Elektronische Wahlen
Anforderungen an eine geheime Wahl:
- Wahlberechtigung: Nur berechtigte Wähler können Stimmen abgeben.
- Einmaligkeit: Jeder Wähler kann nur einmal wählen.
- Wahlgeheimnis: Niemand kann feststellen, wie ein anderer gestimmt hat.
- Fälschungssicherheit: Niemand kann unbemerkt die Stimme eines anderen ändern.
- Verifizierbarkeit: Jeder Wähler kann sich überzeugen, daß seine Stimme korrekt gezählt wurde.
Zusätzlich bei manchen Typen von Wahlen:
- Überprüfbarkeit: Jeder kann feststellen, wer gewählt hat und wer nicht.
- Überprüfungsschutz: Ein Wähler kann gegenüber Dritten nicht nachweisen, wie er gewählt hat.
Die letzte Eigenschaft soll den Stimmenkauf mit anschließender Kontrolle verhindern.
Mehr zu diesem Thema in einem Artikel von Horster und Michels.
Naives Wahlprotokoll 1
- Jeder Wähler verschlüsselt seine Stimme mit dem öffentlichen
Schlüssel des Wahlamts und sendet sie ein.
- Das Wahlamt entschlüsselt die Stimmen und zählt sie aus.
- Das Wahlamt veröffentlicht das Wahlergebnis.
Damit Forderungen 1 und 2 erfüllt sind, muß das Wahlamt die Absender der Stimmen registrieren. Damit ist aber 3 gefährdet. 4 ist nicht gegeben (in offenen Netzen), 5 auch nicht.
Das Protokoll widerspricht dem demokratischen Prinzip: Dem Wahlamt wird nicht getraut!
(In gegenwärtiger Praxis durch vielfältige Überwachung gesichert.)
Naives Wahlprotokoll 2
Verbesserung, indem jeder Wähler seine Stimme mit seinem privaten Schlüssel verschlüsselt. Dann ist Eigenschaft 4 gegenüber Außenseitern gesichert. Aber das Wahlamt ist immer noch zu mächtig. (Abstimmung, bei der einem das Wahlamt über die Schultern guckt.)
Organisatorische Regelungen sind möglich, besser ist eine Lösung im Protokoll selbst.
Wahlprotokoll mit blinder Unterschrift
- Jeder Wähler erzeugt einen Satz von Nachrichten.
- Jede dieser Nachrichten wird zusammen mit einer zufälligen
Seriennummer vom Wahlamt blind unterschrieben.
(D.h. jeder registrierte Wähler hat dann für jede mögliche
Stimme ein nur ihm bekanntes Pseudonym.)
(Das Wahlamt kann dabei durch Registrierung sichern, daß
jeder Wähler nur einen Satz von Stimmen hat.)
- Der Wähler verschlüsselt die seiner Wahl entsprechende
Nachricht (Stimme, Seriennummer) zusammen mit der
Beglaubigung mit dem öffentlichen Schlüssel des Wahlamts ...
- ... und sendet dies ans Wahlamt.
- Das Wahlamt entschlüsselt die Stimmen und zählt sie aus.
- Das Wahlamt veröffentlicht das Wahlergebnis und dazu jede
abgegebene Stimme zusammen mit der Seriennummer.
Damit sind die Anforderungen 1 bis 5 alle erfüllt. Auch hier ist noch organisatorische Kontrolle im Wahlamt nötig. Sonst:
- ... könnten Wähler durch gefälschte Registrierung
ausgeschlossen werden.
- ... könnte das Wahlamt beliebig viele zusätzliche Stimmen erzeugen.
- ... könnte das Wahlamt bei fehlender Senderanonymität die
Stimmen den Wählern zuordnen.
Weiteres Problem: Ein Wähler kann mehrere verschiedene
von seinen beglaubigten Stimmen abgeben (nur interessant, wenn mehr als zwei Wahlmöglichkeiten bestehen.)
Durch Erweiterung des Protokolls sind die Probleme teilweise behebbar.
Vorlesung Datenschutz und Datensicherheit
Sommersemester 1996, Fachbereich Mathematik
Johannes-Gutenberg-Universität Mainz
Zurück zum Inhaltsverzeichnis
Autor: Klaus Pommerening, 10. Juni 1996; letzte Änderung: 24. September 1996.
E-Mail an Pommerening@imsd.uni-mainz.de.