Kryptographische Verfahren in Internetwahlsystemen

Transkript

1 Kryptographische Verfahren in Internetwahlsystemen Bachelorarbeit Roman Brehm Department of Computer Science IT Security, Usability and Society Prof. Dr. Melanie Volkamer

2 Kryptographische Verfahren in Internetwahlsystemen Bachelorarbeit Abgegeben von Roman Brehm Datum der Abgabe: 25. Juni 2012 Gutacher: Prof. Dr. Melanie Volkamer Betreuer: Stephan Neumann M.Sc. Technische Universität Darmstadt Department of Computer Science IT Security, Usability and Society Prof. Dr. Melanie Volkamer

3 Ehrenwörtliche Erklärung Hiermit versichere ich gemäß der Allgemeinen Prüfungsbestimmungen der Technischen Universität Darmstadt (APB) 23 (7), die vorliegende Bachelorarbeit ohne Hilfe Dritter und nur mit den angegebenen Quellen und Hilfsmitteln angefertigt zu haben. Alle Stellen, die aus den Quellen entnommen wurden, sind als solche kenntlich gemacht worden. Diese Arbeit hat in gleicher oder ähnlicher Form noch keiner Prüfungsbehörde vorgelegen. Darmstadt, den 25. Juni 2012 Roman Brehm i

4

5 Zusammenfassung Diese Bachelorarbeit behandelt verschiedene kryptographische Verfahren, die in Internetwahlsystemen eingesetzt werden können um die Secrecy der Stimmabgabe und davon ausgehend die Verifizierbarkeit zu gewährleisten. Dazu werden zunächst die wichtigsten, für eine Internetwahl geltenden, Secrecy- und Verifizierbarkeitsziele hergeleitet. Daran anschließend werden diese Verfahren einzeln vorgestellt und in den Kontext der Internetwahl gestellt, bevor die Eignung zur Sicherstellung der formulierten Ziele einzeln überprüft wird. Schließlich werden diese Ergebnisse zusammengeführt und die Vor- und Nachteile aller Verfahren hinsichtlich zuvor festgelegter Kriterien bewertet. Dabei wird deutlich, dass die Wahl des Verfahrens stark abhängig von den an das Wahlsystem gestellten Anforderungen ist und eine allgemeingültige Empfehlung somit nicht möglich ist. iii

6

7 Inhaltsverzeichnis Abbildungsverzeichnis Tabellenverzeichnis ix xi 1 Einleitung Motivation Zielsetzung Vorgehen und Struktur Grundlagen Internetwahlverfahren Einführung in Internetwahlen ModIWa Projekt Technische Ziele Umgang mit Wahldaten Leitung der Wahl Anmeldung des Wählers Stimmabgabe Ergebnisermittlung Wahlnachbereitung Kryptographische Primitive Verschlüsselung Digitale Signaturen Zero Knowledge Proofs Secret Sharing Einführung des Verfahrens Konkrete Umsetzung Einfaches Secret Sharing Shamir s Secret Sharing Shamir s Secret Sharing ohne Dealer v

8 5 Gestaltungsvorschläge zur Sicherstellung der Secrecy-Anforderungen Verfahren zur Sicherstellung der Secrecy Randomized Authentication Tokens Einführung des Verfahrens Anwendung in Internetwahlen Separation of Duty Einführung des Verfahrens Anwendung in Internetwahlen Blinde Signaturen Einführung des Verfahrens Anwendung in Internetwahlen Konkrete Umsetzung Benaloh s Model Einführung des Verfahrens Anwendung in Internetwahlen Konkrete Umsetzung Homomorphe Verschlüsselungsverfahren Einführung des Verfahrens Anwendung in Internetwahlen Konkrete Umsetzung Mixnetze Einführung des Verfahrens Anwendung in Internetwahlen Konkrete Umsetzung Sicherstellung der Secrecy-Ziele Gestaltungsvorschläge zur Sicherstellung der Verifizierbarkeits-Anforderungen Sicherstellung der Verifizierbarkeits-Ziele Randomized Authentication Tokens Separation of Duty Blinde Signaturen Homomorphe Verschlüsselungsverfahren Benaloh s Model Mixnetze Randomized Partial Checking Verifikation der Re-encryption Evaluation Evaluationskriterien vi Inhaltsverzeichnis

9 7.2 Randomized Authentication Tokens Bewertung Übersicht Separation of Duty Bewertung Übersicht Blinde Signaturen mit geblendetem Schlüssel Bewertung Übersicht Benaloh s Model Bewertung Übersicht Homomorphe Verschlüsselung Bewertung Übersicht Re-encryption Mixnetze Bewertung Übersicht Verfahrensübersicht Fazit und Ausblick 87 Literaturverzeichnis 91 Inhaltsverzeichnis vii

10

11 Abbildungsverzeichnis 2.1 Referenzmodell Internetwahlsystem Darstellung KORA-Methode Separation of Duty Blinde Signaturen (geblendete Stimme) Blinde Signaturen (geblendeter Token) Blinde Signaturen (geblendeter öffentlicher Schlüssel) Modell Homomorphe Verschlüsselung Modell Mixnetz Modell Decryption Mixnetz Modell Re-encryption Mixnetz Randomized Authentication Tokens (Diagramm) Separation of Duty (Diagramm) Blinde Signaturen (Diagramm) Benaloh s Model (Diagramm) Homomorphe Verschlüsselung (Diagramm) Mixnetze (Diagramm) Verfahrensübersicht (Diagramm) ix

12

13 Tabellenverzeichnis 7.1 Randomized Authentication Tokens (Evaluation) Separation of Duty (Evaluation) Blinde Signaturen (Evaluation) Benaloh s Model (Evaluation) Homomorphe Verschlüsselung (Evaluation) Mixnetze (Evaluation) Verfahrensübersicht (Evaluation) xi

14

15 1 Einleitung 1.1 Motivation In den letzten Jahren haben sich Computer in den verschiedensten Formen in allen möglichen Bereichen unseres Lebens verbreitet. Neben dem Computer am heimischen Schreibtisch und am Arbeitsplatz besitzen mehr und mehr Menschen Smartphones und Tablets. Die immer einfachere Bedienung und die zunehmende mobile Nutzung des Internets sorgen dafür, dass mittlerweile weite Teile unserer Kommunikation auf digitalem Wege stattfindet, sei es via , Textnachrichten, Voice-over-IP oder Videotelefonie. Während aber die private und berufliche Kommunikation größtenteils elektronisch abgewickelt wird, ist diese Entwicklung in der Kommunikation auf behördlicher oder staatlicher Ebene deutlich langsamer zu beobachten. So ist es inzwischen obligatorisch, Lohnbescheinigungen oder Umsatzsteuer- Voranmeldungen online abzugeben und auch die elektronische Einreichung von Einkommensteuererklärungen ist weit verbreitet (ELSTER [39]). Eines der bekanntesten Beispiele für aus der analogen Zeit übrig gebliebene Verfahren ist wohl unser aktuelles Wahlsystem. Während viele andere sicherheitskritische Anwendungen mittlerweile in der digitalen Welt angekommen sind, verwenden wir bei Wahlen noch immer das gleiche System wie vor einigen Jahrzehnten. So ist es heutzutage möglich online per Kreditkarte, per Mobiltelefon oder Smartcard zu bezahlen oder von fast jedem Mobilfunkgerät zu jeder Zeit und an jedem Ort auf das eigene Bankkonto zuzugreifen. Bei Wahlen gibt es neben der hohen geforderten Sicherheit jedoch noch ein paar weitere Aspekte, die eine Digitalisierung erschweren. Insbesondere in Deutschland sind die rechtlichen Anforderungen an Wahlen außerordentlich hoch und sehr spezifisch auf das klassische Wahlverfahren zugeschnitten. Dennoch bieten elektronische Wahlverfahren eine Vielzahl an Vorteilen. Es gibt einige verschiedene elektronische Wahlverfahren, deren gemeinsames primäres Ziel eine Effizienzsteigerung insbesondere beim Auszählvorgang ist. Man kann prinzipiell zwischen vier wichtigen Verfahren unterscheiden: Optische Scanverfahren. [2] Diese Verfahren sind für den Wähler in der Handhabung identisch zum klassischen Papierwahl-Verfahren. Es unterscheidet sich lediglich durch Markierungen auf den Wahlzetteln, die eine automatische Erfassung und Auszählung der Stimmzettel mit Scannern ermöglichen. Der einzige Vorteil gegenüber dem klassischen Wahlverfahren ist somit eine potentiell schnellere und weniger fehlerbehaftete Stimmenauszählung. 1

16 Wahlstift. [3] Auch das Wählen per Wahlstift ist für den Wähler keine große Umstellung. Im Gegensatz zu Verfahren, die auf dem Scannen des Wahlzettels basieren, wird hier die Stimme durch den Stift erfasst, bei dem durch den Einsatz von kleinen Kameras und markierten Stimmzetteln die Wahl erkannt und im Stift gespeichert wird. Am Ende der Wahl können die Wahlstifte ausgelesen und das Ergebnis elektronisch ermittelt werden. Zusätzlich liegen die ausgefüllten Stimmzettel vor und ermöglichen eine zusätzliche händische Auszählung. Auch bei diesem Verfahren beschränkt sich der Vorteil auf eine schnellere und möglicherweise genauere Ergebnisermittlung. Wahlcomputer. [21] Eine weitere Variante sind Wahlcomputer, die in Wahllokalen installiert sind. Dort wird die Stimme per Fingerdruck direkt am Bildschirm abgegeben und gespeichert. Die Stimmen werden an einen Wahlserver übertragen und das Wahlergebnis kann vollautomatisch ermittelt werden. Der größte Kritikpunkt an diesem Verfahren ist die fehlende Transparenz, da für den Wähler keinerlei Einblick in die Funktionsweise des Gerätes möglich ist und auch die korrekte Erfassung der Stimmen nicht oder nur schwer nachgeprüft werden kann. Durch Manipulation an den Geräten kann es so möglich sein, die Erfassung von Stimmen zu verhindern, Stimmen zu verändern oder zu duplizieren. Internetwahlsysteme. Bei Internetwahlen wird die Stimme an einem eigenen Computer oder Mobilgerät des Wählers abgegeben. Der Wähler startet eine Wahlsoftware, authentifiziert sich als wahlberechtigte Person und gibt seine Stimme an seinem Computer ab, die dann über eine gesicherte Verbindung an einen Wahlserver übertragen und dort ausgewertet wird. Aufgrund der dargestellten Schwächen der anderen Verfahren, sind Internetwahlsysteme die interessanteste Variante der neuartigen Wahlsysteme. Aus diesem Grunde konzentriert sich diese Arbeit vollständig auf Internetwahlsysteme; optische Scanverfahren und Verfahren basierend auf Wahlstiften oder Wahlcomputern werden nicht betrachtet. Gegenüber klassischen, aber auch im Vergleich mit den anderen elektronischen Wahlverfahren haben Internetwahlsysteme einige potentielle Vorteile, auf die im Folgenden nun eingegangen werden soll: Qualitätsverbesserung. Mit Internetwahlsystemen kann die Qualität der Wahl bedeutend verbessert werden. Während es bei herkömmlichen, papierbasierten Wahlverfahren möglich ist, dass eine Stimme nicht eindeutig festgestellt werden kann oder durch einen fehlerhaften Korrekturversuch ungewollt ungültig wird, kann dies bei einer elektronischen Wahl beides ausgeschlossen werden. Auch mögliche Verfälschungen des Wahlergebnisses durch Fehler beim Auszählvorgang können durch die automatisierte, elektronische Auszählung verhindert werden. Insgesamt ist die Qualität der Wahl durch Ausschluss vieler möglicher Ungenauigkeiten und menschlicher Fehler also deutlich höher. Zugänglichkeitsverbesserung. Die Stimmabgabe ist insbesondere bei Internetwahlsystemen für viele Wähler deutlich einfacher zu vollziehen. So ist es möglich, die Stimme vom eigenen Computer oder 2 1 Einleitung

17 eventuell auch Tablet oder Mobiltelefon abzugeben; ungeachtet vom Aufenthaltsort des Wählers. Es wäre also auch eine Stimmabgabe im Ausland oder fernab des eigenen Wahlbezirkes möglich. Wählern mit körperlichen Gebrechen kann so ebenfalls die Wahl erleichtert werden. So müssen Menschen mit eingeschränkter Mobilität nicht mehr zum Wahllokal gelangen und Wählern mit eingeschränktem Sehvermögen kann durch einen Wahlclient mit Sprachausgabe und -steuerung ermöglicht werden, die Stimme selbständig abzugeben. Insgesamt können internetbasierte Wahlverfahren also durch eine verbesserte Zugänglichkeit und bequemere Nutzung zu einer höheren Wahlbeteiligung führen. Kostenreduktion. Durch die Einführung von Wahlservern und der Entwicklung der Wahlsoftware fallen zunächst einmal recht hohe Kosten an, die bei traditionellen Wahlverfahren nicht notwendig wären. Diese Komponenten können jedoch über mehrere Jahre und viele Wahlen hinweg verwendet werden. So fallen die deutlichen Kosteneinsparungen mittel- bis langfristig deutlich stärker ins Gewicht als die zusätzlichen Einmalkosten. Im Gegensatz zu traditionellen Wahlverfahren müssen zudem keine Stimmzettel mehr gedruckt werden. Zusätzlich entfällt der sehr personalintensive Teil der Stimmenauszählung, so dass an dieser Stelle eine deutliche Personalreduktion und damit hergehend erhebliche Kostenvorteile im Betrieb entstehen. Zusätzlich kann, je nach Umsetzung, auch die aufwändige Briefwahl entfallen. Flexibilitätserhöhung. Mit der Verwendung von Internetwahlsystemen werden Wahlen deutlich flexibler als von traditionellen Systemen gewohnt. Die Organisation einer Wahl ist bedeutend weniger aufwändig, womit auch Volksbefragungen einfacher ermöglicht werden könnten. Des Weiteren ist auch die Ermittlung des Wahlergebnisses sehr viel schnell möglich als dies bei bestehenden Systemen der Fall ist. Das Endergebnis kann also sehr zeitnah nach Wahlende veröffentlicht werden. 1.2 Zielsetzung Während einige Varianten elektronischer Wahlverfahren international verwendet werden, befinden sich Internetwahlsysteme noch immer im Anfangsstadium ihrer Entwicklung und Verbreitung. So werden bei Wahlen in London seit einigen Jahren optische Scanverfahren [20], in Brasilien Wahlcomputer [34] und in den USA eine Kombination aus klassischen Verfahren, mechanischen Wahlmaschinen, Wahlcomputern und optischen Scanverfahren eingesetzt. Auch in Kanada werden auf Provinz- und Kommunalebene verschiedenste Verfahren von Telefonwahlen über Wahlmaschinen bis hin zu Internetwahlensystemen eingesetzt [30]; in Indien [46] und in Estland sind ebenfalls Internetwahlsysteme im Einsatz. So wurden bei den Parlamentswahlen 2011 in Estland, bei der die Stimmabgabe über das Internet eine weitere Möglichkeit neben der Existenz der klassischen Papierwahl darstellte, knapp ein Viertel aller Stimmen 1.2 Zielsetzung 3

18 per Internetwahl abgegeben [50]. Viele Länder beendeten allerdings auch ihre Pilotprojekte mit elektronischen Wahlverfahren, insbesondere Wahlcomputern, wie zum Beispiel Deutschland, die Niederlande oder Irland [44]. Der Grund dafür lag zumeist in der fehlenden Transparenz des Verfahrens und der kaum möglichen Kontrolle der proprietären Wahlcomputer. Im Rahmen des ModIWA Projektes [16][17], das in Abschnitt 2.2 genauer vorgestellt wird, wurden technische Ziele formuliert, die den Ausgangspunkt dieser Arbeit bilden. Diese Ziele beschreiben alle technischen Anforderungen an ein Wahlsystem, die benötigt werden um die bestehenden rechtlichen Anforderungen zu erfüllen. Ziel dieser Arbeit ist nun eine Analyse, welche kryptographischen Verfahren geeignet sind, um die hohen an Wahlsysteme gestellten Anforderungen bei Internetwahlsystemen zu erfüllen. Dabei sollen die technischen Ziele entsprechend ihrer Lösbarkeit durch kryptographische Methoden gefiltert, neu zusammengefasst und formuliert werden. Es werden verschiedene Verfahren zur Erfüllung dieser Ziele vorgestellt und auf ihre Eignung geprüft, sowie ihre Vor- und Nachteile gegenübergestellt um letztlich die Wahl des verwendeten Verfahrens, abhängig vom Umfang und den Anforderungen der auszuführenden Wahl, zu erleichtern. 1.3 Vorgehen und Struktur Im folgenden Kapitel der Arbeit werden Grundlagen von Internetwahlsystemen vorgestellt. Dabei wird ein Referenzmodell eines Internetwahlsystems mit allen wichtigen Komponenten eingeführt. Daran anschließend folgt eine Übersicht über das ModIWA Projekt [16][17], in der das Vorgehen und der aktuelle Stand des Projektes erläutert werden. In Abschnitt drei werden die im ModIWa Projekt erarbeiteten technischen Ziele genauer betrachtet. Diese Ziele werden untersucht und kategorisiert. Im Fokus dieser Arbeit stehen dabei diejenigen, die im direkten Zusammenhang mit dem Wahlprotokoll stehen, kryptographisch gelöst werden können und sich auf Secrecy- oder Verifizierbarkeitsanforderungen beziehen. Kryptographische Bausteine, die im Verlauf der Arbeit als Grundlage benötigt werden, sind Thema in Kapitel vier. Es wird eine Einführung in verwendete kryptographische Konzepte und Verfahren, die für das Verständnis der folgenden Kapitel wichtig sind, gegeben. In Abschnitt fünf werden die zuvor identifizierten Ziele mit Secrecy-Anforderungen genauer betrachtet. Dabei werden diese auf die darin beinhalteten konkreten, technischen Forderungen aufgespaltet und schließlich zu mehreren konkreten Secrecy-Zielen zusammengefasst. Es werden mehrere kryptographische Verfahren zur Erfüllung der Anforderungen vorgestellt und anschließend auf ihre Eignung zur Sicherstellung der konrekten Secrecy-Ziele überprüft. 4 1 Einleitung

19 Abschnitt sechs deckt analog dazu die extrahierten Ziele mit Verifizierbarkeits-Anforderungen ab. Diese werden ebenfalls untersucht und konkreten technischen Zielen zugeordnet, bevor deren Erfüllbarkeit dann, abhängig von der verwendeten Methode zur Sicherstellung der Secrecy, im Detail betrachtet wird. Nach der detaillierten einzelnen Betrachtung der Secrecy- und Verifizierbarkeits-Anforderungen folgt in Kapitel sieben die Evaluation der vorgestellten Verfahren. Dabei werden zunächst Kriterien zur Beurteilung der verschiedenen Systeme festgelegt, bevor diese dann mit ihren Vor- und Nachteilen in Bezug auf diese Kriterien bewertet und ihre Eignung für bestimmte Szenarien beurteilt wird. Im Schlussabschnitt folgt dann das Fazit dieser Arbeit und ein Ausblick auf weiter zu betrachtende Aspekte, die im Rahmen dieser Arbeit keine weitergehende Berücksichtigung finden konnten. 1.3 Vorgehen und Struktur 5

20

21 2 Grundlagen Internetwahlverfahren In diesem Kapitel soll zunächst ein kurzer Überblick über Internetwahlen gegeben werden bevor anschließend das ModIWa Projekt, auf dem diese Arbeit aufbaut, kurz beschrieben und der aktuelle Stand des Projektes dargestellt wird. 2.1 Einführung in Internetwahlen Wie bereits ausgeführt, konzentriert sich diese Arbeit auf Internetwahlsysteme, also Wahlverfahren bei denen der Wähler seine Stimme an einem, in der Regel in seinem Besitz befindlichen, Computer oder Mobilgerät abgibt. An dieser Stelle soll ein Referenzmodell für Internetwahlsysteme eingeführt werden, um die wichtigsten Instanzen und den prinzipiellen Ablauf des Wahlvorganges kurz vorzustellen. Instanzen der Internetwahl Die wichtigsten Instanzen der Internetwahl sind: Wählerverzeichnis. Im Wählerverzeichnis sind alle wahlberechtigten Bürger mit ihren Kontakt-, Identitäts- und Authentifikationsdaten gespeichert. Wahlleitung. Die Mitglieder der Wahlleitung sind die Administratoren der Wahl. Sie sind zuständig für die Verwaltung des Wählerverzeichnisses mit Daten und Berechtigungen der Wähler, die Erstellung und Versendung der Stimmzettel und den Start und die Beendigung der Wahl. Wähler. Die Wähler sind alle wahlberechtigten und zur Wahl aufgerufenen Personen. Sie füllen den Stimmzettel mit ihrer Wahl aus und senden diesen weiter. Urne. In der Urne werden am Ende des Wahlvorganges alle Stimmzettel abgelegt. Dort findet schließlich auch die Auszählung der Stimmen statt. Bulletin Board. (optionale Komponente) Das Bulletin Board ermöglicht die Veröffentlichung von Informationen zur Wahl und von Wahlinhalten. Die Vertrauenswürdigkeit des Bulletin Boards wird vorausgesetzt. 7

22 Internetwahl Referenzmodell Das hier zu betrachtende Referenzmodell eines Internetwahlsystems (Abbildung 2.1) besteht aus den Wählern, der Wahlleitung, dem Wählerverzeichnis, dem Bulletin Board und der Urne. Der Ablauf der Wahl ist dabei wie folgt: 1. Die Wahlleitung sendet zu Beginn der Wahl einen Stimmzettel an alle laut Wählerverzeichnis wahlberechtigten Bürger 2. Der Wähler empfängt den Stimmzettel, füllt diesen mit seiner Wahl aus und sendet ihn an das Bulletin Board 3. Die gesammelten Stimmzettel werden vom Bulletin Board zur Urne übertragen 4. In der Urne werden die Stimmzettel nun entschlüsselt und ausgezählt, womit dann das Wahlergebnis bestimmt wird Stimmzettel (leer) Wahlleitung Wählerverzeichnis Wähler Stimmzettel (ausgefüllt) Bulletin board Stimmzettel (ausgefüllt) Urne Auszählung Wahlergebnis Abbildung 2.1: Referenzmodell Internetwahlsystem Nun ist in einem solches Internetwahlsystem weder die Anonymität der Stimmabgabe, noch eine weitgehende Verifizierbarkeit des ermittelten Wahlergebnisses möglich. So müssen zusätzliche Konzepte und Komponenten eingeführt werden, die gewährleistet, dass eine abgegebene Stimme keinem Wähler zugeordnet werden kann und das System muss um Verfahren erweitert werden, die eine Kontrolle der Wahl ermöglichen. Darauf wird in den Kapiteln fünf und sechs genauer eingegangen. 8 2 Grundlagen Internetwahlverfahren

23 2.2 ModIWa Projekt Gefördert von der Deutschen Forschungsgemeinschaft (DFG) 1 starteten die Universität Kassel und die Universität Koblenz im Jahr 2009 das Projekt Juristisch-informatische Modellierung von Internetwahlen (ModIWa) [16] welches im Jahr 2011 von der DFG, der Universität Kassel, der Universität Koblenz-Landau und der Technischen Universität Darmstadt in ModIWa II [17] fortgesetzt wurde. Ziel des interdisziplinären Projektes der Fachbereiche Informatik und Rechtswissenschaften war die Erarbeitung einer wissenschaftlich tragfähigen Evaluierungsgrundlage für Internetwahlen. Dabei wird das Maximalszenario Internetwahlen als verpflichtende Methode für Bundestagswahlen betrachtet. Von diesem Maximalszenario können mit Verschiebungen bei Anforderungen, Kriterien und Zielen allerdings auch andere Szenarien abgeleitet werden. Der bisherige Verlauf des Projektes soll hier vorgestellt werden. Dabei sind die Anforderungen und Begriffe wörtlich der Dokumentation des Projektes entnommen, während alle hier folgend angegebenen Beschreibungen selbst formuliert wurden um sie prägnant und für den Fokus dieser Arbeit relevant zu halten. Rechtliche Anforderungen Rechtliche Kriterien Technische Ziele Technische Gestaltungsvorschläge Abbildung 2.2: Darstellung KORA-Methode Zunächst wurden aus den acht rechtlichen Vorgaben (allgemeine Wahl, unmittelbare Wahl, freie Wahl, geheime Wahl, gleiche Wahl, öffentliche Wahl, informationelle Selbstbestimmung und Fernmeldegeheimnis) durch Betrachtung der sozialen Funktion der Vorgaben und ihren Chancen sowie Risiken fünf rechtliche Anforderungen abgeleitet: Selbstbestimmung. Jeder Wähler muss die Möglichkeit haben an der Wahl teilzunehmen. Dabei darf er in seiner Entscheidung nicht beeinflusst werden ModIWa Projekt 9

24 Gleichwertigkeit. Jeder Wähler hat genau eine Stimme und jede abgegebene Stimme zählt exakt gleich. Ferner darf kein Kandidat durch den Aufbau des Stimmzettels bevorzugt oder benachteiligt werden. Unbestimmbarkeit. Es darf nicht möglich sein eine Stimme dem Wähler zuordnen zu können, der diese abgegeben hat. Auch darf das Wahlergebnis erst nach Ende der Wahl bekannt gegeben werden - eine Veröffentlichung von Zwischenständen vor Ende der Wahl ist unzulässig um eine Beeinflussung der Personen, die ihre Stimme noch nicht abgegeben haben, zu vermeiden. Laienkontrolle. Jeder Bürger, ungeachtet seiner Wahlberechtigung, muss die Möglichkeit haben den prinzipiellen Ablauf der Wahl zu verfolgen und zu kontrollieren. Datenschutz. Personenbezogene Daten dürfen nur dann erfasst, gespeichert und verwendet werden, wenn sie für die Wahl unbedingt notwendig sind. Aus diesen rechtlichen Anforderungen entwickelte man nach der KORA Methode (Konkretisierung rechtlicher Anforderungen) [43] im nächsten Schritt dann elf rechtliche Kriterien, die im Folgenden zusammengefasst sind: Nutzbarkeit. Jeder Wähler muss seine Stimme ungeachtet seiner Fähigkeiten im Umgang mit Computern abgeben können. Körperlich beeinträchtigten Menschen muss das Verfahren durch entsprechendes Design und unterstützende Funktionen ebenfalls die Stimmabgabe ermöglichen. Erreichbarkeit. Jedem Wahlberechtigten muss eine Teilnahme an der Wahl, an eigenen oder öffentlichen Computern, ermöglicht werden. Zudem muss das Wahlverfahren möglichst durchgehend und ohne größere Ausfälle erreichbar sein. Abgegebene Stimmen dürfen auch bei eventuellen Störungen nicht verlorengehen. Stimmengleichheit. Jede Stimme eines Wahlberechtigten muss genau gleich gezählt werden. Keine Stimme darf mit einem höheren oder einem niedrigeren Gewicht in das Wahlergebnis einfließen. Neutralität. Es darf keiner der Kandidaten in irgendeiner Form bevorzugt oder benachteiligt werden, sei es durch die Gestaltung des Stimmzettels oder den Ablauf des Wahlprogramms. Inhaltsschutz. Der Inhalt der abgegeben Stimmen muss bis zum Ende der Wahl geheim bleiben. Auf den Inhalt der ausgefüllten Stimmzettel darf somit weder auf Endgeräten der Wähler, noch auf dem Übertragungsweg zum Wahlserver oder auf dem Wahlserver selbst zugegriffen werden können, solange die Wahl noch nicht beendet ist. Unverknüpfbarkeit. Bei der Stimmenauszählung darf keine Stimme einem Wähler zugeordnet werden können - weder durch die Wahlleitung, noch durch dritte Personen oder den Wähler selbst, der sonst seine Wahl nachweisen könnte. Individualkontrolle. Jedem Wähler muss eine Überprüfung der korrekten Erfassung seiner Stimme möglich sein Grundlagen Internetwahlverfahren

25 Publikumskontrolle. Alle Bürger müssen die Möglichkeit haben, die Wahl zu überprüfen. Dabei können sie den Ablauf der Wahl und die Einhaltung der Wahlrechtsgrundsätze überprüfen. Datensparsamkeit. Es dürfen nur solche personenbezogenen Daten erfasst und gespeichert werden, die für die Durchführung der Wahl zwingend erforderlich sind. Datentransparenz. Jeder Wahlberechtigte muss in die Lage versetzt werden, die über ihn gespeicherten, personenbezogenen Daten einzusehen. Zweckbindung. Die gespeicherten, personenbezogenen Daten dürfen für nichts anderes, als die unmittelbare Durchführung der Wahl, genutzt werden. Datenbeherrschbarkeit. Jedem Wähler müssen die ihm gesetzlich zustehenden Löschungs-, Berichtigungsund Sperrungsrechte bezüglich der über ihn erfassten personenbezogenen Daten eingeräumt werden. Sicherung. Das Wahlsystem muss so gesichert sein, dass es nicht nur im Normalbetrieb sondern auch bei eventuell auftretenden Störungen alle anderen rechtlichen Kriterien erfüllt. In folgenden Schritt sollen diese informell beschriebenen Kriterien dann schließlich formalisiert und in die Sprache der Informatik übertragen werden. So wurden schließlich 31 technische Ziele hergeleitet, die im nächsten Abschnitt genauer vorgestellt werden. Sie bilden den Startpunkt für diese Arbeit, wie in Abbildung 2.2 dargestellt. Dabei sind die blau dargestellten Schritte bereits abgeschlossen während der grüne Bereich die noch ausstehende Arbeit im Rahmen des ModIWa Projektes anzeigt. Im letzten Schritt des Projektes sollen nun aus den technischen Zielen konkrete technische Gestaltungsvorschläge entwickelt werden, die sowohl für Hersteller und Betreiber von Internetwahlsystemen als auch für Anwender gültig sind und die rechtlichen und technischen Anforderungen erfüllen. Diese Arbeit wird sich dabei auf die kryptographisch relevanten Ziele beschränken, die im folgenden Kapitel identifiziert werden. 2.2 ModIWa Projekt 11

26

27 3 Technische Ziele Im Rahmen des ModIWa-Projektes [16][17] wurden im dritten Schritt aus elf rechtlichen Kriterien letztlich 31 technische Ziele formuliert. Dabei wird auch von der Sprache des Rechts in die formalisiertere Sprache der Informatik übergegangen. In den folgenden Sektionen werden diese 31 technischen Ziele in den Kategorien Umgang mit Wahldaten, Leitung der Wahl, Anmeldung des Wählers, Stimmabgabe, Ergebnisermittlung und Wahlnachbereitung genannt, in eigenen Worten erläutert und kategorisiert. Wir teilen die Ziele dabei zunächst in jene ein, die direkt mit dem Wahlprotokoll in Verbindung stehen und kryptographisch gelöst werden können und in Ziele, die unabhängig vom Protokoll oder kryptographisch nicht lösbar sind. Um die Betrachtung der Ziele auf bestimmte, festgelegte Bereiche beschränken zu können, führen wir insgesamt elf verschiedene Unterkategorien von Anforderungen ein, in welche sich die technischen Ziele kategorisieren lassen: Ziele mit direktem Bezug zum Wahlprotokoll, kryptographisch lösbar Secrecy. Vertraulichkeit von Daten, um den Zugriff auf die Inhalte zu verhindern, aber auch die Anonymität des Wählers um die Zuordnung einer Person zu einer Stimme nicht zu ermöglichen Verifizierbarkeit. Prüfung von Daten, um sicherzustellen, dass diese korrekt und vollständig verarbeitet wurden Integrität. Daten müssen vor unerwünschten Änderungen geschützt werden, beziehungsweise diese Änderungen im Falle des Auftretens bemerkt werden können Ziele ohne direkten Bezug zum Wahlprotokoll, kryptographisch nicht lösbar Funktionalität. Sicherstellung eines bestimmten Vorganges oder einer bestimmten geforderten Funktion des Systems Demokratie. Erfüllung prinzipieller Wahlgrundsätze, wie beispielsweise die Abgabe von maximal einer Stimme pro Wahlberechtigtem Authentifizierung. Korrekte Identitätsprüfung um Daten nur einer bestimmten Personengruppe zugänglich zu machen Verfügbarkeit. Erreichbarkeit und Funktionsfähigkeit des gesamten Wahlsystems oder einzelner Komponenten davon 13

28 Neutralität. Ausschluss einer Bevorzugung oder Benachteiligung von einzelnen Wahloptionen oder Kandidaten Nutzbarkeit. Durchführbarkeit und Verständlichkeit des Systems oder einzelner Schritte davon, um keine Benutzer vom Wahlvorgang auszugrenzen Organisation. Organisationsvorgänge, wie Start und Beendigung der Wahl und Protokollierung von wichtigen Ereignissen während des Wahlablaufs Datenschutz. Datensparsamkeit, um das Speichern von nicht unbedingt zur Wahldurchführung benötigten, personenbezogenen Daten zu verhindern und Datentransparenz, um es dem Nutzer zu ermöglichen, die über ihn erfassten und gespeicherten Daten einzusehen In dieser Arbeit soll der Fokus auf den Gestaltungszielen liegen, die direkt mit dem Wahlprotokoll beziehungsweise der Stimmabgabe zusammenhängen und sich mit kryptographischen Mitteln sicherstellen lassen. Dies schließt Ziele aus, die beispielsweise rein organisatorische Vorgaben benötigen. Während alle diese Anforderungen selbstverständlich wichtig und notwendig sind, stehen die Kategorien Secrecy und Verifizierbarkeit im Fokus dieser Arbeit und werden in den weiteren Kapiteln ausführlich behandelt. Auf die Ziele mit Integritätsanforderungen soll im Rahmen dieser Arbeit nicht genauer eingegangen werden. Einige dieser Ziele sind zumindest im Nachhinein durch die Verifizierbarkeit bereits abgedeckt, andere müssten separat betrachtet werden, was den Rahmen dieser Arbeit übersteigt. Es werden im Folgenden die im ModIWa-Projekt aufgestellten Ziele einzeln betrachtet, entsprechend den oben aufgestellten Anforderungen kategorisiert und ihre Relevanz hinsichtlich des angegebenen Schwerpunktes angegeben. Dabei wird auch beschrieben, was das Ziel in der Praxis konkret beinhaltet und sicherstellen soll. Die relevanten Ziele werden dann im Abschnitt Sicherheitsanforderungen ausführlich behandelt. 3.1 Umgang mit Wahldaten Eine Reihe von Anforderungen bezieht sich auf den Umgang mit Daten der Wähler oder der Stimmzettel. Dabei sind bestimmte Ziele hinsichtlich der Erfassung, Verarbeitung und Speicherung der Wähler- und Stimmzetteldaten wichtig. Als Wählerdaten werden dabei alle über einen Wähler gespeicherten Daten zur Identifikation, Authentifikation oder auch dessen Kontaktdaten bezeichnet. Die Stimmzetteldaten sind die Inhalte der Stimmzettel, also die zur Wahl stehenden Optionen und eventuelle zur Darstellung des Stimmzettels benötigte Informationen. Z1: Unbefugte dürfen die Wählerdaten nicht einsehen können Relevanz: nicht relevant Anforderungen: Authentifizierung (Wahlvorstand), Secrecy (Wählerdaten) 14 3 Technische Ziele

29 Zur Erfüllung des Zieles darf sich kein unbefugter Benutzer als Mitglied des Wahlvorstandes ausgeben können und der Zugriff auf die Wählerdaten ausschließlich den Mitgliedern des Wahlvorstandes möglich sein. Es muss also eine korrekte Authentifizierung sichergestellt sein, um Zugriff auf die Wählerdaten zu gewähren. Da das Ziel aber in keinem direkten Zusammenhang zum Wahlprotokoll steht, liegt es nicht im direkten Fokus dieser Arbeit. Z2: Unbefugte dürfen die Wählerdaten nicht verändern können Relevanz: nicht relevant Anforderungen: Authentifizierung (Wahlvorstand), Integrität (Wählerdaten) Dieses Ziel ist eine Erweiterung von Ziel 1. Es darf für Personen, die nicht Mitglied des Wahlvorstandes sind, nicht möglich sein, die Wählerdaten zu verändern. Es muss somit die Integrität der Wählerdaten sowie eine korrekte Authentifizierung des Wahlvorstandes gewährleistet werden. Auch dieses Ziel liegt nicht im Fokusbereich dieser Arbeit. Z3: Es dürfen nur tatsächlich benötigte Daten gespeichert werden Relevanz: nicht relevant Anforderungen: Datenschutz (Wählerdaten) Es sollen nur unbedingt zur Wahldurchführung notwendige personenbezogene Daten gespeichert werden. Dieses Ziel bezieht sich somit vorrangig auf die Datensparsamkeit und ist hier nicht relevant. Z4: Der Wähler muss Einblick in und Einfluss auf den Umfang und Zweck der Speicherung seiner persönlichen Daten haben können Relevanz: nicht relevant Anforderungen: Datenschutz (Wählerdaten) Der Wähler muss kontrollieren können, welche Daten von ihm gespeichert wurden und ob diese Daten korrekt sind. Dabei steht die Datentransparenz im Vordergrund, die für diese Arbeit nicht relevant ist. Z5: Die Gestaltung des Stimmzettels darf den Wähler nicht beeinflussen Relevanz: nicht relevant Anforderungen: Neutralität (Stimmzettel) Alle zur Wahl stehenden Optionen müssen auf dem Stimmzettel in gleicher Art und Weise und ohne Unterschiede in der Gestaltung dargestellt werden. Der Wähler darf so durch den Aufbau des Stimmzettels nicht beeinflusst werden. Das Ziel bezieht sich somit auf die Neutralität des Stimmzettels und ist im Kontext dieser Arbeit nicht zu betrachten. 3.1 Umgang mit Wahldaten 15

30 Z6: Unbefugte dürfen die Stimmzetteldaten nicht verändern können Relevanz: nicht relevant Anforderungen: Authentifizierung (Wahlvorstand), Integrität (Stimme) Es darf keiner Person, die nicht Mitglied des Wahlvorstandes ist, möglich sein, die Stimmzettel zu modifizieren und auch im Falle von Änderungen durch Mitglieder des Wahlvorstandes müssen diese Änderungen nachvollziehbar sein. Folglich ist die Integrität der Stimmzettel zu sichern und eine korrekte Authentifizierung für Mitglieder des Wahlvorstandes zu schaffen. Das Ziel lässt sich kryptographisch lösen, es besteht aber kein Zusammenhang mit dem direkten Vorgang der Stimmabgabe. 3.2 Leitung der Wahl Dem Wahlvorstand obliegt die Leitung der Wahl. Dies beinhaltet den Start und die Beendigung der Wahl, wie auch die Ermittlung des Wahlausganges. Z7: Der Wahlvorstand muss die Wahl zum vorher festgelegten Zeitpunkt starten Relevanz: nicht relevant Anforderungen: Organisation (Wahl) Der Wahlvorstand darf die Wahl aus Gründen der Gleichbehandlung aller Wähler nicht zu einem beliebigen sondern nur zum zuvor festgelegten Zeitpunkt starten. Es handelt sich hierbei um ein rein organisatorisches Ziel, das für diese Arbeit nicht von Bedeutung ist. Z8: Nach Ausfällen der Wahlanwendung muss eine Fortsetzung der Wahl möglich sein Relevanz: nicht relevant Anforderungen: Verfügbarkeit (Wahl), Integrität (Wahldaten) Sollte es während der Wahl zu Unterbrechungen in der Verfügbarkeit des Wahlsystems kommen, so muss es möglich sein die Wahl danach wiederaufzunehmen. Dabei muss die Integrität der Wahldaten, also des Wählerverzeichnisses, der Stimmzettel und aller für die Wahldurchführung benötigten Daten gewährleistet sein. Es dürfen also beispielsweise keine Stimmen, die sich in der Übertragung befinden, unbemerkt verschwinden. Beide Aspekte sind im Rahmen dieser Arbeit nicht relevant. Z9: Der Wahlvorstand muss die Wahl zum vorher festgelegten Zeitpunkt beenden Relevanz: nicht relevant Anforderungen: Organisation (Wahl) 16 3 Technische Ziele

31 Analog zu Ziel 7 muss auch das Ende der Wahl zu dem vor Wahlbeginn festgelegten Zeitpunkt erfolgen. Auch dieses Ziel wird hier nicht näher betrachtet. Z10: Das Ermitteln von Zwischenergebnissen darf nicht möglich sein Relevanz: relevant Anforderungen: Secrecy (Stimme) Damit kein Wähler, der seine Stimme noch nicht a,gegeben hat, beeinflusst wird, darf es nicht möglich sein ein Zwischenergebnis der Wahl zu bilden. Sollte ein Angreifer Zugriff auf die Urne erhalten, dann darf es ihm also nicht möglich sein, die Verteilung der sich daran befindlichen Stimmen festzustellen. Auch der Inhalt ausgefüllter Stimmzettel darf nicht sichtbar sein, so dass niemand diese während der Übertragung zur Abgabe mitlesen und daraus ein Zwischenergebnis ableiten kann. Auch der Wahlvorstand darf erst nach Beendigung der Wahl in der Lage sein, die Verteilung der Stimmen in der Urne festzustellen. Dieses Ziel ist rein kryptographisch lösbar und für diese Arbeit relevant. Z11: Das Ermitteln des Wahlergebnisses muss nach Ende der offiziellen Wahlzeit durch Mitglieder des Wahlvorstandes gestartet werden Relevanz: nicht relevant Anforderungen: Organisation (Wahl) Hierbei handelt es sich wieder um ein organisatorisches Ziel. Der Wahlvorstand muss nach der Beendigung der Wahl die Ermittlung des Ergebnisses einleiten. Dieses Ziel ist hier nicht relevant. 3.3 Anmeldung des Wählers Zur Abgabe der Stimme muss sich jeder Wähler im Wahlsystem authentifizieren, damit sichergestellt werden kann, dass er wahlberechtigt ist und nicht mehrere Stimmen abgeben kann. Z12: Nur wahlberechtigte Personen dürfen sich erfolgreich am Internetwahlverfahren anmelden können Relevanz: nicht relevant Anforderungen: Authentifizierung (Wähler), Integrität (Wählerdaten) Es muss sichergestellt werden, dass nur Personen, die auch wahlberechtigt sind, eine Stimme während der Wahl abgeben können. Um dies zu gewährleisten, muss der Wähler sich authentifizieren, worauf folgend dann sein Stimmabgabevermerk geprüft werden kann. Zudem muss die Integrität der Wählerdaten gesichert werden, damit es Angreifern nicht möglich ist, die Wahlberechtigungen zu manipulieren. Dieses 3.3 Anmeldung des Wählers 17

32 Ziel ist zwar kryptographisch lösbar, bezieht sich allerdings lediglich auf den Zugriff auf die Wählerdaten und ist somit hier nicht relevant. Z13: Jede wahlberechtigte Person darf nur genau eine Stimme verbindlich abgeben können Relevanz: nicht relevant Anforderungen: Demokratie (Wahl), Integrität (Wählerdaten) Ist die Wahlberechtigung einer Person erfolgreich geprüft, so muss sichergestellt werden, dass jeder Wahlberechtigte auch nur eine Stimme abgeben kann. Es darf einem Angreifer nicht möglich sein, einen Stimmabgabevermerk zu verändern um somit die jeweilige Stimme erneut abgeben zu können oder den Wähler an der Abgabe einer Stimme zu hindern. Prinzipiell bezieht sich dieses Ziel erneut eher auf den Zugriff der Wählerdaten, allerdings ist der Demokratie-Aspekt auch für das Wahl-Protokoll relevant. Dennoch liegen diese Ziele nicht im Fokus dieser Arbeit und werden daher nicht näher betrachtet. 3.4 Stimmabgabe Nach der Organisation der Wahl und der erfolgreichen Prüfung der Wahlberechtigung eines Wählers folgt nun die wichtigste Phase der Stimmabgabe. Hierbei geht es um den Ablauf und die Nutzbarkeit der Stimmabgabe sowie um die Sicherheit und Anonymität bei der Übertragung der Stimme. Z14: Die wesentlichen Schritte der Stimmabgabe müssen für jeden Wähler verständlich sein Relevanz: nicht relevant Anforderungen: Nutzbarkeit (Wahl) Unabhängig von seinen technischen Kenntnissen muss jeder Wähler in die Lage versetzt werden seine Stimme abzugeben. Der Ablauf der Stimmabgabe muss leicht verständlich und ohne besondere Voraussetzungen durchführbar sein. Dieses Ziel bezieht sich auf die Nutzbarkeit des Wahlsystems und wird im Umfang dieser Arbeit nicht explizit betrachtet Z15: Die Schritte der Stimmabgabe müssen für jeden Wähler durchführbar sein Relevanz: nicht relevant Anforderungen: Nutzbarkeit (Wahl) Jedem Wähler muss unabhängig von seinem körperlichen Zustand die Abgabe einer Stimme ermöglicht werden. Dabei sollte gewährleistet sein, dass auch körperlich beeinträchtigte Menschen, die beispielsweise unter einer Sehschwäche leiden, das Wahlsystem verwenden können. Es handelt sich wieder um ein Nutzbarkeitsziel, das hier nicht weiter verfolgt wird Technische Ziele

33 Z16: Alle Wähler müssen bei gleichem Nutzungsverhalten das Gleiche erreichen können Relevanz: nicht relevant Anforderungen: Nutzbarkeit (Wahl) Es muss sichergestellt werden, dass der Ablauf der Stimmabgabe mit dem Wahlclient für jeden Wähler identisch ist und die gleichen Aktionen des Anwenders auch das gleiche Ergebnis zur Folge hat. Auch dieses Ziel bezieht sich auf die Nutzbarkeit des Wahlsystems und ist hier nicht relevant. Z17: Es muss berechtigten Wählern während des gesamten Wahlzeitraums möglich sein, eine Stimme abzugeben Relevanz: nicht relevant Anforderungen: Verfügbarkeit (Wahl) Ausfälle des Wahlsystems sollen so gut es geht verhindert werden. Sollte das System dennoch ausfallen, so muss die Zeit der Nicht-Verfügbarkeit, in der keine Stimmabgabe möglich ist, minimiert werden. Dieser Aspekt der Verfügbarkeit ist für diese Arbeit eher sekundär von Bedeutung. Z18: Die Stimme darf erst nach einer Bestätigung durch den Wähler gesendet und verbindlich gespeichert werden Relevanz: nicht relevant Anforderungen: Nutzbarkeit (Wahl) Eine ungewollte Stimmabgabe des Wählers muss ausgeschlossen werden. Daher sollte die Stimme bei der Auswahl durch den Wähler nicht direkt übermittelt sondern zumindest eine Bestätigung seiner Wahl verlangt werden. Das Nutzbarkeitsziel ist für diese Arbeit nicht relevant. Z19: Es muss sichergestellt werden, dass die Stimme korrekt übertragen wird Relevanz: nicht relevant Anforderungen: Integrität (Stimme) Die abgegebene Stimme des Wählers muss so in der Urne ankommen, wie sie vom Wähler abgeschickt wurde. Es darf also keinem Angreifer möglich sein, die Stimme abzufangen und zu löschen und somit aus der Ergebniszählung auszuschliessen. Ferner darf es ihm auch nicht möglich sein, die Stimme während der Übertragung zu verändern. Es muss also die Integrität der Stimme sichergestellt werden. Diese Forderung wird hier nicht näher betrachtet. 3.4 Stimmabgabe 19

34 Z20: Der Wähler muss eine Rückmeldung über Erfolg oder Misserfolg seiner Stimmabgabe erhalten Relevanz: nicht relevant Anforderungen: Funktionalität (Rückmeldung) Wenn die Stimme eines Wählers nicht erfolgreich übertragen werden kann, weil beispielsweise ein Angreifer den Wahlserver stört, der dadurch nicht mehr erreichbar ist, dann muss der Wähler eine Rückmeldung erhalten, dass seine Stimme nicht registriert wurde und er diese erneut abgeben muss. Andernfalls würde der Wähler irrtümlich davon ausgehen, dass seine Stimme in das Ergebnis einfliesst - er wäre also quasi von der Wahl ausgeschlossen. Dieser Vorgang gehört nicht zum kryptographischen Teil des Wahlprotokolls und ist daher hier nicht relevant. Z21: Ein Stimmabgabevermerk darf nur nach erfolgreicher verbindlicher Stimmabgabe erstellt werden Relevanz: nicht relevant Anforderungen: Funktionalität (Stimmabgabevermerk) Es muss sichergestellt werden, dass nur im Falle einer erfolgreichen Stimmabgabe seitens des Wählers der jeweilige Stimmabgabevermerk gesetzt wird. Füllt der Wähler zum Beispiel den Stimmzettel aus, sendet ihn aber nicht ab, weil er den Vorgang abbricht oder die Verbindung durch technische Probleme gestört ist, darf kein Stimmabgabevermerk gesetzt werden, da er dadurch an der Stimmabgabe gehindert werden würde. Sofern das Wahlverfahren es erlaubt die bereits abgegebene Stimme durch eine weitere Stimmabgabe zu überschreiben, darf die erneute Abgabe nicht durch den gesetzten Stimmabgabevermerk verhindert werden. Analog zu Ziel 20 ist dies hier nicht relevant. Z22: Der Inhalt der Stimmabgabe darf für Dritte nicht ersichtlich sein Relevanz: relevant Anforderungen: Secrecy (Stimme) Der Inhalt des ausgefüllten Stimmzettels darf unter keinen Umständen sichtbar sein, solange noch eine Verknüpfung zur Identität eines Wählers besteht. Wenn ein Angreifer Zugriff auf den abgesendeten Stimmzettel eines Wählers erhält, darf es ihm nicht möglich sein, die Wahl des Wählers zu erkennen. Spätestens zum Zeitpunkt der Entschlüsselung des Wahlzettels in der Urne darf keinerlei Verknüpfung mit der Identität des Wählers mehr bestehen. Z23: Der Wähler darf nicht nachweisen können, wen er gewählt hat Relevanz: relevant Anforderungen: Secrecy (Stimme) 20 3 Technische Ziele

35 Der Wähler darf nicht in der Lage sein, durch eine Quittung oder durch Daten auf seinem Endgerät seine Wahl gegenüber Dritten nachzuweisen. Es wird hier also die Quittungsfreiheit der Wahl gefordert, was im Rahmen der Arbeit relevant ist. Z24: Der Inhalt der Urne darf nicht eingesehen werden können Relevanz: relevant Anforderungen: Secrecy (Urne) Sollte ein Angreifer Zugriff auf die Urne erhalten, dann darf es ihm nicht möglich sein, die Verteilung der Stimmen festzustellen. Auch dem Wahlvorstand darf es nicht möglich sein, vor Beendigung der Wahl den Inhalt der ausgefüllten Stimmzettel in der Urne ansehen zu können. Es wird also die Vertraulichkeit der Stimmen in der Urne gefordert. Z25: Die gespeicherten Stimmen dürfen nicht verändert werden können Relevanz: nicht relevant Anforderungen: Integrität (Stimme) Die Integrität der Stimmzettel muss gewährleistet sein. Es darf weder dem Wahlvorstand noch einer anderen Person schreibender Zugriff auf den Urneninhalt ermöglicht werden, womit Stimmen verfälscht werden könnten. Dieses Integritätsziel wird durch die Verifikation des Wahlsystems angeschnitten, im Rahmen dieser Arbeit aber nicht explizit weiter untersucht. 3.5 Ergebnisermittlung Nach der Abgabe der Stimmen und Beendigung der Wahl startet der Wahlvorstand die Auszählung der Stimmen und damit die Ermittlung des Wahlergebnisses. Z26: Das System muss ein korrektes Wahlergebnis ermitteln Relevanz: nicht relevant Anforderungen: Integrität (Wahlergebnis) Das Wahlergebnis muss korrekt ermittelt werden. Dies beinhaltet die Forderung, dass jede abgegebene Stimme genau ein Mal gezählt wird, keine Stimme weggelassen, hinzugefügt oder verändert wird. Auch dieses Ziel wird durch die Verifikation des Wahlergebnisses möglicherweise erfüllt, aber nicht im Speziellen betrachtet. 3.5 Ergebnisermittlung 21

36 Z27: Das Wahlergebnis darf nicht verändert werden können Relevanz: nicht relevant Anforderungen: Integrität (Wahlergebnis) Das durch Auszählung der Stimmen ermittelte Wahlergebnis darf nicht unbemerkt vor der Veröffentlichung verändert werden. Es ist also die Integrität des Wahlergebnisses gefordert. Auch dieses Ziel liegt nicht im Fokus dieser Arbeit. Z28: Jeder Wähler muss nachvollziehen können, dass seine Stimme korrekt bei der Ergebnisermittlung berücksichtigt wurde Relevanz: relevant Anforderungen: Verifizierbarkeit (Stimme/Wahlergebnis) Jeder einzelne Wähler muss verifizieren können, dass seine abgegebene Stimme auch wirklich in das Wahlergebnis einfliesst. Es darf keinem Angreifer möglich sein, die Zählung von Stimmen zu verhindern. Dieses Verifizierbarkeitsziel wird in der Arbeit genauer betrachtet. Z29: Die Öffentlichkeit muss nachvollziehen können, dass das Wahlergebnis korrekt zustande gekommen ist Relevanz: relevant Anforderungen: Verifizierbarkeit (Wahlergebnis) In Kombination mit Ziel 26 gehört auch dieses Ziel zur Verifizierbarkeit und ist somit relevant. Jeder Wahlberechtigte muss verifizieren können, dass ein Angreifer das Wahlergebnis nicht verändert hat und die Wahl verifizierbar allen Wahlrechtsgrundsätzen entspricht. 3.6 Wahlnachbereitung Wichtige Ereignisse der Wahl müssen während der Durchführung protokolliert werden. Dazu zählen beispielsweise der genaue Zeitpunkt des Beginns und des Endes sowie gegebenenfalls Unterbrechungen der Wahl, aber auch die abgegebenen Stimmen und das ermittelte Wahlergebnis. Z30: Es muss eine Protokollierung der Wahl stattfinden Relevanz: nicht relevant Anforderungen: Organisation (Wahl) Während der Wahl müssen alle sicherheitsrelevanten Geschehnisse mit dem Zeitpunkt ihres Auftretens protokolliert werden. Dazu zählen alle Aktionen des Wahlvorstandes inklusive der Zeit vom Beginn, 22 3 Technische Ziele