4.9 Administrationslose Systeme

Die letzte Art bezeichnen wir als administrationslose Systeme, da keine Administration zur Identitätsprüfung und Auswertung benötigt wird. Statt dessen sind die administrativen Aufgaben implizit in ein sicheres Protokoll integriert. Alle sicheren Berechnungen führen die Wähler eigenständig aus. Administrationslose Systeme setzen Mehrparteienprotokolle ein. Diese werden auch als Berechnungen mit mehreren Parteien bezeichnet. Ein solches Protokoll führt eine Gruppe von Teilnehmern aus, um durch einen vorgegebenen Algorithmus eine Funktionen mit mehreren Variablen zu berechnen. Jeder Teilnehmer trägt bei dieser Berechnung mindestens einen Eingabeparameter bei. Das Protokollergebnis ist für alle Teilnehmer ersichtlich und kann von allen publiziert werden. Kein Beteiligter gewinnt Informationen über die Eingabewerte der anderen, außer von jenen Informationen, die aus dem Funktionsergebnis hervorgehen.

Die Protokolle dieser Art erfüllen das Kriterium der Nichtrückverfolgbarkeit

Die entscheidende Schwäche der Mehrparteienprotokolle liegt im extrem hohen Berechnungsaufwand und der wechselseitigen Abhängigkeiten der Teilnehmer, so daß solche Verfahren nur theoretische Relevanz haben. Jedoch könnte eine kleine kommunitäre Gruppe solche Protokolle einsetzen.

Das Protokoll von Pfitzmann und Waidner (Pfitzmann/Waidner, 1992) ist eine Weiterentwicklung des DC-Netzes (Dining Cryptographers Network) (Chaum, 1988c) und erreicht unbedingte informationstheoretische Nichtrückverfolgbarkeit der Wahlschein-Übertragung. Somit wird unabhängig von der Rechenleistung langfristige Nichtrückverfolgbarkeit sichergestellt. Das Protokoll ist aber bei einer großen Teilnehmerzahl in der Praxis undurchführbar, da eine Teilnehmerstation mit jeder weiteren Station einen Einmalschlüssel teilen muß und komplexe Subprotokolle zur Fehler- und Manipulationserkennung eingesetzt werden. Die Einmalschlüssel müssen zuvor über einen informationstheoretisch sicheren Kanal ausgetauscht werden. Jedes mögliche Paar von Teilnehmern muß also einen gemeinsamen Schlüssel haben. Möchte eine Station eine anonyme Stimme abgeben, muß zumindest eine fixe Untermenge von Stationen gleichzeitig aktiv sein. Will eine Station eine Nachricht im binären Alphabet senden, dann addiert sie lokal durch eine EXOR-Verknüpfung zu ihrer Nachricht alle Schlüssel, die sie mit anderen Teilnehmern hält. Die Länge der Nachricht darf die Schlüssellänge nicht überschreiten. Die anderen Stationen führen die gleichen Operationen durch, wobei deren eigene unverschlüsselte Nachricht den Wert 0 besitzt. Dieser Addiervorgang wird als Überlagern bezeichnet. Jede Station publiziert das Resultat ihrer lokalen Überlagerung. Alle lokalen EXOR-Summen werden global durch EXOR-Verknüpfung überlagert, woraus die nichtrückverfolgbare Nachricht hervorgeht. Da jeder Schlüssel genau zweimal addiert wurde, heben sich nach der globalen Überlagerung alle Schlüsselzeichen weg, woraus die Nachricht resultiert. Sendet keine Teilnehmerstation, dann ist das Resultat gleich Null, sendet genau eine Teil-nehmerstation, dann ist das Resultat gleich der Nachricht. Übertragungskollisionen können entdeckt und durch entsprechende Protokolle aufgelöst werden. Außerdem er-lauben Aufdeckprotokolle das Ausforschen böswilliger Teilnehmer, falls sie das Protokoll stören. Aufgrund des hohen Aufwandes der Schlüsselverteilung und komplexer Zusatzprotokolle (z.B. zum Aufdecken böswilliger Teilnehmer) sind Mix-Systeme in unserer Zeit als einzige praktikable Methode für die Implementierung anonymer Kommunikation anzusehen (vgl. Jakobsson, 1998, 1999).

Als Fallbeispiel wird ein Schema von Pfleeger angegeben (Pfleeger, 1997), das eine Modifikation des Ansatzes von Meritt, Millo und Lynch (Meritt/Millo/Lynch 1982) darstellt. Jeder Client  kontrolliert die asymmetrischen Verschlüsselungsschemen  und  sowie das Schlüsselpaar  Da im Wahlschema mehrere Verschlüsselungsebenen benötigt werden, verkürzen wir unsere bisherige Definition des asymmetrischen Codierungsschemas: Der Algorithmus  führt eine konventionelle Codierung auf Nachricht m mit Schlüssel  aus, während Algorithmus  der Nachricht m eine zufällig gewählte Zahl  hinzufügt. Es wird angenommen, daß ein Votum  aus einer Verifikationsnummer und der Wahlentscheidung besteht. Die Codierung durch die -Algorithmen dienen der Anonymisierung. Beim Anonymisierungsprotokoll kann jeder Wähler sein Votum eindeutig identifizieren, da nur er seine Codierungen kennt. Anhand der Verifikationsnummer prüft der Wähler, ob seine Stimme im Resultat erscheint. Wir nehmen außerdem an, daß alle öffentlichen Wählerschlüssel von TC zuvor zertifiziert wurden. Jeder Client besitzt die öffentlichen Schlüssel aller anderen Teilnehmer.

4.9.1 Konventionelles administrationsloses Protokoll

4.9.1.1 Wahlprotokoll

Jeder Teilnehmer sendet sein verschlüsseltes Votum  zu Client 

4.9.1.2 Anonymisierungsprotokoll

führen ebenfalls Schritt 2 durch.

Nach Ende des Anonymisierungsprotokolls haben alle entschlüsselten Nachrichten die Form (in zufälliger Reihenfolge)

4.9.1.3 Öffnungsprotokoll Folgende Entschlüsselungskette zeigt die Vollständigkeit des Protokolls

Die Zwischenergebnisse jeder Entschlüsselungsstufe können publiziert werden, ohne dabei die Anonymität zu gefährden. Die eingebetteten Zufallszahlen des Anonymisierungsprotokolls müssen hingegen von den Teilnehmern geheim gehalten werden. Ausgehend vom Resultat kann jeder Teilnehmer die Entschlüsselungskette  der Öffnungsphase rückverfolgen, da die Codierung auf einem konventionellen Schema basiert. In dieser Kette ist ein Protokollfortschritt vorwärts (Entschlüsseln) nur für den Inhaber des geheimen Schlüssels durchführbar. Gleichzeitig macht die Möglichkeit des Rückverfolgens böswillige Eingriffe aufdeckbar. Sobald ein Teilnehmer die Protokollausführung verweigert, kann die Wahl nicht mehr fortgesetzt werden. Daher müssen alle Client-Systeme während der Protokollausführung funktionieren. Auch ist der fixe Teilnehmerkreis vor Wahlbeginn zu identifizieren. Ein Teilnehmer hat letztlich die Aufgabe, die Teilnehmerliste (öffentlicher Schlüssel), Auswertungsliste und Resultat darzustellen.
 
 
 
Anforderungen (Beschreibung)
Authentifikation  Nehmen wir an, daß eine unberechtigte Person wählen kann. Dann muß ihr Schlüssel in der Liste der Codierungsschlüssel, die jeder Teilnehmer besitzt, erscheinen. Das würde bedeuten, daß diese Person den geheimen Schlüssel eines anderen Teilnehmers besitzt, was wiederum einen Widerspruch zur Annahme des sicheren Teilnehmer-Signaturschemas liefert.
Übertragungsintegrität Kein Außenstehender kann unbemerkt eine Stimme durch seine eigene ersetzen, da der betreffende Teilnehmer die Modifikation aufgrund seiner Verifikation entdeckt. Versucht ein böswilliger Teilnehmer während des Öffnungsprotokolls, Stimmen abzuändern, dann kann der Betrugsversuch aufgedeckt werden. Da jeder Teilnehmer die Menge seiner entschlüsselten Daten mit Signatur an alle Teilnehmer sendet, kann der Angreifer via Backtracking unwiderlegbar rückverfolgt werden.
Korrektheit Wenn alle Wähler das Protokoll vollständig ausführen, dann ist das Wahlresultat vertrauenswürdig.
Verifizierbarkeit Das Öffnungsprotokoll erlaubt das Rückverfolgen böswilliger Client-Systeme. Nur eine Person darf das Öffnungsprotokoll fortsetzen. Sie bringt es genau einen Schritt nach vorne. Jeder Wähler kann die Korrektheit des Öffnungsprotokolls und der Auswertung individuell verifizieren. Da jeder Wähler seinen Bearbeitungsschritt signiert, können Störungsversuche zum Angreifer rückverfolgt werden.
Vertraulichkeit Durch Codierung der Wahlscheine ist die Vertraulichkeit sichergestellt.
Nichtvermehrbarkeit Wir nehmen an, daß die eingesetzten Codierungs- und Signaturschemen sicher sind. Um zweimal wählen zu können, benötigt ein böswilliger Wähler den geheimen Schlüssel eines anderen Teilnehmers. Er war imstande, das Signaturschema zu brechen. Dies widerspricht aber der Sicherheitsannahme. Jeder Wähler kann nur einmal wählen, da nur n Voten abgegeben werden können. Die Teilnehmerliste ist für alle Wähler verifizierbar. Jeder Wähler überprüft im Anonymisierungsprotokoll, ob sich sein chiffriertes Votum unter den empfangenen Daten befindet. 
Nichtbeeinflußbarkeit Das System ist auch nichtbeeinflußbar, da das Öffnungsprotokoll nach Ende der Wahlzeit abgewickelt wird. 
Wahlgeheimnis Die 2-Stufige Codierung gewährleistet die Anonymität der Stimmabgabe im komplexitätstheoretischen Sinne. Die eingesetzten Zufallszahlen garantieren eine sichere Codierung.
Unmittelbarkeit Unmöglich, da Zufallswerte im Voraus festgelegt werden können. 
Effizienz Der Kommunikations- und Berechnungsaufwand ist sehr hoch, wenn die Anzahl der Wähler groß ist. Deswegen ist dieses Schema nur für Wahlen in kleinen Gruppen praktikabel (z.B. N=20).
Skalierbarkeit Das System ist praktisch nur für kleine Gruppen ausführbar.
Ortsunabhängigkeit Ein Wahlzellen-Szenario ist praktisch kaum realisierbar, da eine fixe Personenzahl gleichzeitig in mehren Wahlzellen das Protokoll ausführen müßte. Ein Netz-Szenario kann aber durchgeführt werden.
Flexibilität Der Flexibilität des Wahlscheins sind keine Grenzen gesetzt.
Änderbarkeit Nicht möglich, es sei den, alle Teilnehmer starten das Protokoll erneut.