die Stimmen der m Teilnehmer, (x,y) ein asymmetrisches
Schlüsselpaar und 
die codierten Stimmen sind, dann folgt aufgrund der Homomorphismus-Eigenschaft
die Beziehung:
gilt).
4.8.1 Wahlscheinverteilende verdeckte Auswertungssysteme
Eine Methode der verdeckten Auswertung beruht auf der Anwendung eines verifizierbaren Secret-Sharing-Algorithmus (Geheimniszerlegung), wobei der Client das Votum auf mehrere unabhängige administrative Einheiten verteilt (wahlscheinverteilende verdeckte Auswertungssysteme). Hierbei zerlegt Client sein Votum in mehrere Teilstimmen, die er auf eine fixe Menge unabhängiger Auswertungs-Server verteilt. Jede chiffrierte Teilstimme sendet der Client zu genau einem Auswertungs-Server. Im BBS publiziert Client einen öffentlichen Zero-Knowledge-Beweis, aus dem hervorgeht, daß sein Votum korrekt gewählt wurde. Jeder Auswertungs-Server wird von einer anderen Administration kontrolliert. Dieser entschlüsselt auch die empfangenen Teilstimmen, die er unbedingt geheim hält. Dem Wahlschema liegt ein verifizierbares Secret-Sharing-Schema zugrunde, bei dem der Auswertungs-Server überprüfen kann, ob er tatsächlich eine gültige Teilstimme erhalten hat. Jeder Auswertungs-Server bildet sein lokales Aggregat aller empfangenen Teilwerte, das er anschließend im BBS veröffentlicht. Das globale Aggregat geht aus der Verknüpfung der lokalen Aggregate hervor. Ersteres repräsentiert das Endresultat. Außerdem kann jeder Teilnehmer die lokalen und globalen Aggregate prüfen, ohne dabei die Teilstimmen der Wähler zu kennen (universelle Verifikation).
Eine Reihe von Protokollvariationen, die diesem Schema folgen, zeichnen sich durch komplexe Algorithmen und geringe Effizienz aus (z.B. Sako/Kilian, 1994). Es wird hier auf die Angabe eines Schemas verzichtet. Verbesserungen der Effizienz wurden neuerdings von den Kryptographen Cramer, Franklin, Shoenmakers und Yung vorgenommen (Cramer/Franklin/Schoenmakers/Yung, 1996). Benaloh und Tuinstra lösten das Kriterium der Unmittelbarkeit mit sehr hohem Aufwand und unter der Annahme gesicherter E-Wahlzellen, so daß dieses Protokoll unpraktikabel ist (Benaloh/Tuinstra, 1994). Die Möglichkeiten der Wahlscheinformate sind weitgehend auf Ja/Nein Entscheidungen reduziert und die Effizienz verringert sich mit der Zunahme der Komplexität des Abfrageformates.
4.8.2 Wahlscheinaggregierende verdeckte Auswertungssysteme
Eine andere Unterart basiert auf der Verallgemeinerung des Verfahrens von Cramer, Gennaro und Schoenmakers (Cramer/Gennaro/Schoenmakers, 1997), das auf die geheime Verteilung des Wahlscheins verzichtet und mithin eine effiziente Weiterentwicklung der Ideen von Cohen und Fischer (Cohen/Fischer, 1985), Benaloh und Yung (Benaloh/Yung, 1986) darstellt. In diesem Ansatz chiffriert Client sein Votum mit einem homomorphen Codierungsschema, das eine Auswertung ohne Entschlüsselung der Teilstimmen realisiert. Mit einem Zero-Knowledge-Beweis zeigt Client, daß sein Wahlscheininhalt korrekt ist. Der codierte Wahlschein, Wählersignatur und Zero-Knowledge-Beweis sind für jeden Teilnehmer öffentlich prüfbar. Der Aggregations-Algorithmus nützt die günstigen Eigenschaften des homomorphen Codierungsschemas aus: Die chiffrierten Wahlscheine werden beim Auswerten implizit miteinander verknüpft, wodurch das codierte Endergebnis hervorgeht. Damit vollzieht sich eine verschlüsselte Auswertung. Die Administrationen teilen den geheimen Schlüssel zur Entschlüsselung des Resultates durch Anwendung eines robusten Schwellenwertschemas. Der Ansatz von Cramer, Gennaro und Schoenmakers wird im folgenden kurz skizziert und besteht aus den nachstehenden Hauptkomponenten:
Das homomorphe Verschlüsselungsschema (EH,DH)
stellt hinsichtlich der Operationen + und * eine Gruppe dar. Wenn
die Stimmen der m Teilnehmer, (x,y) ein asymmetrisches
Schlüsselpaar und
die codierten Stimmen sind, dann folgt aufgrund der Homomorphismus-Eigenschaft
die Beziehung:
.
Stammen alle Elemente 
aus der Menge {1,-1}, dann ergibt sich durch Entschlüsseln
von 
die
Differenz zwischen Ja-Stimmen und Nein-Stimmen. Der Operator 
führt dabei eine Addition und der Operator * eine Multiplikation durch.
4.8.2.2 Robuste Schwellenwertschema
Das robuste Schwellenwertschema wird mit dem homomorphen Codierungsschema gekoppelt. Ersteres dient der Verteilung des geheimen Dechiffrierschlüssels x auf die Auswertungs-Server. Wenn mindestens eine vordefinierte minimale Anzahl von Auswertungs-Server miteinander kooperieren, dann ist ein korrektes Entschlüsseln möglich. Im Normalfall ist davon auszugehen, daß alle Auswertungs-Server korrekt arbeiten. Falls k <= n-t böswillige Auswertungs-Server fehlerhaft arbeiten, kann die korrekte Entschlüsselung trotzdem sichergestellt werden (Robustheit). n bezeichnet die Anzahl der Auswertungsserver und t den Schwellenwert.
Das Schwellenwertschema schließt zwei Algorithmen ein:
einen geheimen Teilschlüssel 
sowie den öffentlichen Kollektivschlüssel y. Der Algorithmus
stellt sicher, daß kein Auswertungs-Server den Dechiffrierungsschlüssel
x
kennt. Sobald mindestens ein Auswertungs-Server fehlerhaft arbeitet, terminiert
das Protokoll.Nachdem die Auswertungs-Server das Schwellenwertschema ausführten, publizieren sie den öffentlichen Kollektivschlüssel y. Seine Gültigkeit kann öffentlich verifiziert werden.
sendet eine Signatur, seine codierte Stimmabgabe 
mit seiner Signatur und einen Zero-Knowledge-Beweis 
aus dem hervorgeht, daß 
ein Element der Menge 
ist, zum BBS. Der Zero-Knowledge-Beweis kann für einfache Formate
effizient realisiert werden. Der Verschlüsselungsalgorithmus EH
verhindert
auch Chosen-Plaintext-Angriffe (durch Codierung mit einer Zufallszahl)
(Realisierung siehe: Cramer/Gennaro/Schoenmakers, 1997).
.|
|
|
| Authentifikation | Die Authentifikation und Gleichheit wird sichergestellt, indem jeder Wähler eine Signatur zum BBS sendet. |
| Übertragungsintegrität | Durch die Signatur zu den codierten Stimmen wird die Übertragungsintegrität sichergestellt. |
| Korrektheit | Jeder Außenstehende kann die Korrektheit der Ergebnisermittlung nachvollziehen. |
| Verifizierbarkeit | Das System erreicht universelle Verifizierbarkeit, da eine einzige Person ausreicht, um die gesamte Auswertung zu verifizieren. |
| Vertraulichkeit | Da der Client das Votum mit einem sicheren Codierungsalgorithmus chiffriert, folgt die Vertraulichkeit der Kommunikation. |
| Nichtvermehrbarkeit | Der Wähler sendet sein signiertes Votum zum BBS, dadurch kann jeder Beteiligte überprüfen, wer eine Stimme abgegeben hat und wer nicht. Die Vermehrung der Stimmen ist somit ausgeschlossen. |
| Nichtbeeinflußbarkeit | Solange ein Auswertungs-Server ehrlich bleibt, ist eine vorzeitige Ermittlung der Endresultate nicht möglich. |
| Wahlgeheimnis | Das Wahlgeheimnis basiert auf der komplexitätstheoretischen Annahme, daß niemand die chiffrierten Voten entschlüsseln kann. Außerdem dürfen die Auswertungs-Server ihre gemeinsam geteilten Geheimschlüssel nicht zusammenschließen. |
| Unmittelbarkeit | Nicht möglich. |
| Effizienz | Das System hat bei einfachen Formaten einen moderaten Aufwand. Diese Ausführung bezieht sich auf die konkrete kryptographische Realisierung des Systems, die einen effizienten Zero-Knowledge-Beweis (spezieller Trick) für einfache Formate (z.B. Ja/Nein) unterstützt. Die Kommunikations- und Rechenkomplexität ist minimal. Demgegenüber bekommt das Schema im Falle komplexer Formate Probleme, da weitgehend aufwendige Zero-Knowledge-Beweise erforderlich sind. "...the schemes are limited to only yes/no voting. Although they can be extended to multiple value voting, the complexity increases a lot" (Okamoto, 1996, S. 22). Die Abgabe von Voten ist in einem Durchgang möglich, ohne die individuelle Verifikation zu benötigen. |
| Skalierbarkeit | Das System zeichnet sich durch eine gute Skalierbarkeit aus. |
| Ortsunabhängigkeit | Netz-Szenario und Wahlzellen-Szenario lassen sich anwenden. |
| Flexibilität | Das System erlaubt nur binäre Entscheidungen und Multiple-Choice-Voten. Komplexe Formate machen das System ineffizient und in Extremfällen unrealisierbar. |
| Änderbarkeit | Während der Wahlzeit können Änderungen durchgeführt werden. |
