Electronic Voting Systems

4.9 Administrationslose Systeme

Die letzte Art bezeichnen wir als administrationslose Systeme, da keine Administration zur Identitätsprüfung und Auswertung benötigt wird. Statt dessen sind die administrativen Aufgaben implizit in ein sicheres Protokoll integriert. Alle sicheren Berechnungen führen die Wähler eigenständig aus. Administrationslose Systeme setzen Mehrparteienprotokolle ein. Diese werden auch als Berechnungen mit mehreren Parteien bezeichnet. Ein solches Protokoll führt eine Gruppe von Teilnehmern aus, um durch einen vorgegebenen Algorithmus eine Funktionen mit mehreren Variablen zu berechnen. Jeder Teilnehmer trägt bei dieser Berechnung mindestens einen Eingabeparameter bei. Das Protokollergebnis ist für alle Teilnehmer ersichtlich und kann von allen publiziert werden. Kein Beteiligter gewinnt Informationen über die Eingabewerte der anderen, außer von jenen Informationen, die aus dem Funktionsergebnis hervorgehen.

Die Protokolle dieser Art erfüllen das Kriterium der Nichtrückverfolgbarkeit

nach der informationstheoretischen Definition, oder
unter der Bedingung komplexitätstheoretischer Annahmen.

Die entscheidende Schwäche der Mehrparteienprotokolle liegt im extrem hohen Berechnungsaufwand und der wechselseitigen Abhängigkeiten der Teilnehmer, so daß solche Verfahren nur theoretische Relevanz haben. Jedoch könnte eine kleine kommunitäre Gruppe solche Protokolle einsetzen.

Das Protokoll von Pfitzmann und Waidner (Pfitzmann/Waidner, 1992) ist eine Weiterentwicklung des DC-Netzes (Dining Cryptographers Network) (Chaum, 1988c) und erreicht unbedingte informationstheoretische Nichtrückverfolgbarkeit der Wahlschein-Übertragung. Somit wird unabhängig von der Rechenleistung langfristige Nichtrückverfolgbarkeit sichergestellt. Das Protokoll ist aber bei einer großen Teilnehmerzahl in der Praxis undurchführbar, da eine Teilnehmerstation mit jeder weiteren Station einen Einmalschlüssel teilen muß und komplexe Subprotokolle zur Fehler- und Manipulationserkennung eingesetzt werden. Die Einmalschlüssel müssen zuvor über einen informationstheoretisch sicheren Kanal ausgetauscht werden. Jedes mögliche Paar von Teilnehmern muß also einen gemeinsamen Schlüssel haben. Möchte eine Station eine anonyme Stimme abgeben, muß zumindest eine fixe Untermenge von Stationen gleichzeitig aktiv sein. Will eine Station eine Nachricht im binären Alphabet senden, dann addiert sie lokal durch eine EXOR-Verknüpfung zu ihrer Nachricht alle Schlüssel, die sie mit anderen Teilnehmern hält. Die Länge der Nachricht darf die Schlüssellänge nicht überschreiten. Die anderen Stationen führen die gleichen Operationen durch, wobei deren eigene unverschlüsselte Nachricht den Wert 0 besitzt. Dieser Addiervorgang wird als Überlagern bezeichnet. Jede Station publiziert das Resultat ihrer lokalen Überlagerung. Alle lokalen EXOR-Summen werden global durch EXOR-Verknüpfung überlagert, woraus die nichtrückverfolgbare Nachricht hervorgeht. Da jeder Schlüssel genau zweimal addiert wurde, heben sich nach der globalen Überlagerung alle Schlüsselzeichen weg, woraus die Nachricht resultiert. Sendet keine Teilnehmerstation, dann ist das Resultat gleich Null, sendet genau eine Teil-nehmerstation, dann ist das Resultat gleich der Nachricht. Übertragungskollisionen können entdeckt und durch entsprechende Protokolle aufgelöst werden. Außerdem er-lauben Aufdeckprotokolle das Ausforschen böswilliger Teilnehmer, falls sie das Protokoll stören. Aufgrund des hohen Aufwandes der Schlüsselverteilung und komplexer Zusatzprotokolle (z.B. zum Aufdecken böswilliger Teilnehmer) sind Mix-Systeme in unserer Zeit als einzige praktikable Methode für die Implementierung anonymer Kommunikation anzusehen (vgl. Jakobsson, 1998, 1999).

Als Fallbeispiel wird ein Schema von Pfleeger angegeben (Pfleeger, 1997), das eine Modifikation des Ansatzes von Meritt, Millo und Lynch (Meritt/Millo/Lynch 1982) darstellt. Jeder Client kontrolliert die asymmetrischen Verschlüsselungsschemen und sowie das Schlüsselpaar Da im Wahlschema mehrere Verschlüsselungsebenen benötigt werden, verkürzen wir unsere bisherige Definition des asymmetrischen Codierungsschemas: Der Algorithmus führt eine konventionelle Codierung auf Nachricht m mit Schlüssel aus, während Algorithmus der Nachricht m eine zufällig gewählte Zahl hinzufügt. Es wird angenommen, daß ein Votum aus einer Verifikationsnummer und der Wahlentscheidung besteht. Die Codierung durch die -Algorithmen dienen der Anonymisierung. Beim Anonymisierungsprotokoll kann jeder Wähler sein Votum eindeutig identifizieren, da nur er seine Codierungen kennt. Anhand der Verifikationsnummer prüft der Wähler, ob seine Stimme im Resultat erscheint. Wir nehmen außerdem an, daß alle öffentlichen Wählerschlüssel von TC zuvor zertifiziert wurden. Jeder Client besitzt die öffentlichen Schlüssel aller anderen Teilnehmer.

4.9.1 Konventionelles administrationsloses Protokoll

4.9.1.1 Wahlprotokoll

Codierungsphase A: Jeder Client verschlüsselt Votum mit allen Codierungsalgorithmen und erhält
Codierungsphase B: Jeder Client codiert mit allen Codierungsalgorithmen und erhält

Jeder Teilnehmer sendet sein verschlüsseltes Votum

zu Client

4.9.1.2 Anonymisierungsprotokoll

Client führt seinen Entschlüsselungs-Algorithmus auf alle Nachrichten aus, entfernt die eingebetteten Zufallszahlen und sendet die resultierenden Nachrichten in permutierter Reihenfolge an
Client prüft, ob sein codiertes Votum korrekt unter den empfangenen Nachrichten auftritt: vergleicht, ob eine empfangene Nachricht den Wert besitzt. Dann entschlüsselt er alle Nachrichten mit der Entschlüsselungsfunktion entfernt die eingebetteten Zufallszahlen und sendet die resultierenden Nachrichten in zufälliger Reihenfolge an
Client bis

führen ebenfalls Schritt 2 durch.

Nach Ende des Anonymisierungsprotokolls haben alle entschlüsselten Nachrichten die Form (in zufälliger Reihenfolge)

.................................

4.9.1.3 Öffnungsprotokoll

Client signiert alle Nachrichten und sendet sie mit seiner Signatur via Multicast-Transmission an alle Wähler.
Client verifiziert, ob sein codiertes Votum unter den empfangenen Nachrichten auftritt. Dann entschlüsselt er alle Nachrichten mit seiner Entschlüsselungsfunktion Die entschlüsselten Nachrichten werden signiert. reicht die entschlüsselten Nachrichten an Wähler weiter und sendet seine Signatur zu den entschlüsselten Nachrichten an alle Teilnehmer.
führen die gleichen Operationen wie im Schritt 2 durch.
entfernt die letzte Verschlüsselungsstufe, indem dieser mit decodiert und publiziert die Stimmen sowie seine korrespondierende Signatur in seinem BBS. Auch kann die signierten Resultate und Stimmen an alle Teilnehmer senden.

Folgende Entschlüsselungskette zeigt die Vollständigkeit des Protokolls

Die Zwischenergebnisse jeder Entschlüsselungsstufe können publiziert werden, ohne dabei die Anonymität zu gefährden. Die eingebetteten Zufallszahlen des Anonymisierungsprotokolls müssen hingegen von den Teilnehmern geheim gehalten werden. Ausgehend vom Resultat kann jeder Teilnehmer die Entschlüsselungskette der Öffnungsphase rückverfolgen, da die Codierung auf einem konventionellen Schema basiert. In dieser Kette ist ein Protokollfortschritt vorwärts (Entschlüsseln) nur für den Inhaber des geheimen Schlüssels durchführbar. Gleichzeitig macht die Möglichkeit des Rückverfolgens böswillige Eingriffe aufdeckbar. Sobald ein Teilnehmer die Protokollausführung verweigert, kann die Wahl nicht mehr fortgesetzt werden. Daher müssen alle Client-Systeme während der Protokollausführung funktionieren. Auch ist der fixe Teilnehmerkreis vor Wahlbeginn zu identifizieren. Ein Teilnehmer hat letztlich die Aufgabe, die Teilnehmerliste (öffentlicher Schlüssel), Auswertungsliste und Resultat darzustellen.

Anforderungen (Beschreibung)

Authentifikation Nehmen wir an, daß eine unberechtigte Person wählen kann. Dann muß ihr Schlüssel in der Liste der Codierungsschlüssel, die jeder Teilnehmer besitzt, erscheinen. Das würde bedeuten, daß diese Person den geheimen Schlüssel eines anderen Teilnehmers besitzt, was wiederum einen Widerspruch zur Annahme des sicheren Teilnehmer-Signaturschemas liefert.

Übertragungsintegrität Kein Außenstehender kann unbemerkt eine Stimme durch seine eigene ersetzen, da der betreffende Teilnehmer die Modifikation aufgrund seiner Verifikation entdeckt. Versucht ein böswilliger Teilnehmer während des Öffnungsprotokolls, Stimmen abzuändern, dann kann der Betrugsversuch aufgedeckt werden. Da jeder Teilnehmer die Menge seiner entschlüsselten Daten mit Signatur an alle Teilnehmer sendet, kann der Angreifer via Backtracking unwiderlegbar rückverfolgt werden.

Korrektheit Wenn alle Wähler das Protokoll vollständig ausführen, dann ist das Wahlresultat vertrauenswürdig.

Verifizierbarkeit Das Öffnungsprotokoll erlaubt das Rückverfolgen böswilliger Client-Systeme. Nur eine Person darf das Öffnungsprotokoll fortsetzen. Sie bringt es genau einen Schritt nach vorne. Jeder Wähler kann die Korrektheit des Öffnungsprotokolls und der Auswertung individuell verifizieren. Da jeder Wähler seinen Bearbeitungsschritt signiert, können Störungsversuche zum Angreifer rückverfolgt werden.

Vertraulichkeit Durch Codierung der Wahlscheine ist die Vertraulichkeit sichergestellt.

Nichtvermehrbarkeit Wir nehmen an, daß die eingesetzten Codierungs- und Signaturschemen sicher sind. Um zweimal wählen zu können, benötigt ein böswilliger Wähler den geheimen Schlüssel eines anderen Teilnehmers. Er war imstande, das Signaturschema zu brechen. Dies widerspricht aber der Sicherheitsannahme. Jeder Wähler kann nur einmal wählen, da nur n Voten abgegeben werden können. Die Teilnehmerliste ist für alle Wähler verifizierbar. Jeder Wähler überprüft im Anonymisierungsprotokoll, ob sich sein chiffriertes Votum unter den empfangenen Daten befindet.

Nichtbeeinflußbarkeit Das System ist auch nichtbeeinflußbar, da das Öffnungsprotokoll nach Ende der Wahlzeit abgewickelt wird.

Wahlgeheimnis Die 2-Stufige Codierung gewährleistet die Anonymität der Stimmabgabe im komplexitätstheoretischen Sinne. Die eingesetzten Zufallszahlen garantieren eine sichere Codierung.

Unmittelbarkeit Unmöglich, da Zufallswerte im Voraus festgelegt werden können.

Effizienz Der Kommunikations- und Berechnungsaufwand ist sehr hoch, wenn die Anzahl der Wähler groß ist. Deswegen ist dieses Schema nur für Wahlen in kleinen Gruppen praktikabel (z.B. N=20).

Skalierbarkeit Das System ist praktisch nur für kleine Gruppen ausführbar.

Ortsunabhängigkeit Ein Wahlzellen-Szenario ist praktisch kaum realisierbar, da eine fixe Personenzahl gleichzeitig in mehren Wahlzellen das Protokoll ausführen müßte. Ein Netz-Szenario kann aber durchgeführt werden.

Flexibilität Der Flexibilität des Wahlscheins sind keine Grenzen gesetzt.

Änderbarkeit Nicht möglich, es sei den, alle Teilnehmer starten das Protokoll erneut.

	Anforderungen (Beschreibung)
Authentifikation	Nehmen wir an, daß eine unberechtigte Person wählen kann. Dann muß ihr Schlüssel in der Liste der Codierungsschlüssel, die jeder Teilnehmer besitzt, erscheinen. Das würde bedeuten, daß diese Person den geheimen Schlüssel eines anderen Teilnehmers besitzt, was wiederum einen Widerspruch zur Annahme des sicheren Teilnehmer-Signaturschemas liefert.
Übertragungsintegrität	Kein Außenstehender kann unbemerkt eine Stimme durch seine eigene ersetzen, da der betreffende Teilnehmer die Modifikation aufgrund seiner Verifikation entdeckt. Versucht ein böswilliger Teilnehmer während des Öffnungsprotokolls, Stimmen abzuändern, dann kann der Betrugsversuch aufgedeckt werden. Da jeder Teilnehmer die Menge seiner entschlüsselten Daten mit Signatur an alle Teilnehmer sendet, kann der Angreifer via Backtracking unwiderlegbar rückverfolgt werden.
Korrektheit	Wenn alle Wähler das Protokoll vollständig ausführen, dann ist das Wahlresultat vertrauenswürdig.
Verifizierbarkeit	Das Öffnungsprotokoll erlaubt das Rückverfolgen böswilliger Client-Systeme. Nur eine Person darf das Öffnungsprotokoll fortsetzen. Sie bringt es genau einen Schritt nach vorne. Jeder Wähler kann die Korrektheit des Öffnungsprotokolls und der Auswertung individuell verifizieren. Da jeder Wähler seinen Bearbeitungsschritt signiert, können Störungsversuche zum Angreifer rückverfolgt werden.
Vertraulichkeit	Durch Codierung der Wahlscheine ist die Vertraulichkeit sichergestellt.
Nichtvermehrbarkeit	Wir nehmen an, daß die eingesetzten Codierungs- und Signaturschemen sicher sind. Um zweimal wählen zu können, benötigt ein böswilliger Wähler den geheimen Schlüssel eines anderen Teilnehmers. Er war imstande, das Signaturschema zu brechen. Dies widerspricht aber der Sicherheitsannahme. Jeder Wähler kann nur einmal wählen, da nur n Voten abgegeben werden können. Die Teilnehmerliste ist für alle Wähler verifizierbar. Jeder Wähler überprüft im Anonymisierungsprotokoll, ob sich sein chiffriertes Votum unter den empfangenen Daten befindet.
Nichtbeeinflußbarkeit	Das System ist auch nichtbeeinflußbar, da das Öffnungsprotokoll nach Ende der Wahlzeit abgewickelt wird.
Wahlgeheimnis	Die 2-Stufige Codierung gewährleistet die Anonymität der Stimmabgabe im komplexitätstheoretischen Sinne. Die eingesetzten Zufallszahlen garantieren eine sichere Codierung.
Unmittelbarkeit	Unmöglich, da Zufallswerte im Voraus festgelegt werden können.
Effizienz	Der Kommunikations- und Berechnungsaufwand ist sehr hoch, wenn die Anzahl der Wähler groß ist. Deswegen ist dieses Schema nur für Wahlen in kleinen Gruppen praktikabel (z.B. N=20).
Skalierbarkeit	Das System ist praktisch nur für kleine Gruppen ausführbar.
Ortsunabhängigkeit	Ein Wahlzellen-Szenario ist praktisch kaum realisierbar, da eine fixe Personenzahl gleichzeitig in mehren Wahlzellen das Protokoll ausführen müßte. Ein Netz-Szenario kann aber durchgeführt werden.
Flexibilität	Der Flexibilität des Wahlscheins sind keine Grenzen gesetzt.
Änderbarkeit	Nicht möglich, es sei den, alle Teilnehmer starten das Protokoll erneut.