The use of pseudonyms in the Selectio Helvetica verifiable remote e- voting system

Transkript

1 The use of pseudonyms in the Selectio Helvetica verifiable remote e- voting system Seminar E-Voting an der Hochschule Rapperswil Florian Schwendener, FS 2011, MSE Abstract Ein sicheres elektronisches Abstimmungsverfahren erfordert einen Mechanismus, der sowohl die Anonymität des Wählers beschützt als auch garantiert, dass dieser Wähler für diese Wahl wirklich zugelassen ist. Folglich muss sich eine abstimmende Person zwar authentifizieren, dabei jedoch anonym bleiben. Mithilfe von Pseudonymen lässt sich diese Anforderung in die Tat umsetzen. Ein Pseudonym ist nur für eine Abstimmung gültig, wird jedoch immer vom privaten Schlüssel eines Wählers abgeleitet. Dieses Paper beschreibt den Erstellungsvorgang dieser Pseudonyme. Dabei werden eingangs die kryptographischen Grundlagen erläutert, welche für das Verständnis der weiteren Vorgänge zwingend bekannt sein müssen. Im zweiten Teil wird eine Implementation dieser Pseudonymerstellung namens Selectio Helvetica gezeigt. Diese wurde an der Berner Fachhochschule im Rahmen einer Masterarbeit entwickelt und wurde bereits für ein Web-Projekt verwendet, welches eidgenössische Abstimmungen für Nicht-Schweizerbürger nachspielt. Hauptziel dieser Arbeit ist eine einfach nachzuvollziehende Beschreibung des Pseudonymkonzepts, welche aber doch alle wichtigen Aspekte enthält und diese auch detailliert beschreibt. Dies wird mithilfe von diversen grafischen Darstellungen der einzelnen Prozesse ermöglicht. Obwohl auch hier alle mathematischen Berechnungen erwähnt werden, sind diese mit Unterstützung von detaillierten Beschreibungen einfach verständlich.

2 1 Einleitung Jeder Stimmbürger erhält alle paar Wochen Wahlunterlagen per Post, mit denen er bei der nächsten Abstimmung oder bei den nächsten Wahlen mitbestimmen kann. Dabei wirft er den Stimmzettel entweder am Abstimmungstag in die Urne oder er sendet ihn per Post. Im Zeitalter der Computersysteme jedoch gewinnt das elektronische Abstimmen, genannt E-Voting, zunehmend an Bedeutung. Dabei erhält der Stimmbürger die Möglichkeit, seine Wahl über das Internet abzugeben. Obwohl diese Verfahren bereits sehr ausgereift sind, herrscht doch noch immenses Misstrauen gegenüber der elektronischen Abstimmung. Diese Arbeit soll nun einen sehr spezifischen Teil des online Wahlverfahren erklären: Gewährleistung der Anonymität trotz der nötigen Authentifizierung gegenüber den Wahlbehörden. 1.1 Abstimmung Elektronische Abstimmungssysteme kennen viele Anforderungen. Abgekürzt lassen sich die wichtigsten in einem Satz zusammenfassen: Nur registrierte Wähler dürfen (selbstverständlich anonym) abstimmen und haben jeweils nur genau eine Stimme. Abschliessend möchte der Stimmende noch überprüfen, ob seine Stimme korrekt gezählt wurde. Im aktuellen politischen Brief- bzw. Urnenabstimmungssystem in der Schweiz ist dies nicht möglich. Da wird die Stimme eingeworfen bzw. per Post versandt, ohne die Gewissheit, dass diese Stimme wirklich gezählt wird. Ablauf Bei der elektronischen Abstimmung lassen sich diese Anforderungen wie folgt nach Oliver Spycher und Rolf Haenni [1] umsetzen. Jeder registrierte Wähler erhält in erster Instanz seine persönliche Wähleridentifikation. Diese besteht aus einem privaten und einem öffentlichen Schlüssel, wie dies in der Kryptographie üblich ist. Darüber hinaus wird für jede Abstimmung eine öffentliche Liste von Pseudonymen generiert. Aus den öffentlichen Schlüsseln berechnen mehrere Server hintereinander diese Pseudonyme. Ein Wähler kann später bei der Abstimmung beweisen, dass er hinter diesem Pseudonym steckt und kann mit dessen Hilfe seine Stimme abgeben, welche mit dem privaten Schlüssel der Abstimmung verschlüsselt ist. Weder die Öffentlichkeit noch die Stimmenzähler werden je erfahren, wer hinter welcher Stimme steckt. Nach Abschluss der Abstimmphase kann durch die Publikation des privaten Abstimmungsschlüssels durch die Wahlbehörde jeder Wähler alle Stimmen entschlüsseln und selbst nachzählen. 1

3 2 Kryptographische Grundlagen Diese Kapitel soll drei wichtige Konzepte der Kryptographie insbesondere im Zusammenhang mit dem elektronischen Abstimmungsverfahren erläutern, welche zum Verständnis der darauf folgenden Kapitel nötig sind. 2.1 Elgamal Das Elgamal-Kryptosystem ist ein Schema zur Verschlüsselung, das auf dem mathematischen Problem des diskreten Logarithmus beruht. Elgamal [2] ist ein asymmetrischer Verschlüsselungsalgorithmus aufbauend auf der Idee des Diffie-Hellman-Algorithmus. Die Schritte des Algorithmus werden im Folgenden gezeigt. Dabei ist zu beachten, dass Elgamal einen temporären Schlüssel erstellt und mit diesem die eigentliche Nachricht verschlüsselt. Der Empfänger kann zwar die Nachricht entschlüsseln, erhält jedoch nie den temporären Schlüssel im Klartext. Wird dieser temporäre Schlüssel jedes Mal anders gewählt, entsteht aus dem gleichen Klartext nie die gleiche verschlüsselte Zeichensequenz. Key generation Alice generates her public key. - Alice chooses a finite field of order with a generator - Alice chooses a random private key in - Alice computes her public key is red: private key blue: public key green: session data Encryption Bob wants to send Alice a message. - Bob chooses a random in and calculates - Bob calculates the shared secret - Bob calculates Bob sends the message to Alice. Decryption - Alice calculates the shared secret - Alice computes 2.2 Threshold Cryptosystems Darf ein Geheimnis beispielsweise der private Schüssel, welcher die abgegebenen Stimmen entschlüsseln kann nicht nur in einzelnen Händen sein, sondern erst verfügbar sein, wenn mehrere Parteien dies wünschen, kommt ein Threshold-System [3] nach Shamir [4] zum Einsatz. Dabei wird ein Geheimnis aufgeteilt und die einzelnen Stücke werden dann an verschiedene Teilnehmer abgegeben. Wird nun das Geheimnis benötigt, wird eine Mindestanzahl an diesen Teilnehmern benötigt. Dabei spielt es keine Rolle, welche Teilnehmer ihre Teile zur Verfügung stellen, sondern bloss wie viele zusammenkommen. Das mathematische Prinzip ist dabei relativ simpel. Es beruht darauf, dass Punkte für die vollständige Definition eines Polynoms ( )-ten Grades benötigt werden. Der Trick dieses Verfahrens ist nachfolgend erklärt. Gegeben ein Polynom 2

4 Nun werden Punkte ( ) auf diesem Polynom berechnet und verteilt. Es werden wie oben definiert für die Rekonstruktion des ursprünglichen Polynoms mindestens Punkte benötigt. Sind diese zusammengekommen, kann mithilfe von Interpolation das ursprüngliche Polynom berechnet werden. Ein solches System wird -Schwellwert-Schema genannt, wobei aus Teilgeheimnissen benötigt werden, um das Geheimnis zu berechnen. 2.3 Zero-knowledge proof of knowledge In der Kryptographie muss eine Partei oft beweisen, dass bei der Kommunikation mit einem Partner wirklich sie und nicht eine Fremdpartei dahintersteckt, welche sich unter falschem Namen Geheimnisse ergaunern möchte. Beim elektronischen Abstimmen, welches anonym ablaufen sollte, möchte der Wähler zeigen, dass er wählen darf, jedoch ohne sich dabei zu erkennen zu geben. Dabei besitzt jeder Wähler ein Pseudonym, zu welchem ein privater Schlüssel gehört. Nun muss der Wähler beim Abstimmen zeigen, dass er den geheimen Schlüssel besitzt, welcher zum Pseudonym gehört, ohne den privaten Schüssel tatsächlich zu übermitteln. Für die Umsetzung dieses Vorgangs ist ein Zero-knowledge proof of knowledge [5] vonnöten. Bei diesem Konzept kann eine Partei beweisen, dass sie im Besitz eines geheimen Wertes ist, ohne dass die Gegenpartei jemals den Wert erfährt. Im folgenden Ablaufbeispiel [6] möchte die Beweiserin Peggy dem Überprüfer Victor zeigen, dass sie das Geheimnis kennt, ohne es ihm preiszugeben. public: finite field of order q with a generator g Prover Peggy secret: public key: random value: Verifier Victor commitment random challenge: compute: challenge response verify: Die Überprüfung von Victor ergibt sich aus folgender Tatsache: 3

5 Also entsteht für die Überprüfung die folgende Auflösung, welche die Korrektheit beweist: Mit diesem Verfahren hat also nun Peggy gezeigt, dass sie im Besitze von ist, ohne an Victor zu senden. Victor kennt jedoch den public key von Peggy, welcher für die Überprüfung benötigt wird. In der elektronischen Abstimmung würde dem privaten Schüssel und dem dazugehörigen Pseudonym entsprechen. 3 Schlüssel- und Pseudonymgenerierung Dieses Kapitel erläutert den detaillierten Ablauf [1] der Schlüsselgenerierung, das Verbinden der Schlüssel mit den Pseudonymen und die Gründe, warum dieses Verfahren absolute Sicherheit garantiert. Im Kapitel danach wird eine Implementation dieses Verfahrens gezeigt. 3.1 Vorbereitung Um die Details dieses Verfahrens zu erklären, müssen zuerst einige Grundlagen definiert werden. Zu aller erst wird ein Generator eingeführt, der für die kryptographischen Berechnungen benötigt wird. Danach führen wir die folgenden Parteien ein, welche am Ablauf beteiligt sind. Tabelle 1: Parteien Name Definition Beschreibung Voters Zugelassene Wähler Registrars Registrierungsbehörden Pseudonym Producers Erstellen die Pseudonyme Talliers Zählen Stimmen aus Dabei gehören die blau hinterlegten Parteien allesamt zu den sogenannten Wahlbehörden. Ausserdem wird definiert, dass von den Wahlbehörden eine Anzahl von t Instanzen vertrauenswürdig ist. Diese Zahl stellt die Schwelle für die verteilte Schlüsselgenerierung dar, welche in Kapitel 2.2 Threshold Cryptosystems erklärt wird. Die Registrare R erstellen nun gemeinsam für jeden Wähler einen privaten Schlüssel und den passenden öffentlichen Schlüssel. Der öffentliche Part wird auf einer Pinnwand publiziert. Die privaten Schlüsselteile werden von den Registraren separat über einen sicheren Kanal beispielsweise per Post an den Wähler zugestellt. Der Wähler ist also der einzige, der jemals alle Teile des privaten Schlüssels zusammen besitzt. Tabelle 2: Schlüsselteile Name Definition Beschreibung Public Key Öffentlicher Schüssel des Voters Private Key Geheimer Schlüssel des Voters Alle diese Elemente werden in der nachfolgend beschriebenen Erstellung der Pseudonyme benötigt. Dabei ist es wichtig zu beachten, dass ein Wähler auch ein Mitglied der Wahlbehörden sein kann. 4

6 3.2 Pseudonyme generieren Für jeden Wähler soll nun ein Pseudonym kreiert werden. Als Generator für die Pseudonyme entsteht, während Schlüssel gehört, bestimmt. die Position des Pseudonyms, welches zum öffentlichen Ablauf Die Erstellung des Pseudonyms läuft wie folgt ab: Der erste Pseudonymersteller nimmt die Liste der öffentlichen Schlüssel und den originalen Generator an. Dabei erstellt er mit einem Algorithmus, welcher im nächsten Absatz beschrieben ist, die nächste Generation Liste bzw. des Generators. Jeder Pseudonymersteller validiert den Output des vorherigen und garantiert einen korrekten Output. Dieser Ablauf wird in der folgenden Grafik skizziert. Dabei bezeichnet die j-te Generation des öffentlichen Schlüssels. Jeder Schritt (bzw. jede neue Generation) beudetet eine Exponentiation mit dem jeweiligen des Pseudonymerstellers. Am Schluss entstehen die Pseudonyme bzw. der Pseudonymgenerator. S 1,0 S 2,1 S 4,2 S 2,n Ŝ π(2) S 2,0 S 3,1 S 2,2 S 5,n Ŝ π(5) S 3,0 S 1,1 S 1,2 S 1,n Ŝ π(1) S 4,0 S 4,1 S 5,2 S 3,n Ŝ π(3) S 5,0 S 5,1 S 3,2 S 4,n Ŝ π(4) g 0 g 1 g 2 g g n ĝ Gen. 0 Gen. 1 Gen. 2 Gen. n P 1 : ^α 1 P 2 : ^α 2 P : ^α P n : ^α n Abbildung 1: Ablauf Pseudonymerstellung. Generation 0 enthält die öffentlichen Schlüssel. Die Eingabeliste wird jeweils von jedem Pseudonymersteller zufällig permutiert, um die Beliebigkeit des Algorithmus zu erhöhen. Am Schluss hat der Generator also den Wert. So wird auch klar, wie nun die Wähler selbst ihr Pseudonym berechnen können: Algorithmus Jeder Pseudonymersteller muss einen bestimmten Algorithmus durchführen, welcher die Daten korrekt behandelt. Dies muss er auch beweisen, was mithilfe der vorgängig erläuterten Zero Knowledge Proofs (ZKP) geschieht. Dabei ist vorallem interessant, wie sichergestellt wird, das kein Pseudonymersteller eigene Pseudonyme einspeist, um mehr Stimmen zu generieren. Im folgenden wird der Algorithmus genau beschrieben und erklärt. 5

7 Der Algorithmus wird anhand von beschrieben. Er nimmt also die Daten der Generation entgegen und gibt die Generation aus. Nachfolgend der Algorithmus: Algorithmus 1: Pseudonymgenerierung im Knoten Für die Ausführung des Algorithmus werden die folgenden Werte benötigt. Die Vorgängerwerte sind jeweils die Werte, welche der Vorgänger ausgegeben hat. Generator, der vom Vorgänger berechnet wurde Alle Elemente, die vom Vorgänger ausgegeben wurden Zufallszahl für die Verschüsselung Wird vorgängig veröffentlicht, um später die Zufälligkeit von zu beweisen Tabelle 3: Algorithmus der Pseudonymersteller Schritt random permutation of for all do end for Erklärung Neuen Generator berechnen Positionen der Pseudonyme durcheinanderwürfeln Nehme das alte Element an der Position und berechne die neue Generation, welche an die Position verschoben wird. Anschliessend muss der Pseudonymersteller noch mithilfe von ZKPs beweisen, dass er alles richtig durchgeführt hat. Dabei muss er zeigen, dass die im folgenden beschriebenen Gleichungen für seinen geheimen Wert stimmen. Da er vorgängig veröffentlicht hat, kann sichergestellt werden, dass er auch wirklich dasselbe für die restlichen Berechnungen verwendet hat. Die folgenden Beweise garantieren, dass keine neuen Elemente dazukamen und dass alle so wie gewünscht neu verschlüsselt wurden. Tabelle 4: Beweise der Pseudonymersteller Gleichung = Beschreibung passt zum gegebenen Commitment, hat also einen gültigen Wert Generator wurde korrekt berechnet Jedes Element der Generation (an Stelle ) ist nun korrekt verrechnet mit an irgendeiner Stelle wiederzufinden (und zwar in Generation ). Bevor den Output von als Input akzeptiert, müsste er vorgängig alle ZKP von allen Vorgängern prüfen, um sicherzustellen, dass deren Berechnungen gültig waren. Darüber hinaus sind alle Schritte der Pseudonymersteller auch auf dem öffentlichen Anschlagbrett verfügbar. Somit kann jeder Zuschauer die Korrektheit der Berechnungen nachprüfen. 6

8 3.3 Abstimmungsprozess Soll nun eine Abstimmung durchgeführt werden, braucht es zusätzliche Elemente, welche nur für diese eine Abstimmung gültig sind. Im Abstimmungsprozess selbst wird dann sowohl auf diese als auch auf die festen, vorher generierten Daten (siehe vorheriges Kapitel) zurückgegriffen. Vorbereitung Für eine Abstimmung wird ein neues Schlüsselpaar auf Basis eines neuen Generators h für die Auszählungsbehörde generiert. Dabei wird der private Schlüssel d an alle Mitglieder dieser Gruppe verteilt. Wiederum wird dank der Verteilung des privaten Schlüssels eine bestimmte Anzahl von Mitgliedern benötigt, um ihn zu rekonstruieren. Der öffentliche Schlüssel wird den Wählern zur Verfügung gestellt. Ablauf Möchte nun ein Wähler abstimmen, berechnet er die benötigten Werte und sendet diese danach an das öffentliche Anschlagbrett. Dabei verschlüsselt er die Stimme mit ElGamal, was im obigen Kapitel 2.1 Elgamal genauer beschrieben ist. Es zu beachten, dass als Randomness in ElGamal der private Schlüssel des Wählers eingesetzt wird. Dies wird später erklärt. Der Wähler sendet die Nachricht, was im folgenden Diagramm veranschaulicht wird: Pseudonym S π i g si Bulletin Board Stimme el gamal x i y i s i v i e s i anonym Pseudonym Stimme Abbildung 2: Absenden der Stimme Um sicherzustellen, dass diese Stimme gültig ist und wirklich vom behaupteten Wähler stammt, muss dieser dies per ZKP beweisen. Dies geschieht mit dem Beweis folgender Werte: Gleichung Beschreibung Pseudonym wurde mit dem passenden privaten Schlüssel berechnet. Die Randomness, welche bei ElGamal eingesetzt wurde, berechnet sich aus dem privaten Schlüssel. Somit ist der Absender wirklich im Besitz dessen. Mehr dazu im folgenden Absatz Widerruf der Stimme Abbildung 3: Nötige Beweise beim Abstimmen Die an das öffentliche Brett gesendete Stimme ist nun unter folgenden Bedingungen gültig: zum einen müssen die oben erwähnten Beweise erbracht werden. Zum anderen muss das übergebene Pseudonym in der Liste mit allen wahlberechtigten Pseudonymen stehen. Erst wenn beides erfüllt ist, wird die Stimme akzeptiert und mitausgezählt. Wir wissen nun, dass eine gültige Stimme abgegeben wurde. Möchte eine Person nun an der Urne abstimmen, müssen wir trotzdem wissen, ob sie bereits online abgestummen hat oder nicht. Dies wird im folgenden Kapitel erläutert. 7

9 Widerruf der Stimme Möchte der Wähler an der Urne abstimmen, muss er beweisen, dass er noch nicht elektronisch abgestimmt hat, da dort die Stimmen nur einem Pseudonym und nicht einem Namen zugeordnet sind. Ebenso hat er die Möglichkeit, seine elektronische Stimme zu widerrufen. Dies ist eine einfache Prozedur. Er kann über den folgenden Beweis (als ZKP) für seinen privaten Schlüssel zeigen, dass er bereits bzw. noch nicht abgestimmt hat: Die Wahlbehörden können nun auf der Liste der Stimmen nachprüfen, ob diesem Pseudonym bereits eine Stimme zugeordnet ist. Möglicherweise könnten die Behörden vor dem Widerruf einer Stimme verlangen, dass der Wähler angibt, was er denn abgestimmt hat. Ist nun aber der private Schlüssel einem Dritten in die Hände gefallen, hat dieser womöglich bereits abgestimmt. Dank der Tatsache, dass als Zufallswert bei ElGamal der private Schlüssel verwendet wird, ist dies aber kein Problem: 4 Selectio Helvetica Implementation Das vorgängig beschriebene System wurde für einen konkreten Einsatz von der Arbeitsgruppe Swissvote der Berner Fachhochschule implementiert [7]. Es wurde eine Plattform namens Baloti geschaffen, bei der in der Schweiz lebende Ausländer- und Ausländerinnen die Möglichkeiten erhalten, virtuell an Wahlen und Abstimmungen teilzunehmen. Für diese Implementation wurde das System leicht angepasst. Die Implementation der Pseudonymerstellung in Selectio Helvetica wird nachfolgend erklärt. 4.1 Pseudonyme mischen mit allen Wählern und Generato- Vorbereitung Die Administration wählt die folgenden Werte: Generator, Liste ren für jeden Eintrag in ( = Anzahl Einträge). Erstellen der Commitments für den Beweis Jeder Trustee erstellt für jeden anderen Trustee ein Commitment, welches sicherstellen soll, dass kein Trustee ihn betrügt. Dabei geht er nach folgendem Schema vor: T 1 Challenge-Vektor für jeden Trustee mit 0en und 1en c i,1 T i c i,2 c i,n T 2 für Für jeden Vektor Commitment berechnen mit Zufallswert T n Am Schluss sendet der Trustee alle seine Commitments an die Administration. 8

10 4.2 Pseudonyme erstellen Es folgt das Erstellen der Pseudonyme. Analog zum beschrieben Algorithmus im Kapitel 3.2 Pseudonyme generieren nimmt jeder Trustee die Pseudonymliste und den Generator entgegen und verschlüsselt diese neu mit seinen Werten. Jedoch wird die Liste in dieser Implementation zweimal neu verschlüsselt, wie später genau gezeigt wird. Überschlüsselung: Trustee verschüsselt den Input neu Für die Ausführung des Algorithmus werden die folgenden Werte benötigt. Die Vorgängerwerte sind jeweils die Werte, welche der Vorgänger-Trustee der Administration zurückgegeben hat. Generator, der vom Vorgänger berechnet wurde Alle Elemente, die vom Vorgänger ausgegeben wurden Tabelle 5: Algorithmus der Pseudonymersteller Schritt random numbers random permutations Erklärung Zufallszahlen für Verschüsselung Durcheinanderwürfeln der Elemente Pseudonymliste würfeln und neu verschüsseln Generator anpassen Pseudonymliste erneut würfeln und neu verschüsseln Generator anpassen Nun sendet der Trustee seine berechneten Werte an die Administration. Der obige Algorithmus wird in der folgenden Grafik dargestellt. Es ist ersichtlich, dass statt einem Schritt wie in der Theorie (Kapitel 3) stattdessen zwei Schritte für die Neuverschlüsselung verwendet werden. Implementation S i,1 S i,5 M i,5 M i,2 S i+1,4 S i+1,5 Theorie S i,2 M i,1 S i+1,1 S i,4 M i,4 S i+1,6 S i,3 M i,6 S i+1,2 S i,6 M i,3 S i+1,3 g i m i g i+1 Input Output α 1 α 2 Abbildung 4: Implementation der Pseudonymerstellung 9

11 Challenges senden: Administration sendet Challenges an alle Trustees Nun folgt die Phase, in der die Administration alle bereitgestellten Herausforderungen sammelt und zu einer finalen Challenge für jeden Trustee kombiniert. Die Administration verlangt von allen Trustees deren Challenges und die zugehörigen Zufallszahlen für alle anderen Trustees. Nun prüft sie, ob alle Challenges zu den vorgängig gesendeten Commitments passen. Nur die gültigen Challenges werden verwendet. Sie kombiniert alle Challenges zur finalen Challenge: Jeder Trustee erhählt seine Challenge. Die Administration hat allen Trustees eine Challenge gesendet. Im nächsten Schritt wird jeder Trustee herausgefordert, um sicherzustellen, dass er alles korrekt berechnet hat. Dazu wird er gebeten, seine Neuverschlüsselungen zu beweisen. Anhand der Challenges wird bestimmt, welche Berechnungen er aufzeigen muss. Anhand der Vektoren, die anfangs mit Nullen und Einsen gefüllt wurden, muss er nun entweder die linke Seite (Pseudonymliste zur Mitte) oder die rechte Seite (Mitte zum Output) beweisen: Für jede Stelle k von mit einer 0 beweist er per ZKP für einen Wert : Für jede Stelle k von mit einer 1 beweist er per ZKP für einen Wert : Zum Schluss sendet der Trustee seinen Beweis an die Administration. Eine grafische Darstellung dieser links- bzw. rechtsseitigen Beweise mit einem Beispiel findet sich nachfolgend. Rot eingefärbt sind dabei die Verbindungen, welche dieser Trustee beweisen muss. Er muss also nicht die ganze Berechnung offenlegen; somit sieht der Betrachter nie alle Werte. S i,1 M i,5 S i+1,4 S i,5 M i,2 S i+1,5 S i,2 M i,1 S i+1,1 S i,4 M i,4 S i+1,6 S i,3 M i,6 S i+1,2 S i,6 M i,3 S i+1,3 g i m i g i+1 Input Output α 1 α 2 Abbildung 5: Beispiel Neuverschlüsselung 10

12 Beweise prüfen: Administration prüft Beweise Die Administration nimmt für jeden Trustee seinen Beweis entgegen und fährt danach mit dem jeweils nächsten fort. Am Schluss publiziert sie die Liste der fertigen Pseudonyme. Sie entscheidet wie folgt nach Erhalt eines Beweises: Beweis korrekt und, also alle Trustees geprüft: Publiziere und als finale Liste bzw. Generator. Unabhängig vom Beweis, wenn, also noch nicht alle Trustees geprüft: Trustee zum Beweis auffordern anhand und. Beweis nicht korrekt und, also alle Trustees geprüft. Publiziere und als finale Liste bzw. Generator. 5 Fazit Bei der elektronischen Abstimmung kommen viele Faktoren und Algorithmen zusammen, welche schlussendlich ein doch sehr sicheres und vollständig durchdachtes System entstehen lassen. Dabei spielen die Pseudonyme eine gewichtige Rolle. Dank ihnen kann ein Wähler vollständig anonym seine Stimme publizieren, während aber doch zweifelsfrei festgestellt werden kann, ob dieser Absender wirklich stimmberechtigt ist. Darüber hinaus spielt das Verfahren ideal mit der Urnenabstimmung zusammen, da ein Wähler sich problemlos mit seinem Pseudonym ausweisen kann und somit die Verknüpfung mit einer möglicherweise bereits abgegebenen Stimme herstellen kann. An der Pseudonymerstellung sind alle Parteien beteiligt, womit sichergestellt werden kann, dass keine Absprachen erfolgt sind. Dies fördert das Vertrauen in das elektronische Wahlsystem. Alle Algorithmen basieren auf bewährten und sicheren mathematischen Problemstellungen, welche voraussichtlich auch in der nahen Zukunft nicht geknackt werden können. Zwar erscheinen einige Abläufe bei der Pseudonymerstellung relativ komplex, doch bleiben sie stets überschaubar und vor allem nachvollziehbar. Hier vorgestellt wurde die Implementation der Pseudonymerstellung durch Selectio Helvetica. Diese deckt alle gestellten Anforderungen ab und setzt den Algorithmus durch eine Zwei-Phasen- Neuverschlüsselung der Pseudonyme durch jeden Pseudonymersteller um. Selection Helvetica zeigt also, dass sich der anfangs beschriebene Algorithmus auch effizient und sicher in die Praxis umsetzen lässt. 11

13 6 Referenzen [1] Oliver Spycher und Rolf Haenni, A Novel Protocol to Allow Revocation of Votes in a Hybrid Voting System, in Information Security for South Africa (ISSA), Sandton, Johannesburg, 2010, Seiten 1 8. [2] Wikipedia. ElGamal encryption. zuletzt besucht am 10. Mai [3] Wikipedia. Threshold cryptosystem. zuletzt besucht am 01. Juni [4] Wikipedia. Shamir's Secret Sharing. zuletzt besucht am 01. Juni [5] Wikipedia. Proof of knowledge. zuletzt besucht am 02. Mai [6] Halm Reusser, Zero-knowledge proof für n-te Potenzen (Paillier), Seminar E-Voting HSR, Rapperswil, HS 2009 [7] Ben Adida. Selectio Helvetica: Prozesse und Implementation.Master thesis, Januar