4.8 Verdeckte Auswertungssysteme

Verdeckte Auswertungssysteme erreichen die Geheimhaltung der Stimmabgabe durch Codierung der Wahlscheine mit einem oder mehreren öffentlichen Schlüsseln der Auswertungs-Server (bzw. Administrationen) sowie durch Anwendung eines verdeckten Aggregations-Algorithmus. Das Wahlgeheimnis ist dann gewahrt, wenn mindestens ein Auswertungs-Server bzw. eine administrative Einheit korrekt arbeitet, was das Grundprinzip dieser Art darstellt. Solange nicht alle Einheiten miteinander konspirieren, bleibt die Anonymität aufrechterhalten.
Wegen der Chiffrierung der Wahlscheine können die Beteiligten und Außenstehenden die einzelnen Stimminhalte nicht erkennen, doch ist die Korrektheit der verdeckten Auswertung durch die Anwendung öffentlicher Verifikationsalgorithmen nachvollziehbar und erzwingbar. Diese basieren auf homomorpher Codierung (d.h. die Codierungsfunktion hat die Eigenschaft, daß gilt).

4.8.1 Wahlscheinverteilende verdeckte Auswertungssysteme

Eine Methode der verdeckten Auswertung beruht auf der Anwendung eines verifizierbaren Secret-Sharing-Algorithmus (Geheimniszerlegung), wobei der Client das Votum auf mehrere unabhängige administrative Einheiten verteilt (wahlscheinverteilende verdeckte Auswertungssysteme). Hierbei zerlegt Client sein Votum in mehrere Teilstimmen, die er auf eine fixe Menge unabhängiger Auswertungs-Server verteilt. Jede chiffrierte Teilstimme sendet der Client zu genau einem Auswertungs-Server. Im BBS publiziert Client einen öffentlichen Zero-Knowledge-Beweis, aus dem hervorgeht, daß sein Votum korrekt gewählt wurde. Jeder Auswertungs-Server wird von einer anderen Administration kontrolliert. Dieser entschlüsselt auch die empfangenen Teilstimmen, die er unbedingt geheim hält. Dem Wahlschema liegt ein verifizierbares Secret-Sharing-Schema zugrunde, bei dem der Auswertungs-Server überprüfen kann, ob er tatsächlich eine gültige Teilstimme erhalten hat. Jeder Auswertungs-Server bildet sein lokales Aggregat aller empfangenen Teilwerte, das er anschließend im BBS veröffentlicht. Das globale Aggregat geht aus der Verknüpfung der lokalen Aggregate hervor. Ersteres repräsentiert das Endresultat. Außerdem kann jeder Teilnehmer die lokalen und globalen Aggregate prüfen, ohne dabei die Teilstimmen der Wähler zu kennen (universelle Verifikation).

Eine Reihe von Protokollvariationen, die diesem Schema folgen, zeichnen sich durch komplexe Algorithmen und geringe Effizienz aus (z.B. Sako/Kilian, 1994). Es wird hier auf die Angabe eines Schemas verzichtet. Verbesserungen der Effizienz wurden neuerdings von den Kryptographen Cramer, Franklin, Shoenmakers und Yung vorgenommen (Cramer/Franklin/Schoenmakers/Yung, 1996). Benaloh und Tuinstra lösten das Kriterium der Unmittelbarkeit mit sehr hohem Aufwand und unter der Annahme gesicherter E-Wahlzellen, so daß dieses Protokoll unpraktikabel ist (Benaloh/Tuinstra, 1994). Die Möglichkeiten der Wahlscheinformate sind weitgehend auf Ja/Nein Entscheidungen reduziert und die Effizienz verringert sich mit der Zunahme der Komplexität des Abfrageformates.

4.8.2 Wahlscheinaggregierende verdeckte Auswertungssysteme

Eine andere Unterart basiert auf der Verallgemeinerung des Verfahrens von Cramer, Gennaro und Schoenmakers (Cramer/Gennaro/Schoenmakers, 1997), das auf die geheime Verteilung des Wahlscheins verzichtet und mithin eine effiziente Weiterentwicklung der Ideen von Cohen und Fischer (Cohen/Fischer, 1985), Benaloh und Yung (Benaloh/Yung, 1986) darstellt. In diesem Ansatz chiffriert Client sein Votum mit einem homomorphen Codierungsschema, das eine Auswertung ohne Entschlüsselung der Teilstimmen realisiert. Mit einem Zero-Knowledge-Beweis zeigt Client, daß sein Wahlscheininhalt korrekt ist. Der codierte Wahlschein, Wählersignatur und Zero-Knowledge-Beweis sind für jeden Teilnehmer öffentlich prüfbar. Der Aggregations-Algorithmus nützt die günstigen Eigenschaften des homomorphen Codierungsschemas aus: Die chiffrierten Wahlscheine werden beim Auswerten implizit miteinander verknüpft, wodurch das codierte Endergebnis hervorgeht. Damit vollzieht sich eine verschlüsselte Auswertung. Die Administrationen teilen den geheimen Schlüssel zur Entschlüsselung des Resultates durch Anwendung eines robusten Schwellenwertschemas. Der Ansatz von Cramer, Gennaro und Schoenmakers wird im folgenden kurz skizziert und besteht aus den nachstehenden Hauptkomponenten:

4.8.2.1 Homomorphes Verschlüsselungsschema

Das homomorphe Verschlüsselungsschema (EH,DH) stellt hinsichtlich der Operationen + und * eine Gruppe dar. Wenn  die Stimmen der m Teilnehmer, (x,y) ein asymmetrisches Schlüsselpaar und  die codierten Stimmen sind, dann folgt aufgrund der Homomorphismus-Eigenschaft die Beziehung:

.

Stammen alle Elemente  aus der Menge {1,-1}, dann ergibt sich durch Entschlüsseln von  die Differenz zwischen Ja-Stimmen und Nein-Stimmen. Der Operator  führt dabei eine Addition und der Operator * eine Multiplikation durch.
 

4.8.2.2 Robuste Schwellenwertschema

Das robuste Schwellenwertschema wird mit dem homomorphen Codierungsschema gekoppelt. Ersteres dient der Verteilung des geheimen Dechiffrierschlüssels x auf die Auswertungs-Server. Wenn mindestens eine vordefinierte minimale Anzahl von Auswertungs-Server miteinander kooperieren, dann ist ein korrektes Entschlüsseln möglich. Im Normalfall ist davon auszugehen, daß alle Auswertungs-Server korrekt arbeiten. Falls k <= n-t böswillige Auswertungs-Server fehlerhaft arbeiten, kann die korrekte Entschlüsselung trotzdem sichergestellt werden (Robustheit). n bezeichnet die Anzahl der Auswertungsserver und t den Schwellenwert.

Das Schwellenwertschema schließt zwei Algorithmen ein:

4.8.2.3 Wahlprotokoll

Nachdem die Auswertungs-Server das Schwellenwertschema ausführten, publizieren sie den öffentlichen Kollektivschlüssel y. Seine Gültigkeit kann öffentlich verifiziert werden.

Sind alle Zero-Knowledge-Beweise richtig, dann geht ein universell verifizierbares Resultat hervor.
 
 
Anforderungen (Beschreibung)
Authentifikation  Die Authentifikation und Gleichheit wird sichergestellt, indem jeder Wähler eine Signatur zum BBS sendet. 
Übertragungsintegrität Durch die Signatur zu den codierten Stimmen wird die Übertragungsintegrität sichergestellt.
Korrektheit Jeder Außenstehende kann die Korrektheit der Ergebnisermittlung nachvollziehen. 
Verifizierbarkeit Das System erreicht universelle Verifizierbarkeit, da eine einzige Person ausreicht, um die gesamte Auswertung zu verifizieren. 
Vertraulichkeit Da der Client das Votum mit einem sicheren Codierungsalgorithmus chiffriert, folgt die Vertraulichkeit der Kommunikation.
Nichtvermehrbarkeit Der Wähler sendet sein signiertes Votum zum BBS, dadurch kann jeder Beteiligte überprüfen, wer eine Stimme abgegeben hat und wer nicht. Die Vermehrung der Stimmen ist somit ausgeschlossen.
Nichtbeeinflußbarkeit Solange ein Auswertungs-Server ehrlich bleibt, ist eine vorzeitige Ermittlung der Endresultate nicht möglich.
Wahlgeheimnis Das Wahlgeheimnis basiert auf der komplexitätstheoretischen Annahme, daß niemand die chiffrierten Voten entschlüsseln kann. Außerdem dürfen die Auswertungs-Server ihre gemeinsam geteilten Geheimschlüssel nicht zusammenschließen. 
Unmittelbarkeit Nicht möglich.
Effizienz Das System hat bei einfachen Formaten einen moderaten Aufwand. Diese Ausführung bezieht sich auf die konkrete kryptographische Realisierung des Systems, die einen effizienten Zero-Knowledge-Beweis (spezieller Trick) für einfache Formate (z.B. Ja/Nein) unterstützt. Die Kommunikations- und Rechenkomplexität ist minimal. Demgegenüber bekommt das Schema im Falle komplexer Formate Probleme, da weitgehend aufwendige Zero-Knowledge-Beweise erforderlich sind. "...the schemes are limited to only yes/no voting. Although they can be extended to multiple value voting, the complexity increases a lot" (Okamoto, 1996, S. 22). Die Abgabe von Voten ist in einem Durchgang möglich, ohne die individuelle Verifikation zu benötigen. 
Skalierbarkeit Das System zeichnet sich durch eine gute Skalierbarkeit aus. 
Ortsunabhängigkeit Netz-Szenario und Wahlzellen-Szenario lassen sich anwenden.
Flexibilität Das System erlaubt nur binäre Entscheidungen und Multiple-Choice-Voten. Komplexe Formate machen das System ineffizient und in Extremfällen unrealisierbar. 
Änderbarkeit Während der Wahlzeit können Änderungen durchgeführt werden.