Die Protokolle dieser Art erfüllen das Kriterium der Nichtrückverfolgbarkeit
Das Protokoll von Pfitzmann und Waidner (Pfitzmann/Waidner, 1992) ist eine Weiterentwicklung des DC-Netzes (Dining Cryptographers Network) (Chaum, 1988c) und erreicht unbedingte informationstheoretische Nichtrückverfolgbarkeit der Wahlschein-Übertragung. Somit wird unabhängig von der Rechenleistung langfristige Nichtrückverfolgbarkeit sichergestellt. Das Protokoll ist aber bei einer großen Teilnehmerzahl in der Praxis undurchführbar, da eine Teilnehmerstation mit jeder weiteren Station einen Einmalschlüssel teilen muß und komplexe Subprotokolle zur Fehler- und Manipulationserkennung eingesetzt werden. Die Einmalschlüssel müssen zuvor über einen informationstheoretisch sicheren Kanal ausgetauscht werden. Jedes mögliche Paar von Teilnehmern muß also einen gemeinsamen Schlüssel haben. Möchte eine Station eine anonyme Stimme abgeben, muß zumindest eine fixe Untermenge von Stationen gleichzeitig aktiv sein. Will eine Station eine Nachricht im binären Alphabet senden, dann addiert sie lokal durch eine EXOR-Verknüpfung zu ihrer Nachricht alle Schlüssel, die sie mit anderen Teilnehmern hält. Die Länge der Nachricht darf die Schlüssellänge nicht überschreiten. Die anderen Stationen führen die gleichen Operationen durch, wobei deren eigene unverschlüsselte Nachricht den Wert 0 besitzt. Dieser Addiervorgang wird als Überlagern bezeichnet. Jede Station publiziert das Resultat ihrer lokalen Überlagerung. Alle lokalen EXOR-Summen werden global durch EXOR-Verknüpfung überlagert, woraus die nichtrückverfolgbare Nachricht hervorgeht. Da jeder Schlüssel genau zweimal addiert wurde, heben sich nach der globalen Überlagerung alle Schlüsselzeichen weg, woraus die Nachricht resultiert. Sendet keine Teilnehmerstation, dann ist das Resultat gleich Null, sendet genau eine Teil-nehmerstation, dann ist das Resultat gleich der Nachricht. Übertragungskollisionen können entdeckt und durch entsprechende Protokolle aufgelöst werden. Außerdem er-lauben Aufdeckprotokolle das Ausforschen böswilliger Teilnehmer, falls sie das Protokoll stören. Aufgrund des hohen Aufwandes der Schlüsselverteilung und komplexer Zusatzprotokolle (z.B. zum Aufdecken böswilliger Teilnehmer) sind Mix-Systeme in unserer Zeit als einzige praktikable Methode für die Implementierung anonymer Kommunikation anzusehen (vgl. Jakobsson, 1998, 1999).
Als Fallbeispiel wird ein Schema von Pfleeger angegeben (Pfleeger, 1997), das eine Modifikation des Ansatzes von Meritt, Millo und Lynch (Meritt/Millo/Lynch 1982) darstellt. Jeder Client kontrolliert die asymmetrischen Verschlüsselungsschemen und sowie das Schlüsselpaar Da im Wahlschema mehrere Verschlüsselungsebenen benötigt werden, verkürzen wir unsere bisherige Definition des asymmetrischen Codierungsschemas: Der Algorithmus führt eine konventionelle Codierung auf Nachricht m mit Schlüssel aus, während Algorithmus der Nachricht m eine zufällig gewählte Zahl hinzufügt. Es wird angenommen, daß ein Votum aus einer Verifikationsnummer und der Wahlentscheidung besteht. Die Codierung durch die -Algorithmen dienen der Anonymisierung. Beim Anonymisierungsprotokoll kann jeder Wähler sein Votum eindeutig identifizieren, da nur er seine Codierungen kennt. Anhand der Verifikationsnummer prüft der Wähler, ob seine Stimme im Resultat erscheint. Wir nehmen außerdem an, daß alle öffentlichen Wählerschlüssel von TC zuvor zertifiziert wurden. Jeder Client besitzt die öffentlichen Schlüssel aller anderen Teilnehmer.
4.9.1 Konventionelles administrationsloses Protokoll
4.9.1.1 Wahlprotokoll
4.9.1.2 Anonymisierungsprotokoll
Nach Ende des Anonymisierungsprotokolls haben alle entschlüsselten Nachrichten die Form (in zufälliger Reihenfolge)
Die Zwischenergebnisse jeder Entschlüsselungsstufe
können publiziert werden, ohne dabei die Anonymität zu gefährden.
Die eingebetteten Zufallszahlen des Anonymisierungsprotokolls müssen
hingegen von den Teilnehmern geheim gehalten werden. Ausgehend vom Resultat
kann jeder Teilnehmer die Entschlüsselungskette
der Öffnungsphase rückverfolgen, da die Codierung auf einem konventionellen
Schema basiert. In dieser Kette ist ein Protokollfortschritt vorwärts
(Entschlüsseln) nur für den Inhaber des geheimen Schlüssels
durchführbar. Gleichzeitig macht die Möglichkeit des Rückverfolgens
böswillige Eingriffe aufdeckbar. Sobald ein Teilnehmer die Protokollausführung
verweigert, kann die Wahl nicht mehr fortgesetzt werden. Daher müssen
alle Client-Systeme während der Protokollausführung funktionieren.
Auch ist der fixe Teilnehmerkreis vor Wahlbeginn zu identifizieren. Ein
Teilnehmer hat letztlich die Aufgabe, die Teilnehmerliste (öffentlicher
Schlüssel), Auswertungsliste und Resultat darzustellen.
|
|
Authentifikation | Nehmen wir an, daß eine unberechtigte Person wählen kann. Dann muß ihr Schlüssel in der Liste der Codierungsschlüssel, die jeder Teilnehmer besitzt, erscheinen. Das würde bedeuten, daß diese Person den geheimen Schlüssel eines anderen Teilnehmers besitzt, was wiederum einen Widerspruch zur Annahme des sicheren Teilnehmer-Signaturschemas liefert. |
Übertragungsintegrität | Kein Außenstehender kann unbemerkt eine Stimme durch seine eigene ersetzen, da der betreffende Teilnehmer die Modifikation aufgrund seiner Verifikation entdeckt. Versucht ein böswilliger Teilnehmer während des Öffnungsprotokolls, Stimmen abzuändern, dann kann der Betrugsversuch aufgedeckt werden. Da jeder Teilnehmer die Menge seiner entschlüsselten Daten mit Signatur an alle Teilnehmer sendet, kann der Angreifer via Backtracking unwiderlegbar rückverfolgt werden. |
Korrektheit | Wenn alle Wähler das Protokoll vollständig ausführen, dann ist das Wahlresultat vertrauenswürdig. |
Verifizierbarkeit | Das Öffnungsprotokoll erlaubt das Rückverfolgen böswilliger Client-Systeme. Nur eine Person darf das Öffnungsprotokoll fortsetzen. Sie bringt es genau einen Schritt nach vorne. Jeder Wähler kann die Korrektheit des Öffnungsprotokolls und der Auswertung individuell verifizieren. Da jeder Wähler seinen Bearbeitungsschritt signiert, können Störungsversuche zum Angreifer rückverfolgt werden. |
Vertraulichkeit | Durch Codierung der Wahlscheine ist die Vertraulichkeit sichergestellt. |
Nichtvermehrbarkeit | Wir nehmen an, daß die eingesetzten Codierungs- und Signaturschemen sicher sind. Um zweimal wählen zu können, benötigt ein böswilliger Wähler den geheimen Schlüssel eines anderen Teilnehmers. Er war imstande, das Signaturschema zu brechen. Dies widerspricht aber der Sicherheitsannahme. Jeder Wähler kann nur einmal wählen, da nur n Voten abgegeben werden können. Die Teilnehmerliste ist für alle Wähler verifizierbar. Jeder Wähler überprüft im Anonymisierungsprotokoll, ob sich sein chiffriertes Votum unter den empfangenen Daten befindet. |
Nichtbeeinflußbarkeit | Das System ist auch nichtbeeinflußbar, da das Öffnungsprotokoll nach Ende der Wahlzeit abgewickelt wird. |
Wahlgeheimnis | Die 2-Stufige Codierung gewährleistet die Anonymität der Stimmabgabe im komplexitätstheoretischen Sinne. Die eingesetzten Zufallszahlen garantieren eine sichere Codierung. |
Unmittelbarkeit | Unmöglich, da Zufallswerte im Voraus festgelegt werden können. |
Effizienz | Der Kommunikations- und Berechnungsaufwand ist sehr hoch, wenn die Anzahl der Wähler groß ist. Deswegen ist dieses Schema nur für Wahlen in kleinen Gruppen praktikabel (z.B. N=20). |
Skalierbarkeit | Das System ist praktisch nur für kleine Gruppen ausführbar. |
Ortsunabhängigkeit | Ein Wahlzellen-Szenario ist praktisch kaum realisierbar, da eine fixe Personenzahl gleichzeitig in mehren Wahlzellen das Protokoll ausführen müßte. Ein Netz-Szenario kann aber durchgeführt werden. |
Flexibilität | Der Flexibilität des Wahlscheins sind keine Grenzen gesetzt. |
Änderbarkeit | Nicht möglich, es sei den, alle Teilnehmer starten das Protokoll erneut. |