2b. Kryptographische Protokolle

Pseudonyme: Anwendungsbeispiel Elektronische Wahlen


Anforderungen an eine geheime Wahl

  1. Wahlberechtigung: Nur berechtigte Wähler können Stimmen abgeben.
  2. Einmaligkeit: Jeder Wähler kann nur einmal wählen.
  3. Wahlgeheimnis: Niemand kann feststellen, wie ein anderer gestimmt hat.
  4. Fälschungssicherheit: Niemand kann unbemerkt die Stimme eines anderen ändern.
  5. Verifizierbarkeit: Jeder Wähler kann sich überzeugen, dass seine Stimme korrekt gezählt wurde.

Zusätzlich bei manchen Typen von Wahlen:

Die letzte Eigenschaft soll den Stimmenkauf mit anschließender Kontrolle verhindern, steht aber natürlich in Konkurrenz zur Verifizierbarkeit.


Naives Wahlprotokoll 1

  1. Jeder Wähler verschlüsselt seine Stimme mit dem öffentlichen Schlüssel des Wahlamts und sendet sie ein.
  2. Das Wahlamt entschlüsselt die Stimmen und zählt sie aus.
  3. Das Wahlamt veröffentlicht das Wahlergebnis.
Damit Forderungen 1 und 2 erfüllt sind, muss das Wahlamt die Absender der Stimmen registrieren. Damit ist aber 3 gefährdet. 4 ist nicht gegeben (in offenen Netzen), 5 auch nicht.


Naives Wahlprotokoll 2

Verbesserung, indem jeder Wähler seine Stimme mit seinem privaten Schlüssel signiert. Dann ist Eigenschaft 4 gegenüber Außenseitern gesichert. Aber das Wahlamt ist immer noch zu mächtig. (Abstimmung, bei der einem das Wahlamt über die Schultern guckt.)

Das Protokoll widerspricht dem demokratischen Prinzip: Dem Wahlamt wird nicht getraut! (In gegenwärtiger Praxis durch vielfältige Überwachung gesichert.)

Organisatorische Regelungen sind möglich, besser ist eine Lösung im Protokoll selbst.


Wahlprotokoll mit Pseudonymen

  1. Jeder Wähler erzeugt einen Satz von Nachrichten, eine für jede Wahlmöglichkeit.
  2. Jede dieser Nachrichten wird zusammen mit einer zufälligen Seriennummer vom Wahlamt blind unterschrieben.
    (D. h. jeder registrierte Wähler hat dann für jede mögliche Stimme ein nur ihm bekanntes Pseudonym. Die Seriennummer muss, wie beim elektronischen Geld, eine vorgeschriebene Struktur haben.)
    (Das Wahlamt kann dabei durch Registrierung sichern, dass jeder Wähler nur einen Satz von Stimmen hat.)
  3. Der Wähler verschlüsselt die seiner Wahl entsprechende Nachricht (Stimme, Seriennummer) zusammen mit der Beglaubigung mit dem öffentlichen Schlüssel des Wahlamts ...
  4. ... und sendet dies ans Wahlamt.
  5. Das Wahlamt entschlüsselt die Stimmen und zählt sie aus.
  6. Das Wahlamt veröffentlicht das Wahlergebnis und dazu jede abgegebene Stimme zusammen mit der Seriennummer.

Damit sind die Anforderungen 1 bis 5 alle erfüllt. Auch hier ist noch organisatorische Kontrolle im Wahlamt nötig. Sonst:

Weiteres Problem: Ein Wähler kann mehrere verschiedene von seinen beglaubigten Stimmen abgeben (nur interessant, wenn mehr als zwei Wahlmöglichkeiten bestehen.)

Durch Erweiterung des Protokolls sind die Probleme teilweise behebbar. [Übungsaufgabe]


Ein Pilotversuch

Virtuelle Bundestagswahl [Telepolis, 11. 8. 1998]

Wahlkreis 329 [Universität Osnabrück]

Wahlen im Internet [Heise Newsticker, 23. 6. 1999]

Wahlen im Internet [Telepolis, 23. 6. 1999]

Grundsätzliche Bedenken

Es bleiben aber einige grundsätzliche Bedenken gegen elektronische Wahlen:


Autor: Klaus Pommerening, 31. März 1999; letzte Änderung: 2. Juli 2007.
E-Mail an
Pommerening »AT« imbei.uni-mainz.de.