das Schema verlangt, daß jeder Teilnehmer, der einen blindsignierten Wahlschein anfordert, sofort sein Commitment zum Wahl-BBS sendet. Dieses Commitment mit Signatur  sendet jeder Wähler am Ende des blinden Signaturprotokolls über den anonymen Kanal zum Wahl-BBS. Die Gruppe von Stimmberechtigten, die nicht an der Wahl teilnehmen möchte, muß kein Registrierungsprotokoll ausführen. Diejenigen Teilnehmer, die sich registrierten und keine Stimme abgeben wollen, senden zwar am Ende des blinden Signaturprotokolls ihr Commitment zu dem Wahl-BBS, jedoch übertragen sie im Wahlzeitpunkt keinen Commitment-Schlüssel. Z publiziert seine Sicht des blinden Signaturprotokolls im Registrierungs-BBS.

Bezeichnet die Variable WN die Anzahl der Commitments des Wahl-BBS und RN die Anzahl der ausgestellten blinden Signaturen des Registrierungs-BBS, dann können nach Ende des Registrierungsprotokolls folgende Fälle eintreten:

Gilt das Registrierungsprotokoll als ungültig, dann öffnen alle Teilnehmer ihre Transformationsschlüssel, wodurch die blinden Signaturen im Registrierungs-BBS den Commitments im Wahl-BBS zugeordnet werden können. Falls RN<WN, dannist der Betrug durch den Administrator eindeutig belegbar, ohne die Stimminhalte zu enthüllen.

Wir gehen davon aus, daß der Client sein Commitment sofort nach Ende der Rücktransformation des blinden Signaturprotokolls sendet.

Läßt sich eine Anzahl nachlässiger Nichtwähler registrieren und sendet diese vorsätzlich (durch Manipulation am Client) kein Commitment, dann erzwingt die Gruppe eine einmalige Blockade des Registrierens. Beispielsweise können Sonderfälle durch Manipulation oder Stromausfälle eintreten, welche das Protokoll stoppen, wobei Teilnehmer unabsichtlich eine Neudurchführung des Registrierungsprotokolls auslösen. In diesem Fall sollten die betreffenden Teilnehmer die Administration kontaktieren, um nicht die Konsequenzen einer möglichen Strafe tragen zu müssen. Das Enthüllen der Transformationsschlüssel ehrlicher Wähler bewirkt, daß der Regelverstoß aufgedeckt werden kann. Anschließend werden böswillige Teilnehmer disqualifiziert oder erhalten gegebenenfalls eine Strafe.

Konspiriert eine Gruppe böswilliger Nichtwähler zusätzlich mit Z, wobei Z für die betreffenden Wähler eigenständig Stimmen abgibt, so daß RN=WN gilt, dann ist der Wahlbetrug nicht mehr aufdeckbar. Ein solcher Tatbestand legt die Annahme des Stimmenkaufs nahe. Bleibt der Betrug erfolgreich, dann läuft Z Gefahr, daß seine Aktivitäten später zurückverfolgt werden: Eine mit dem Administrator konspirierende Person kann z.B. ein verdeckter Ermittler sein, der nachträglich seinen Transformationsschlüssel sowie weitere Beweismittel preisgibt, um den Administrator zu überführen.

4.7.1.8 Modifikation zur Erreichung der Unmittelbarkeit

Unabhängig von den aufgezeigten Erweiterungen entwickelte Okamoto den Standard-Ansatz von 1992 weiter, um das Kriterium der Unmittelbarkeit zu erreichen (Okamoto, 1996). Die nachstehenden Einheiten nehmen am Protokoll teil:

Dazu erweitert Okamoto sein Basissystem durch ein sicheres Bit-Commitment-Schema BC mit Hintertüre (Trapdoor). Nur der Client kennt den geheimen Schlüssel  (=Hintertüre) zur Chiffrierung des Wahlscheines. Mit dem korrespondierenden öffentlichen Schlüssel läßt sich ein vom Wähler festgelegtes Votum verifizieren.

Durch die Hintertüre  besitzt der Wähler die Möglichkeit, unterschiedliche Paare

etc.

zu erzeugen, so daß

gilt.

Wenn dem Wähler ein Votum  aufgezwungen wird, dann kann Client seine geheime Hintertüre  benützen, um ein identisches Funktionsergebnis

zu berechnen. Somit ist die vom Wähler erwünschte Wahlstrategie  versiegelt. Gleichzeitig scheint aus der Stimmenkäufer-Perspektive die Beziehung  zu gelten.

Vorbereitungsprotokoll

Wahlprotokoll der von einem unabhängigen Kommissionsmitglied kontrolliert wird.

Einspruchsprotokoll

Auswertungsprotokoll


Im folgenden skizzieren wir den Zero-Knowledge-Beweis, der pro Stimmengruppe durchgeführt werden muß. Mit einem Zero-Knowledge-Beweis zeigt der Auswertungs-Server, daß die empfangenen Stimmen  mit den Bit-Commitment-Funktionen korrespondieren und durch Anwendung korrekter Commitment-Schlüssel hervorgehen, ohne dabei den Zusammenhang zwischen  und  zu enthüllen. A veröffentlicht die Stimmen  die eine zufällige Permutation der geheimen Liste der Stimmen  darstellt, d.h.  ist eine zufällige Permutation aus I Elementen. Der Auswertungs-Server publiziert  und  im BBS. Dann zeigt er mit dem Zero-Knowledge-Beweis, daß er  kennt, so daß  gilt , ohne dabei  zu enthüllen (Details siehe: Okamoto, 1997).
 
 
 
Anforderungen (Beschreibung)
Authentifikation  Durch die Wähler-Signatur wird das Kriterium der Authentifikation im Vorbereitungsprotokoll sichergestellt.
Übertragungsintegrität Die Übertragungsintegrität gewährleistet das Zertifikat am Wahlschein.
Korrektheit Da alle abgegebenen Stimmen veröffentlicht werden, ist die Korrektheit der Auswertung global überprüfbar.
Verifizierbarkeit Durch den Zero-Knowledge-Beweis wird die korrekte Öffnung der Bit-Commitments nachgewiesen. Jeder Teilnehmer kann diesen Beweis überprüfen. 
Vertraulichkeit Die Vertraulichkeit der Kommunikation basiert auf dem Einsatz eines Mix-Netzes. 
Nichtvermehrbarkeit Für Nichtwähler vermag eine böswillige Wahlleitung Stimmen abzugeben. Um das Problem zu beheben, schlägt Okamoto in einer erweiterten Protokollvariante vor, blinde Wahlscheine durch mehrere Zertifizierungs-Server signieren zu lassen (Okamoto, 1996, S. 27). 
Nichtbeeinflußbarkeit Das Kriterium der Nichtbeeinflußbarkeit wird ohne Modifikation unbefriedigend erfüllt, da die Auswertungs-Server frühzeitig ihre Zwischenresultate zusammenschließen können.
Wahlgeheimnis Das Wahlgeheimnis wird im komplexitätstheoretischen Sinne erreicht.
Unmittelbarkeit Das Protokoll vermeidet den Stimmenkauf, wenn der Client die Hintertüre  eigenständig erzeugt. Wenn aber ZP/KF  selbst erzeugt und diesen Wert gegenüber dem Client geheim hält, dann ist der Wähler ohne Kenntnis von  nur imstande, eine vorgegebene Option eindeutig zu codieren, da Client nur den öffentlichen Schlüssel  kennt. 
Effizienz Der Zero-Knowledge-Beweis ist weitgehend unpraktikabel, da die Berechnungskomplexität für jede Gruppe hoch ist. So schlägt Okamoto vor, daß der Zero-Knowledge-Beweis für eine Stimmengruppe (k=128) Iterationen benötigt, die im BBS publiziert werden. Der Aufwand erscheint aus praktischer Sicht kaum realisierbar, da sich die im BBS aufgezeichneten Daten erheblich erhöhen. 
Skalierbarkeit Das System läßt sich gut skalieren.
Ortsunabhängigkeit Beide Szenarien sind realisierbar.
Flexibilität Alle mögliche Formate können unterstützt werden.
Änderbarkeit Die Änderbarkeit von Stimmen ist theoretisch denkbar, wenn Client einen neuen Commitment-Schlüssel erzeugt. Sie würde aber die Durchführung weiterer Zero-Knowledge-Beweise bedingen.

Um das Sicherheitsproblem der Unmittelbarkeit zu beheben, fordert Okamoto in einer neueren Variante den Einsatz unabhörbarer Kanäle:

"A physical apparatus is called an "untappable channel" for voter , if only  can send out a message m, to recipient R, and all others can know (information theoretically) nothing about m" (Okamoto, 1997, S. 5).

In dieser Protokollvariante muß jeder Client die geheime Hintertüre  in N Teile  aufspalten. Den Teil  und den öffentlichen Schlüssel  sendet der Client im Wahlzeitpunkt über einen anonymen unabhörbaren Kanal zu jeweils einer unabhängigen und vertrauenswürdigen Prüfinstanz Okamoto bezeichnet die Prüfeinheit als „Parameter Registration Committee“. Jede Instanz  berechnet daraufhin den korrespondierenden öffentlichen Teilschlüssel  den sie zusammen mit  im BBS publiziert. Aus dem öffentlichen Teilschlüssel berechnet der Auswertungs-Server den öffentlichen Schlüssel  Zudem sendet der Wähler im Wahlzeitpunkt die Nachricht

und 

über einen nichtabhörbaren anonymen Kanal zu einem Auswertungs-Server. Dabei stellt  die durch das blinde Zertifizierungsprotokoll gewonnene Signatur zu dem Paket  dar. Die Daten der Prüfinstanzen vergleichen die jeweiligen Auswertungs-Server mit den korrespondierenden Werten in. Die Unmittelbarkeit beruht auf der Prämisse, daß der Client die Teile  im Wahlzeitpunkt eigenständig über den nichtabhörbaren anonymen Kanal zu den unabhängigen Instanzen senden muß. Infolgedessen kennt der Wähler  und die zwangausübende Person kann die Hintertüre nicht mehr vor dem Wähler geheimhalten. An dieser Stelle bleibt festzuhalten, daß der Ansatz von Okamoto den Kommunikationsaufwand stark erhöht, somit von Unpraktikabilität geprägt ist.

4.7.1.9 Modifikationen durch Wähle-und-Teile-Verfahren

David Chaum entwickelte ein Verfahren, das ein bedingungslos nichtrückverfolgbaresSendeprotokoll zur Stimmabgabe benützt (Chaum, 1988a). Der Wahlschein wurde zuvor von einer vertrauenswürdigen Instanz durch Anwendung eines Wähle-und-Teile-Systems blind signiert. Allerdings ist der Aufwand extrem hoch und böswillige Wähler können das Protokoll durch manipulative Eingriffe stören. Infolgedessen muß die Wahl wiederholt werden. Wenn ein böswilliger Administrator Stimmen fehlerhaft auswertet, kann ein verifizierender Wähler keinen anonymen Einspruch erheben, ohne dabei seine Stimme enthüllen zu müssen (Horster/Michels, 1995).
 

Das Teile-und-Wähle-Protokoll garantiert mit hoher Wahrscheinlichkeit, daß vom Teilnehmer nur rechtsgültige Stimmen (einschließlich Blanko-Wahlschein) abgegeben werden. Dadurch wird verhindert, daß Z fehlerhafte Stimmen (bzw. beliebige Inhalte) zertifiziert. Das ist der Vorteil des Teile-Und-Wähle-Verfahrens gegenüber dem konventionellen blinden Signatur-Verfahren. Wird kein Teile-Und-Wähle-Verfahren eingesetzt, dann könnte der Wähler einen Wahlschein generieren, der unterschiedliche Pseudonymnummern enthält. Dadurch wäre der Wähler imstande, gleichzeitig für mehrere Optionen gültige Stimmen abzugeben.

Das Teile-und-Wähle-Protokoll realisiert die Eindeutigkeit der Stimmabgabe. Falls der Wähler versucht, sein Votum mehrfach einzureichen, erkennt die Wahlleitung diesen Angriff wegen der Verifikation der Pseudonymnummer gegenüber ihrer Datenbank (Schritt 9). Versucht ein Wähler, mehrere Wahlscheine unterzeichnen zu lassen, so wird dies im Schritt 3 verhindert.
 
 
 
Anforderungen (Beschreibung)
Authentifikation  Die Signatur ermöglicht die Identitätsprüfung. Unautorisierte Wähler können keine Stimme abgeben, solange das Client-Signaturschema sicher ist. 
Übertragungsintegrität Stimmen lassen sich nicht unbemerkt auf der Übertragungsstrecke modifizieren, da ein Angreifer nicht den Signaturschlüssel des Zertifizierungs-Servers hat. 
Korrektheit Die Korrektheit wird erfüllt, da Außenstehende +/- Wähler das Ergebnis verifizieren können.
Verifizierbarkeit Wird zusätzlich eine Liste aller eingereichten Stimmen und Pseudonymnummern veröffentlicht, so können Wähler verifizieren, ob ihre Stimme in das Wahlresultat eingegangen ist. Wenn ein Wähler die Modifikation seiner Stimme entdeckt, dann verfügt er über kein Beweismittel, um zu zeigen, daß Z seine Stimme änderte.
Vertraulichkeit Ein Mix-System garantiert die Vertraulichkeit der Kommunikation.
Nichtvermehrbarkeit Ein böswilliger Z kann unbemerkt eine Anzahl von Stimmen für Nichtwähler generieren und abgeben. 
Nichtbeeinflußbarkeit Nicht möglich, da der Auswertungs-Server die Ergebnisse frühzeitig zu ermitteln vermag.
Wahlgeheimnis Das blind geleistete Signaturprotokoll verhindert die Rückverfolgung der Pseudonymnummern, die zwar identifizierbar, doch nicht zuordenbar sind.
Unmittelbarkeit Das Protokoll erlaubt den uneingeschränkten Stimmenkauf sowie die Ausübung von Zwangsmaßnahmen.
Effizienz Der Kommunikationsaufwand zwischen Client und Zertifizierungs-Server ist hoch und steht in proportionaler Abhängigkeit zur Komplexität (Optionen) des Wahlscheins. 
Skalierbarkeit Die Massenanwendung erfordert eine gleichmäßige Verteilung der Zertifizierungs-Server. 
Ortsunabhängigkeit Netz- und Wahlzellen-Szenario sind uneingeschränkt realisierbar.
Flexibilität Die Flexibilität wird bei komplexen Formaten eingeschränkt. 
Änderbarkeit Wenn die Veränderbarkeit der Stimme erwünscht ist, zählt Z die letzte unter der gleichen Pseudonymnummer gesendete modifizierte Stimme.

Weiterentwicklungen unter der Prämisse der Effizienzsteigerung des Teile-und-Wähle-Verfahrens haben Borrell und Riera vorgenommen (Borell/Riera, 1999). Ein Wahlschein hat das Format , wobei  ist. Dabei bezeichnet H die Hash-Funktion, t die Wahloption und r einen angefügten Zufallsstring. Ferner ist elect ein Identifizierungsstring, der unabhängig vom Inhalt v das Format des Wahlscheins rechtsgültig macht und einer bestimmten Entscheidung eindeutig zuordnet.

Um der Erzeugung eines fehlerhaften Strings elect durch einen böswilligen Teilnehmer entgegenzuwirken, kommt das Teile-und-Wähle-Verfahren zum Einsatz, wobei wegen der sicheren Hash-Funktion der Wahlscheininhalt für den Zertifizierungs-Server verdeckt bleibt. Sendet der Client x unterschiedliche blinde Wahlscheine, so beträgt die Wahrscheinlichkeit, daß Z ein ungültiges Wahlscheinformat unterzeichnet 1/x. Die Unverknüpfbarkeit der einzelnen blinden Kandidaten erreicht Client, indem dieser zur Wahloption jeweils einen anderen Zufallsstring hinzufügt, bevor schließlich die Hash-Funktion angewendet wird.

4.7.2 Blinde Multisignatursysteme

Um die Administration zu hindern, für Nichtwähler Stimmen abzugeben, können auch blinde Multisignatursysteme benützt werden. Diese Unterart basiert auf der Idee, einen Wahlschein durch eine fixe Anzahl von n unabhängigen Zertifizierungs-Server blind signieren zu lassen. Beim trivialen Ansatz signiert jeder Zertifizierungs-Server den blinden Wahlschein durch Anwendung eines konventionellen blinden Signaturschemas. Daraus gehen n Signaturen hervor und die Länge der Wahlscheindaten reduziert die Effizienz. Im blinden Multisignaturschema von Horster, Michels und Petersen (Horster/Michels/Petersen, 1995) kann Client alle Signaturen zu einer einzigen kombinieren und dadurch akzeptable Effizienz erzielen. Nach dem Abschluß des blinden Multisignatursystems besitzt der Wähler eine Signatur zum Wahlschein, die eine Kombination aller Zertifizierungs-Server-Signaturen darstellt. Solange wenigstens eine Administration ehrlich arbeitet, kann keine Untermenge böswilliger Administrationen Stimmen für Nichtwähler abgeben. Am blinden Multisignaturprotokoll nehmen n Zertifizierungs-Server  teil. Der Server  benützt ein Multisignaturschema (S,V) sowie ein asymmetrisches Schlüsselpaar  Gemeinsam teilen die Zertifizierungs-Server einen öffentlichen Kollektivschlüssel  der durch Kombination der öffentlichen Teilschlüssel gebildet wird und zur Verifikation der Multisignatur dient.

4.7.2.1 Zertifizierungsprotokoll

Ein blindes Multisignaturprotokoll besteht aus einem interaktiven Protokoll zwischen Client und n Zertifizierungs-Server  wobei  den Algorithmus  ausführt. In der formalen Schreibweise bezeichnen wir das Protokoll als

und beschreiben schematisch die notwendigen Protokollschritte.

zu m, die von jedem Außenstehenden mit dem öffentlichen Kollektivschlüssel verifiziert werden kann.

Das Schema von Patrick Horster et al. benützt neben blinden Multisignaturen ein Multicodierungsschema, um das Kriterium der Nichtbeeinflußbarkeit zu erzielen. Bei einem Multicodierungsschema verschlüsselt Client das Votum mit dem Kollektivschlüssel  d.h.  Beim Dechiffrieren der Nachricht  müssen alle n Zertifizierungs-Server mitwirken, um die Nachricht entschlüsseln zu können. Beim Entschlüsseln muß jeder Zertifizierungs-Server mit seinem Teilschlüssel  dechiffrieren. Daraus resultiert die Nachricht  Jeder Zertifizierungs-Server beweist mit einem effizienten Zero-Knowledge-Beweis, daß die Dechiffrierung korrekt war. Das Votum wird aus einzelnen Teilentschlüsselungen durch einen öffentlichen Rekonstruktions-Algorithmus RAG ermittelt, d.h. 

4.7.2.2 Vorbereitungsprotokoll

         und erhält die Multisignatur zum chiffrierten Wahlschein 

4.7.2.3 Wahlprotokoll

Alle Schritte der Entschlüsselung werden im BBS publiziert.

4.7.2.4 Protestprotokoll

          über einen anonymen Kanal an eine vertrauenswürdige Instanz. 4.7.2.5 Auswertungsprotokoll
 
Anforderungen (Beschreibung)
Authentifikation  Der Wähler bekommt nur einen zertifizierten Wahlschein, da jeder Zertifizierungs-Server genau eine Signatur vom Wähler empfängt. 
Übertragungsintegrität Wegen des angenommenen sicheren anonymen Kanals wird das Kriterium der Übertragungsintegrität erreicht. 
Korrektheit Wenn Wähler und/oder eine unabhängige Instanz die Auswertung prüfen, dann ist die Korrektheit der Ermittlung gegeben. Beim kollektiven Entschlüsseln erzielt kein böswilliger  durch inkorrektes Dechiffrieren einen Gewinn, weil alle Entschlüsselungsschritte im BBS aufgezeichnet werden. 
Verifizierbarkeit Das System erreicht die individuelle Verifizierbarkeit. 
Vertraulichkeit Durch die Mix-Codierungen wird die Vertraulichkeit der Kommunikation erreicht.
Nichtvermehrbarkeit Wenn mindestens ein Zertifizierungs-Server ehrlich arbeitet, können keine Stimmen durch betrügerische Zertifizierungs-Server abgegeben werden.
Nichtbeeinflußbarkeit Solange wenigstens ein Zertifizierungs-Server seine Teilnahme beim Versuch, eingereichte Wahlscheine frühzeitig zu entschlüsseln, verweigert, so bleibt das Kriterium der Nichtbeeinflußbarkeit gewahrt. 
Wahlgeheimnis Das Schema benützt Mix-Systeme und realisiert Unrückverfolgbarkeit im komplexitätstheoretischen Sinne.
Unmittelbarkeit Unmittelbarkeit kann nicht erfüllt werden, da ZW/KF die Verwendung bestimmter Pseudonyme vor der Wahl verlangen kann. 
Effizienz Die Durchgangskomplexität beträgt zwei Durchgänge. Das System hat Effizienzverluste, da der Kommunikations- und Rechenaufwand relativ zum konventionellen blinden Signaturschema aufwendiger ist. 
Skalierbarkeit Bei großen Systemen bleibt ein einziger anonymer Kanal sehr aufwendig. Eine verteilte Struktur der Mix-Server erlaubt eine flexible Erweiterung des Systems. 
Ortsunabhängigkeit Dieser Ansatz unterstützt Netz-Szenario und Wahlzellen-Szenario 
Flexibilität Das Signaturschema ermöglicht den Einsatz beliebiger Formate.
Änderbarkeit Nicht möglich.

4.7.3 Authentifizierbare Abgabesysteme

Die Beta- und Gamma-Systeme sind erste Fallbeispiele für authentifizierbare Abgabesysteme, da diese blinde Signatursysteme einsetzen und BBS-signierte Mix-Datenpakete aufzeichnen und sichere Beweismittel zur Aufdeckung unzulässiger Stimmenvermehrung und -entfernung bereitstellen. Das Gamma-System kombiniert authentifizierbare Abgabesysteme mit einer Krypto-Hardware, um das Kriterium der Unmittelbarkeit zu erreichen. Unser Gamma-Protokoll ist verglichen mit den von Okamoto publizierten Verfahren (Okamoto, 1996, 1997) entscheidend effizienter, praktikabler und verhindert außerdem als erstes System Eingabenkontrolle und auch Ausgabenkontrolle durch ZP/KF.