Hemmelige afstemningsprotokoller

Inden for kryptografi er hemmelige afstemningsprotokoller dataudvekslingsprotokoller til implementering af sikker hemmelig elektronisk afstemning over internettet ved hjælp af computere, telefoner eller andre specielle computere [1] . Denne retning for kryptografi er stadig under udvikling, men bliver allerede brugt i praksis.

Mange lande i verden [2] [3] , inklusive Rusland [4][ ikke i kilden ] indfører allerede elektronisk afstemning på kommunalt niveau og opefter. For at sikre korrektheden, pålideligheden og fortroligheden af sådanne valg bruger de gennemprøvede sikkerhedsprotokoller, der er afhængige af dokumenterede kryptografiske systemer, såsom asymmetrisk kryptering og elektronisk signatur . Derudover har de brug for et færdigt materiale og juridisk grundlag. Sammenløbet af alle disse faktorer udgør det direkte instrument for e-demokrati .

Oversigt

Forudsætninger for oprettelse

I forbindelse med den hastige udvikling af computernetværk sker der en naturlig "digitalisering" af forskellige livsområder, for eksempel fremkomsten af elektroniske valutaer . På samme måde er digital afstemning , e-demokratiets vigtigste værktøj, dukket op . I lang tid fungerede mekaniske midler som erstatning for almindelige stemmesedler under afstemningen, eller var kun ansvarlige for den automatiske optælling af papirstemmer. Hovedarbejdet med kontrol af vælgere og registrering af stemmer blev udført af andre personer. Med et sådant system var der ikke behov for protokollerne beskrevet nedenfor. Men i de senere år, takket være udviklingen af internettet, er afstemningen blevet fuldt automatiseret . Fjernafstemning har mange fordele. Det antages, at de er mere bekvemme for slutbrugere, fordi folk kan stemme uden at forlade deres hjem, hvilket øger vælgernes aktivitet. At opretholde elektronisk afstemning er billigere: I stedet for konstant at udskrive stemmesedler er det nok at udvikle et system én gang [5] [6] . Ud fra antagelsen om, at ingen kan forstyrre programmet på stemmeapparatet, følger det desuden, at elektronisk afstemning er mindre modtagelig for korruption, administrativt pres og menneskelige faktorer [5] [7] [8] .

Dette rejser dog en række specifikke problemer, der hindrer valgets integritet. For eksempel opstod der under de elektroniske valg i Holland og Frankrig tvivl om sandheden af resultaterne opnået ved hjælp af maskiner [3] . På afstand er det meget vanskeligere at autorisere en vælger eller sikre sig, at ingen har påvirket afstemningsprocessen. Til gengæld giver internettet flere muligheder for, at almindelige vælgere kan tjekke, om stemmen er korrekt optalt. I øjeblikket er elektronisk afstemning fuldt lovlig eller delvist anvendelig i mange lande i verden [9] . Efterhånden som flere og flere mennesker er involveret i dem, er der et stigende behov for mere sikre og effektive metoder til at udføre dem, som særlige kryptografiske protokoller kaldes for.

Erfaringer med regulering og implementering

Et centralt element i reguleringen af elektronisk afstemning er konsolideringen af dens muligheder i statens forfatning. Sådanne artikler har forfatningerne i USA, Schweiz, Estland, Storbritannien og nogle andre lande [10] . Der er en gruppe lande, som f.eks. omfatter Finland, Tyskland og Rusland [11] , som har erfaring med at afholde sådanne valg, men som endnu ikke har indført deres fulde regulering i lovgivningen. Dette er naturligvis ikke den eneste bureaukratiske hindring. Der kræves også specifikationer for den teknik, hvormed afstemningen udføres, metoder til at kontrollere resultaternes ærlighed, protokoller i tilfælde af afbrydelse af afstemningen og oprettelsen af selve den tekniske base. Ud fra disse parametre er det muligt at beregne landets parathedsindeks til indførelse af digital afstemning (og dens specifikke protokol) [12] .

Estland [13] var det første land, der gennemførte lovlige nationale valg via internettet, efterfulgt af Holland og Schweiz. I Rusland er hemmelige e-afstemningsprotokoller hidtil kun blevet brugt på eksperimentelt niveau (for eksempel på Seliger-2009-forumet ), men CEC tog initiativet til at udvikle e-afstemning, især i russisk interesse borgere i udlandet [14] .

Nuværende situation

Hvorom alting er, så er selve afstemningsprotokollen ikke fastsat i nogen lovgivning. Dette gøres af mange årsager, lige fra den resterende manglende tillid til elektroniske afstemningsmetoder, og ender med en lettere overgang fra den nuværende metode til at gennemføre til en mere effektiv. Fremskridt inden for teknologi gjorde det muligt at tænke på at stemme via internettet for kun omkring 20 år siden [ klargør ] , så denne del af kryptografi er stadig under udvikling. Der er ingen generelt accepterede bøger om det, og ingen protokol har endnu modtaget overvældende støtte fra specialister [5] . Problemet forværres af, at organisationer med erfaring i at implementere disse systemer foretrækker ikke at offentliggøre detaljerede rapporter, der beskriver systemet og de problemer, der opstod under introduktionen.

Nu til simple undersøgelser eller afstemning inden for små grupper, bruges en triviel algoritme . I det tilfælde, hvor stemmetælleren ikke har nogen særlig grund til at snyde, er denne protokol den bedste mulighed. Ved valg på statsniveau er ændringer af Fujioka-Okamoto-Ota-protokollen de mest almindelige [13] [15] . Det var ham, der viste de bedste resultater ved de eksperimentelle valg og skabte en positiv international præcedens for pålidelig afvikling af valg via internettet. Til den og nogle af dens ændringer er der programmer og elektroniske afstemningsmidler til rådighed for enkeltpersoner [16] . Derudover tager mange videnskabelige artikler, der beskriver nye hemmelige afstemningsprotokoller, det som grundlag. Måske, på grund af udviklingen af teknologi og sænkning af prisen på højtydende systemer, vil præcedenser for brugen af He-Su-protokollen [17] dukke op i den nærmeste fremtid . Selvom den allerede har sine modifikationer, blev denne protokol i praksis kun anvendt ved studerendes eksperimentelle valg [18] . Det samme kan siges om ANDOS-protokollen . Selvom forfatterne til mange artikler hævder, at det kan implementeres effektivt, var der kun præcedenser for dets brug ved lokalvalg [19] . De resterende protokoller præsenteres som overgang fra simple til komplekse eller mulige ændringer for at opnå yderligere mål.

Krav til hemmelige afstemningssystemer

Obligatorisk [20] [21] :

ingen undtagen vælgeren bør kende sit valg;
kun legitime deltagere kan stemme, og kun én gang;
Vælgerens beslutning kan ikke hemmeligt eller eksplicit ændres af nogen (undtagen måske af ham selv).

Ønskeligt:

hver legitim deltager kan kontrollere, om hans stemme blev læst korrekt;
hver legitim deltager kan ombestemme sig og ændre sit valg inden for en vis periode;
systemet skal beskyttes mod salg af stemmer fra vælgerne [22] ;
i tilfælde af at afstemningen blev læst forkert, kan hver legitim deltager rapportere dette til systemet uden at afsløre sin anonymitet [23] ;
det er umuligt at spore, hvor vælgeren fjernstemmede fra;
operatørgodkendelse ;
du kan finde ud af, hvem der deltog i afstemningen, og hvem der ikke gjorde;
vedligeholdelse af systemet bør ikke kræve mange ressourcer;
systemet skal være fejltolerant i tilfælde af tekniske fejl (tab af strømforsyning), utilsigtede (tab af nøglen af vælgeren) og ondsindede (forsætlig efterligning af en anden vælger, DoS / DDoS ) angreb.

Sagen kompliceres ikke kun af, at stemmedeltagerne og det bureau, der foretager den, har grund til ikke at stole på hinanden, men også af, at selve afstemningsprocessen skal beskyttes mod indblanding udefra. Hvis vi drager en analogi med præsidentvalg, så skal vælgerne beskytte sig selv mod stemmesedler fra valgkomitéen, CEC er forpligtet til at sikre, at stemmer ikke kan sælges af borgere, og sammen skal de forhindre indblanding fra agenter fra andre lande [20 ] .

Nogle krav er i konflikt med hinanden. For eksempel giver muligheden for at kontrollere, hvordan en bestemt vælger (selv ham selv) stemte, mulighed for at sælge stemmer, og yderligere beskyttelseslag reducerer fejltolerance og omkostningseffektivitet. Det antages generelt, at beskyttelse mod svig fra et valgbureau har forrang frem for forebyggelse af stemmesalg. For det første forårsager det meget mere skade, og for det andet kan vælgeren finde løsninger, selvom protokollen garanterer umuligheden af at bevise over for en udenforstående, hvem der stemte på. Stem for eksempel lige foran køberen. Beskyttelse mod indblanding udefra har imidlertid forrang frem for alt andet [24] .

En simpel protokol til hemmelig digital afstemning

En simpel elektronisk afstemningsalgoritme er i bund og grund en korrespondance med elektroniske signaturer mellem en valgkomité og en flerhed af vælgere. Lad her og nedenfor: A - et bureau, der foretager elektronisk afstemning ( eng. bureau ), E - en vælger, en legitim vælger ( eng. elector ), B - en digital afstemning . B kan indeholde et nummer, navnet på kandidaten, en lang tekst eller andre data, der angiver valget af E , bekræfter det eller er nødvendigt for at styrke protokollens sikkerhed [20] . Afstemningsprocessen ser således ud:

Algoritme

Trin 1. A opstiller lister over mulige vælgere. Trin 2. Brugere, herunder E , melder deres ønske om at deltage i afstemningen. Trin 3. A poster lister over legitime vælgere.

Trin 1-3 er påkrævet. Hovedmålet er at bestemme og annoncere antallet af aktive deltagere n . Selvom nogle af dem måske ikke deltager, og nogle måske slet ikke eksisterer (“døde sjæle” ondsindet introduceret af A ), er evnen til at manipulere A’s stemme mærkbart reduceret. I fremtiden vil disse trin blive betragtet som et trin "til at godkende listerne".

Trin 4. A opretter en offentlig og privat nøgle og gør den offentlig . Enhver kan kryptere en besked med , men kun A kan dekryptere den .

a_{\text{offentlig))

a_{\text{privat))

a_{\text{offentlig))

a_{\text{offentlig))

Trin 5E

opretter sine egne offentlige og private EDS-nøgler og udgiver derefter den offentlige nøgle. Enhver kan kontrollere dokument E , men kun vælgeren kan underskrive det. Dette trin springes over, hvis A allerede kender vælgernes elektroniske signaturer (de blev f.eks. genereret under registreringen i systemet). $e_{\text{offentlig))$ $e_{\text{privat))$
danner et budskab B , hvor på den ene eller anden måde udtrykker sin vilje
underskriver beskeden med en privat nøgle $e_{\text{privat))$
krypterer beskeden med den offentlige nøgle $a_{\text{offentlig))$
sender krypteret besked A

Trin 6A

samler beskeder
dekrypterer dem ved hjælp af det offentligt tilgængelige $e_{\text{offentlig))$
beregner dem og offentliggør resultaterne

Funktioner, fordele og ulemper

Denne protokol er ekstremt enkel, men den er dog tilstrækkelig til at beskytte mod udefrakommende indblanding, stemmeforfalskning og miskreditering af legitime vælgere. Vælgerne skal dog absolut stole på A , fordi dens arbejde ikke kontrolleres af nogen. På den ene side kan E give den stemmekøbende angriber bevis for, hvordan han har stemt, men på den anden side kan han ikke verificere, at A har redegjort rigtigt for eller ligefrem har modtaget sin stemmeseddel. Derfor er den trivielle metode kun anvendelig i fællesskaber, hvor alle stoler på hinanden og den myndighed, der er ansvarlig for at tælle stemmerne [20] .

Protokol for de to agenturer

Det er også Nurmi- Salomaa -Santina- protokollen [25] . Grundtanken er at erstatte ét valgbureau med to, så de kontrollerer hinanden. Lad her og nedenfor V være registrator ( eng. validator ), hvis opgaver omfatter at udarbejde lister, samt at optage eller ikke optage en deltager til at stemme. Rækkefølgen af handlinger ser således ud:

Algoritme

Trin 1.V

opretter et sæt identifikationsmærker og godkender listen over mulige vælgere $t_{i}$
sender over en sikker kanal et token til hver vælger
sender A hele sættet af labels uden at vide hvilken label der tilhører hvem

Trin 2. E

genererer , (til en digital signatur) og (så hverken A eller en ekstern angriber kunne finde ud af stemmesedlens indhold indtil det rigtige tidspunkt) $e_{\text{offentlig))$ $e_{\text{privat))$ $e_{\text{hemmeligt))$
$e_{\text{offentlig))$ offentliggjort
genererer besked B med den valgte løsning
underskriver det $e_{\text{privat))$
gælder det modtagne $t_{i}$
krypterer med $e_{\text{hemmeligt))$
genanvender chifferteksten $t_{i}$
sender chifferteksten til A til overvejelse ${\big \{}t_{i},\operatørnavn {krypter} {\big (}e_{\text{hemmelig)),\{t_{i},\operatørnavn {sign} (e_{\text {privat)),B)\}{\big )}{\big \))$

Trin 3A

modtager chifferteksten. Ved den ydre tag bestemmer den, at beskeden kom fra en legitim bruger, men kan ikke bestemme fra hvilken, eller hvordan han stemte.
offentliggør det modtagne tag-cifre-par

Trin 4. Den publicerede fil tjener som et signal E til at sende den hemmelige nøgle

e_{\text{hemmeligt))

Trin 5A

samler nøglerne
dekrypterer beskeder
tæller stemmerne
tilføjer en stemmeseddel uden identifikationsmærke til den offentliggjorte chiffertekst, hvorefter afstemningen afsluttes.

Funktioner, fordele og ulemper

Ved at dele den modtagne fil i trin 3 kan A ikke efterfølgende nægte at modtage en besked fra E . Ved hjælp af et ciffer-stemmeseddelpar kan hver vælger kontrollere, om hans stemme blev talt korrekt, hvilket eliminerer problemet med manglende kontrol over A . Denne tilgang løser dog kun delvist problemet med behovet for absolut tillid til agenturet. Hvis det lykkes A og V at nå til enighed, kan A manipulere afstemningen. Hvis bureauet ved, hvem der gemmer sig under hvilket identitetsmærke, kan det bevidst ikke acceptere beskeder fra nogle vælgere. Derudover er der problemet med "døde sjæle". Hvis V opstiller åbenlyst ikke-eksisterende vælgere, så vil A kunne forfalske stemmesedler fra dem [26] .

I protokoller med to repræsentanter er det ikke nødvendigt, at vælgeren er bemyndiget af både registrator og valgbestyrelse. Hvis vælgeren beviser sin identitet over for registratoren, kan registratoren underskrive stemmesedlen eller vælgernøglen. Det er hende, der skal spille rollen som adgang til at stemme i fremtiden [25] . Derudover er det ikke nødvendigt at bruge etiketter til brugerautorisation. Af disse grunde vil den specifikke metode til brugeridentifikation blive udeladt i yderligere algoritmer.

Fujioka-Okamoto-Ota-protokollen

Fujioka-Okamoto-Ota-ordningen, udviklet i 1992, er baseret på en bi-agency protokol og blind kryptografisk signatur [27] . Ved at komplicere protokollen en smule, løser denne ordning delvist problemet med hemmeligt samarbejde mellem de to agenturer. For at protokollen skal fungere, kræves der en forudvalgt metode til maskering af kryptering, hvor vælgeren sender en stemmeseddel til registratoren. Blindende (maskerende) kryptering er en speciel type kryptering, der giver dig mulighed for at sikre dig, at dokumentet er ægte og underskrevet af en autoriseret bruger, men som ikke giver dig mulighed for at finde ud af de data, der er indeholdt i det. Maskekryptering skal være kommutativ med en elektronisk signatur, dvs. $\operatørnavn {tegn} {\big (}\operatørnavn {blind} (B){\big )}=\operatørnavn {blind} {\big (}\operatørnavn {tegn} (B){\big )}$

Algoritme

Trin 1. V godkender listerne over lovlige vælgere Trin 2. E

skaber , (til en digital signatur) og (så hverken A eller en ekstern angriber kan finde ud af stemmesedlens indhold indtil det rigtige tidspunkt) $e_{\text{offentlig))$ $e_{\text{privat))$ $e_{\text{hemmeligt))$
forbereder besked B med den valgte løsning
krypterer det $e_{\text{hemmeligt))$
overlejrer et lag af blændende kryptering
underskriver det $e_{\text{privat))$
sender V ${\displaystyle \operatørnavn {blind} {\Big (}\operatørnavn {tegn} (e_{\text{privat)),\operatørnavn {krypter} (e_{\text{hemmeligt)),B){\big )} {\Stor)))$

Trin 3.V

opretter og , den offentlige nøgle deles $v_{\text{offentlig))$ $v_{\text{privat))$
bekræfter, at stemmesedlen er gyldig og tilhører en lovlig vælger uden stemmeret
underskriver det $v_{\text{privat))$
returnerer det til E

Trin 4. E fjerner det maskerende krypteringslag fra stemmesedlen (det forbliver på grund af kommutativitet ) og sender det til A

{\displaystyle \operatørnavn {tegn} {\Big (}v_{\text{privat)),\operatørnavn {tegn} {\big (}e_{\text{privat)),\operatørnavn {krypter} (e_{\ tekst{hemmeligt)),B){\big )}{\Big )))

Trin 5A

verificerer signaturerne E og V
placerer den stadig krypterede stemmeseddel på en særlig liste, der vil blive offentliggjort efter at alle vælgere har stemt eller efter en forudbestemt tidsfrist $e_{\text{hemmeligt))$

Trin 6. Når listen vises i det offentlige domæne, sender E A

e_{\text{hemmeligt))

Trin 7A

dekrypterer beskeden
beregner resultater

Sensus Protocol

Lorrie Cranor og Ron Citron ( eng. Lorrie Faith Cranor, Ron K. Cytron ) foreslog i 1996 en ændring af Fujioka-Okamoto-Ota-protokollen kaldet Sensus [28] . Forskellen ligger i trin 5-6. Efter at A har modtaget den krypterede besked fra E , tilføjer den den ikke kun til den offentliggjorte liste, men sender også den underskrevne stemmeseddel tilbage til vælgeren som en kvittering. På denne måde behøver E ikke at vente på, at alle andre stemmer, og kan afslutte sin afstemning i én session. Dette er ikke kun praktisk for slutbrugeren, men det giver også yderligere bevis for, at E deltog i valget. Derudover regulerer Sensus yderligere hjælpemoduler, der forenkler og automatiserer afstemningsprocessen.

Funktioner, fordele og ulemper

Nu, selvom det lykkes bureauerne at nå til enighed, vil A ikke kunne identificere vælgerne, før han får nøglen. Mens den stadig har mulighed for at afvise beskeder, har den ikke længere mulighed for at ignorere beskeder specifikt fra "uønskede" vælgere. Der er kun problemet med at afgive stemmer til vælgere, der ikke kom til valgurnerne. For at give vælgeren mulighed for at stemme, herunder på grund af en teknisk fejl, er der desuden behov for et ekstra modul.

I øjeblikket er Fujioka-Okamoto-Ota-protokollen (såvel som dens modifikationer, inklusive Sensus) en af de mest dokumenterede elektroniske fjernafstemningsprotokoller. Det var hans variation, der blev brugt ved de elektroniske valg i Estland [13] [15] . En anden ændring af Fujioka-Okamoto-Ota-protokollen blev brugt til at gennemføre selvstyrevalg blandt studerende ved Princeton University [29] . Sensus-modulerne blev skrevet under UNIX -systemet ved hjælp af RSAREF [30] kryptografiske bibliotek , så alle kan bruge dem.

He-Su protokol

I 1998 præsenterede Qi He og Zhongmin Su (Qi He, Zhongmin Su) en endnu mere avanceret afstemningsprotokol end Sensus [17] . Denne algoritme opfylder de fleste af kravene til en sikker digital afstemningsprotokol. Ligesom Sensus bruger Hae-Su-protokollen ideen om en blind underskrift, men det er ikke vælgerens stemmeseddel, der underskrives, men vælgerens nøgle. Dette giver vælgerne mulighed for at ombestemme sig inden afslutningen af afstemningen og begrænser yderligere registratorens og valgbureauets muligheder i tilfælde af samordning. Denne protokol kræver en forudbestemt metode til blindkryptering og en hashfunktion . Som i Fujioka-Okamoto-Ota-protokollen skal maskeringskryptering være kommutativ med den elektroniske signatur V : samt . $\operatørnavn {h} ()$ $\operatørnavn {tegn} {\big (}\operatørnavn {blind} (B){\big )}=\operatørnavn {blind} {\big (}\operatørnavn {tegn} (B){\big )}$ $\operatørnavn {tegn} (A\,B)=\operatørnavn {tegn} (A)\,\operatørnavn {tegn} (B)$

Algoritme

Trin 1.V

godkender lister over lovlige vælgere
opretter og (bruges til asymmetrisk kryptering) $v_{\text{offentlig))$ $v_{\text{privat))$
$v_{\text{offentlig))$ stillet til rådighed gratis

Trin 2. E

opretter og (bruges til signaturer) $e_{\text{offentlig))$ $e_{\text{privat))$
beregner en hash-funktion fra den offentlige nøgle: $\operatørnavn {h} (e_{\text{offentlig)))$
lægger et lag af maskerende kryptering på . Da kun nøglens hash er krypteret, og ikke en lang besked, kan du vælge en simpel metode. For eksempel kan E generere et tilfældigt tal og beregne $\operatørnavn {h} (e_{\text{offentlig)))$ $x$ $f=\operatørnavn {krypter} (v_{\tekst{offentlig)),x)\operatørnavn {h} (e_{\tekst{offentlig)))$
sender V $f$

Trin 3.V

kontrollerer vælgerens legitimitet
dekrypterer :. _ Delen betragtes som en signeret nøgle $f$ $g=\operatørnavn {dekryptere} {\big (}v_{\text{privat)),\operatørnavn {krypter} (v_{\text{offentlig)),x)\operatørnavn {h} (e_{\ tekst{offentlig))){\big )}=x\operatørnavn {dekryptere} {\big (}v_{\text{privat)),\operatørnavn {h} (e_{\text{offentlig)))\big ) }$ ${\displaystyle e_{\text{offentlig}}^{\text{signeret}}=\operatørnavn {dekryptere} {\big (}v_{\text{privat)),\operatørnavn {h} (e_{\text{ offentlig)))){\big )))$
sender E $g$

Trin 4E

fjerner det blændende krypteringslag (multiplicerer med det omvendte element ) og får den signerede nøgle $x$ $e_{\text{offentlig}}^{\text{signeret}}$
verificerer ægtheden af registratorens underskrift: er $\operatorname {krypter} {\Big (}v_{\text{offentlig)),\operatørnavn {dekryptere} {\big (}v_{\text{privat)),\operatørnavn {h} (e_{\ tekst{offentlig))){\big )}{\Big )}=\operatørnavn {h} (e_{\text{offentlig)))$
sender et par ${\big \{}e_{\text{offentlig}},e_{\text{offentlig}}^{\text{signeret}}{\big \}}$

Trin 5A

ligesom E verificerer ægtheden af registratorens underskrift
kontrollerer, om hash-funktionen fra parret med den, der er gemt i $e_{\text{offentlig))$ $e_{\text{offentlig}}^{\text{signeret}}$
tilføjer listen over autoriserede nøgler og informerer E $e_{\text{offentlig))$

Trin 6E

skaber (bruges til at kryptere stemmesedler, så hverken A eller en ekstern angriber kan finde ud af stemmesedlens indhold indtil det rigtige tidspunkt) $e_{\text{hemmeligt))$
forbereder besked B med den valgte løsning
sender A et sæt ${\Big \{}e_{\text{offentlig)),\operatørnavn {krypter} {\Big (}e_{\text{hemmelig)),B),\operatørnavn {tegn} {\big (} e_{\tekst{privat)),\operatørnavn {h} (\operatørnavn {krypter} (e_{\tekst{hemmelig)),B){\big )}{\Big )}{\Big \))$

Trin 7A

kontrollerer nøglens autorisation
kontrollerer ægtheden af meddelelsen ved at sammenligne hashen af den krypterede meddelelse med hashen opnået vha. $e_{{privat}}$
udgiver en trio på den åbne liste

Trin 8. Fremkomsten af en tripel i den åbne liste signalerer E til at sende A et nyt sæt:

{\big \{}e_{\text{offentlig)),e_{\text{hemmelig)),\operatørnavn {tegn} {\big (}e_{\text{privat)),\operatørnavn {h } (e_{\text{hemmelig))){\big )}{\big \))

Trin 9A

kontrollerer ægtheden af meddelelsen ved at sammenligne hashes
dekrypterer en tidligere modtaget stemmeseddel
offentliggør alle data
beregner resultatet

Trin 10. Efter afstemning offentliggør V en liste over alle registrerede vælgere, og A offentliggør en liste over alle autoriserede nøgler.

Funktioner, fordele og ulemper

He-Su-ordningen opfylder næsten alle kravene til en hemmelig afstemningsprotokol. Tilbage er blot et øget incitament til at købe/sælge stemmer [17] . A og V har nu ingen mulighed for at snyde, da alle lister nu er offentliggjort: mulige vælgere, registrerede og autoriserede nøgler. Derfor er det umuligt at hente ikke-eksisterende vælgere eller at stemme på eksisterende, der ikke kom. Samtidig modtager hverken valgbureauet eller registratoren yderligere oplysninger under opstillingen af disse lister [31] . Vælgerne har mulighed for at ændre deres stemme. Den største ulempe ved He-Su-protokollen er dens komparative kompleksitet. Da protokollen kræver en stor mængde ressourcer at vedligeholde, er den sårbar over for DoS-angreb .

ANDOS baseret protokol

ANDOS -protokollen [32] ( All or Nothing Disclosure Of Secrets ) tages som grundlag . Ideen er at øge styrken af protokollen ved at erstatte den forudvalgte kryptering med en hemmelig nøgle med hashing med en brugerdefineret funktion. Kernen i algoritmen er beskrevet nedenfor. For kortheds skyld er forholdsregler og sikkerhedsforanstaltninger udeladt fra beskrivelsen. Om nødvendigt kan du anvende metoderne til kryptografi på offentlige nøgler og elektronisk signatur . Det antages, at for at beskytte mod indblanding udefra, kan vælgere også blande sig i information indbyrdes, men så kan en ondsindet vælger blande sig i afstemningen, så dette trin springes også over.

Algoritme

Trin 1A

godkender listen over stemmeberettigede deltagere;
lad der være n legitime vælgere. Så vælger A mindst n identifikatorer og anvender ANDOS -protokollen til vælgerne. Identifikatorer er store primtal og er nummereret som . $1,...,n$

Trin 2. E

vælger nummer i og får det i -te primtal fra listen ( A ved intet om forholdet mellem i og E ) $p_{i}$
vælger en kryptografisk hashfunktion af to variable $h_{E}(x,y)$
sender A et par , hvor er et valg (kandidatens navn eller mere generelt en udvælgelsesstrategi) udtrykt numerisk ${\displaystyle {\big (}p_{i},h_{E}(p_{i},v_{E}){\big )))$ $v_{E}$

Trin 3. A udgiver .

h_{E}(p_{i},v_{E})

Trin 4. Efter at være vist på den åbne liste , sender E et par til A. Forudsat at y altid kan opnås givet , og , A kender nu forholdet mellem og (men ikke mellem E og dets valg af ).

h_{E}(p_{i},v_{E})

(p_{i},h_{E}^{-1})

h_{E}(x,y)

x

h_{E}^{{-1}}

p_{i}

v_{E}

v_{E}

En forenklet version af trin 2-4 kunne være, at E sender et par direkte til A. I dette tilfælde vil det dog være umuligt for E både at kontrollere, om stemmen er optalt korrekt, og at genstemme på et senere tidspunkt. Dette kan løse sig, for hvis A publicerer identifikatoren på listen over dem, der fulgte strategien , så vil E vide med sikkerhed, at hans stemme blev talt korrekt, men senere vil nogen være i stand til at forklæde sig som havende identifikatoren og ændre stemme for at behage ham. På den anden side, hvis A kun offentliggør antallet af deltagere efter en bestemt strategi , kan deltagerne ikke kontrollere noget, og A kan offentliggøre valgresultater. Hash-funktioner bruges til at forhindre angribere i at bestemme antallet af stemmer med en bestemt strategi (denne information viser sig at være nyttig), da opgaven med at finde startværdierne er beregningsmæssigt vanskelig under hensyntagen til det karakteristiske tidspunkt for afstemningen . $p_{i},v_{E}$ $p_{i}$ $v_{E}$ $p_{i}$ $v_{E}$ $v_{E}$

Trin 5. Når afstemningen er slut, annoncerer A mellemresultater og offentliggør lister over strategier (kandidater) med tal svarende til de deltagere, der har stemt på .

h_{E}(p_{i},v_{E})

v=v_{E}

Trin 6. Hvis deltager E bemærker, at hans stemme er placeret på den forkerte liste, så sender han A en klage i form af en trippel , som tydeligt viser rigtigheden eller fejlen af resultatet.

{\displaystyle {\big (}p_{i},h_{E}(p_{i},v_{E}),h_{E}^{-1}{\big )))

Efter nogen tid kan du starte proceduren for at skifte stemmer (se det sidste trin). En enklere mulighed (trin 7) kan bruges til at gennemføre en enkelt runde af gentagelsesafstemning.

Trin 7. Deltager E , der ønsker at ændre sit valg, sender A en trippel , hvor er den nye strategi. Når afslutningen på stemmeskifterunden kommer, offentliggør A de ændrede resultater. Derefter gentages valideringen.

{\displaystyle {\big (}p_{i},h_{E}(p_{i},v_{E}),v'_{E}{\big )))

v'_{E}

Trin 7'. Samme som trin 7, men nu sender part E et par , hvor er den nye hash-funktion valgt af E . A attesterer modtagelsen af beskeden ved udgivelse , hvorefter E sender et par til A. Nu kender A forholdet mellem og . Når resultaterne opsummeres igen, fjernes de fra den tilsvarende liste og tilføjes listen med . Konkurrent E kan bestride resultatet som før.

{\displaystyle {\big (}p_{i},h'_{E}(p_{i},v'_{E}){\big )))

han}

h'_{E}(p_{i},v'_{E})

{\displaystyle {\big (}p_{i},(h'_{E})^{-1}{\big )))

p_{i}

v'_{E}

h_{E}(p_{i},v_{E})

h'_{E}(p_{i},v'_{E})

v'=v'_{E}

I forhold til trin 7 har trin 7' den fordel, at andre deltagere end E kun kan observere, at noget er forsvundet fra listen , men ikke ved, at det er flyttet til listen . $v$ $v'$

Funktioner, fordele og ulemper

I ANDOS-protokollen er det muligt, at to vælgere vil vælge det samme i og dermed opnå den samme identifikator . Mulige løsninger på dette problem [32] : $p_{i}$

A sørger for, at antallet af identifikationsnumre er så meget større end antallet af vælgere, at sandsynligheden for en kollision er ubetydelig.
Når man modtager identifikatoren igen, udgiver A et par , hvor er en identifikator, der ikke var "til salg" i ANDOS -protokollen . Ifølge den anden komponent ser deltager E , at han er tvivlsom og sender et par til A. De andre deltagere kan ikke gøre dette, da de ikke kender hash-funktionen . Så følger processen samme mønster: A udgiver osv. Efter at have modtaget A sørger den for at den rigtige deltager har svaret. $p_{i}$ ${\displaystyle {\big (}p'_{i},h_{E}(p_{i},v_{E}){\big )))$ $p'_{i}$ ${\displaystyle {\big (}p'_{i},h_{E}(p'_{i},v_{E}){\big )))$ $han}$ $h_{E}(p'_{i},v_{E})$ $h_{E}^{{-1}}$

ANDOS-protokollen er ret dyr, men den kræver ikke en uafhængig registrator V . Vælgerne skal vælge og sende ikke kun identifikatorer, men også hash-funktioner, hvilket kan være vanskeligt eller tidskrævende [32] . A kan stadig snyde ved at fordele stemmerne fra dem, der erklærede, at de havde til hensigt at deltage i afstemningen, men ikke traf deres valg, og E har et øget incitament til at købe/sælge stemmer, da du kan være sikker på resultatet af transaktion.

Andre protokoller

Der er mange andre protokoller og kryptografiske primitiver med forskellige specifikke egenskaber [33] . De er ikke så almindeligt kendte og anvendes til at klare særlige miljømæssige begrænsninger eller opnå yderligere mål.

For eksempel kunne protokollen med to agenturer udvides til at omfatte stemmecentre, der repræsenterer forskellige fraktioner, der er modstandere, men interesserede i retfærdige valg. I dette tilfælde kan stemmefordelingen kun forfalskes, hvis alle centre samarbejder, hvilket ikke giver nogen mening efter konvention. En sådan algoritme bruger en eller anden form for ikke-interaktiv offentlig verificeret [34] hemmelig deling ( NIVSS - Non-Interactive Verifiable Secret Sharing ). Afhængigt af den valgte hemmelige delingsmetode (hvem stemte på hvem), kan protokollen have forskellig modstand mod forskellige angreb og forskellig databehandlingshastighed. Et godt resultat vises for eksempel ved at bruge det diskrete logaritmeproblem til at sikre dataskjulning [35] . $n$

Den største ulempe ved systemet er, at selvom kun alle stemmecentrene tilsammen kan forfalske resultaterne, kan enhver af dem alene forstyrre valget. Løsningen på dilemmaet er endnu en ændring af algoritmen, når fordelingen af stemmer kan genoprette centrene. Men så vil de konspirerende centre være i stand til at skabe resultaterne og forstyrre valget - . Ordningen kunne forbedres, så den giver mulighed for flervalgs-afstemninger samt forskudt eller parallel afstemning. Et yderligere plus: under et sådant system kan vælgeren ikke bevise, hvem han præcis stemte på, hvilket gør det ekstremt vanskeligt at købe/sælge stemmer [36] . $k<n$ $k$ $nk$

For at denne protokol skal fungere, kræves der en primitiv for opslagstavlen - et dataområde, der kan læses af alle i sin helhed, og hver kan kun skrive til sin egen del. I det væsentlige er dette et delt hukommelsesområde med netværksadgang og nogle kryptografiske begrænsninger. Hvis afstemningscentre og vælgere deltager i valget , så er antallet af bits, der kræves til stemmesedlen, , hvor er en kryptografisk styrkevariabel proportional med antallet af nøglebits. $n$ $A_{1},\dots ,A_{n}$ $m$ ${\displaystyle E_{1},\dots ,E_{m))$ $O(nmk)$ $k$

Blandt andre specielle kryptografiske primitiver kan man udpege en "samler" ( engelsk pollster ) - en bekvem grænseflade mellem brugeren og systemet. Tanken er, at en menneskelig vælger kan give stemmesedlen til samleren, som vil gøre alt arbejdet for ham med at kryptere og udveksle data med andre partier. Vælgeren skal have fuld tillid til dette modul. Dette er en stærk tilstand, men den er forholdsvis nem at implementere, fordi samleren kører på vælgerens maskine.

Noter

↑ Elektroniske enheder til afstemning på valgsteder i Rusland og i udlandet . Hentet 10. oktober 2014. Arkiveret fra originalen 19. april 2018. (ubestemt)
↑ Elektronisk afstemning i forskellige lande . Hentet 10. oktober 2014. Arkiveret fra originalen 13. juni 2021. (ubestemt)
↑ 1 2 International erfaring med elektronisk afstemning . Hentet 15. april 2022. Arkiveret fra originalen 1. december 2018. (ubestemt)
↑ Elektronisk afstemning: fra nutid til fremtid . Hentet 10. oktober 2014. Arkiveret fra originalen 16. oktober 2014. (ubestemt)
↑ 1 2 3 Cranor, Lorrie Faith. Elektronisk afstemning: computeriserede meningsmålinger kan spare penge, beskytte privatlivets fred . — ACM New York, NY, USA.
↑ Rusland vil stemme med mobiltelefoner . Hentet 10. oktober 2014. Arkiveret fra originalen 4. marts 2016. (ubestemt)
↑ Kompleks for elektronisk afstemning (KEG) . Hentet 14. oktober 2014. Arkiveret fra originalen 24. september 2015. (ubestemt)
↑ Dmitry Paramonov. Informationsmagt // The Mechanism of People's Power.
↑ Verdenskort for elektronisk afstemning . Hentet 2. oktober 2014. Arkiveret fra originalen 4. september 2018. (ubestemt)
↑ Norbert, Kersting; Grachev, Mikhail Nikolaevich Elektronisk afstemning og demokrati i Europa . (Russisk)
↑ Serbin Mikhail Viktorovich. Udsigter for udvikling af elektronisk afstemning i Den Russiske Føderation . (Russisk)
↑ Kimmer, Robert; Schuster, Ronald. E-voting Readiness Index: en undersøgelse . (utilgængeligt link)
↑ 1 2 3 Internetafstemning i Estland Arkiveret 24. april 2018 på Wayback Machine .
↑ Materialer til talen fra formanden for CEC i Rusland V. E. Churov "Fjern elektronisk afstemning - muligheder for at bruge borgere fra Den Russiske Føderation i udlandet til at udvide valgmulighederne" . Hentet 2. oktober 2014. Arkiveret fra originalen 4. marts 2016. (ubestemt)
↑ 1 2 NIK af Estland. Oversigt over e-afstemningssystemet (utilgængeligt link) . Hentet 18. oktober 2014. Arkiveret fra originalen 25. oktober 2018. (ubestemt)
↑ Naznin Fauzia, Tanima Dey, Inaba Bhuiyan, Md. Saidur Rahman. En effektiv implementering af elektronisk valgsystem .
↑ 1 2 3 Qi He og Zhongmin Su. En ny praktisk sikker e -afstemningsordning .
↑ Yasmine Abouelsiod. En ny blind identitetsbaseret signaturordning .
↑ Julien P. Stern. En ny og effektiv protokol om alt-eller-intet afsløring af hemmeligheder .
↑ 1 2 3 4 Hannu Nurmi, Arto Salomaa. Gennemførelse af hemmelige valg i computernetværk: Problemer og løsninger // Annals of Operations Research 51 ( 1994) 185-194. — Universitetet i Turku.
↑ Neumann P. Sikkerhedskriterier for elektroniske stemmesystemer (link ikke tilgængeligt) . Hentet 18. oktober 2014. Arkiveret fra originalen 21. april 2018. (ubestemt)
↑ Dette formodes at være meningsløst, hvis du ikke kan bekræfte, hvordan sælgeren stemte: han kunne gå med til handlen, men stemme på hvem som helst. Denne betingelse er dårligt forenelig, men ikke nødvendigvis uforenelig med muligheden for at kontrollere, om en stemme læses korrekt. Evnen til at ændre afstemningen i nogen tid neutraliserer også truslen om vælgerbestikkelse.
↑ Anonymitet udelukker ikke hovedkravet om, at kun vælgeren kender sin stemme (og følgelig kun han selv kan angive, at den er forkert læst). Der er ordninger, hvor vælgerne kontrollerer hinanden uden at vide, hvem de ser.
↑ Roland Wen, Richard Buckland. Maskeret stemmeseddel afstemning til kvitteringsfrit onlinevalg .
↑ 1 2 Model of The Scheme Arkiveret 3. maj 2018 på Wayback Machine .
↑ Design af deklareret strategi afstemningssystem Arkiveret 21. april 2018 på Wayback Machine .
↑ Fujioka, Atsushi; Okamoto, Tatsuaki; Åh, Kazuo. En praktisk hemmelig afstemningsordning til valg i stor skala // Lecture Notes in Computer Science. - 1993. - Bd. 718 . - S. 244-251 .
↑ Cranor, Lorrie Faith; Cytron, K. Ron. Sensus: Et sikkerhedsbevidst elektronisk afstemningssystem til internettet . — IEEE Computer Society Washington, DC, USA.
↑ Lorrie Cranor . Referencer Arkiveret 30. marts 2018 på Wayback Machine // Declared-Strategy Voting: An Instrument for Group Decision-Making.
↑ Sensus Modules Arkiveret 4. marts 2016 på Wayback Machine .
↑ A New Practical Secure e-Voting Scheme - Konklusion Arkiveret 15. juni 2019 på Wayback Machine .
↑ 1 2 3 Brassard G., Crepeau C., Robert J.-M. Alt-eller-intet afsløring af hemmeligheder // Springer Lecture Notes in Computer Science. - 1987. - Bd. 263 . Arkiveret fra originalen den 4. marts 2016.
↑ Michael Allen. Offentlige afstemningssystemer (link utilgængeligt) . Dato for adgang: 18. oktober 2014. Arkiveret fra originalen 4. marts 2016. (ubestemt)
↑ Chunming Tang, Dingyi Pei, Zhuojun Liu, Yong He. Ikke-interaktiv og informationsteoretisk sikker offentligt verificerbar hemmelighedsdeling .
↑ Ronald Cramer, Matthew Franklin, Berry Schoenmakers, Moti Yung. Multi-autoritet hemmelig afstemning valg med lineær arbejde .
↑ Benaloh J., Tuinstra D. Kvitteringsfrie hemmelige valg .