23.07.05 1

Auditing beim eVoting

Süntje Böttcher

Proseminar eVoting SS0523.07.05

23.07.05 2

Übersicht

I. Exkurs BriefwahlII. Rechtliche Grundlagen von eVoting

und iVotingIII. VerschlüsselungIV. Technische ProblemstellungV. Vergleich bestehender VerfahrenVI. Weitere mögliche VerfahrenVII. Fazit

23.07.05 3

Exkurs Briefwahl

A. Antrag auf Briefwahl

B. Wahlunterlagen

C. Durchführung der Wahl

23.07.05 4

Antrag auf Briefwahl

• Antrag auf Rückseite der Wahlbenach-richtigung

• Briefwahl kann beantragt werden bei• Verhinderung am Wahltag (z.B. Urlaub)• Umzug• Krankheit, Behinderung oder Gebrechlichkeit

• Briefwahl soll Ausnahme bleiben (bewuste Bindung an besondere Gründe)

23.07.05 5

Wahlunterlagen

• Der Wähler erhält per Post• Wahlschein• Stimmzettel• Amtlichen Wahlumschlag (blau)• Amtlichen Wahlbriefumschlag (rot)• Merkblatt

23.07.05 6

Durchführung der Wahl

• Wahl rechtzeitig durchführen!• Wahl kann direkt nach Eingang der Unterlagen

erfolgen• Stimmzettel ankreuzen• Stimmzettel in blauen Wahlumschlag• Wahlschein unterschreiben• Wahlumschlag und Wahlschein in roten

Wahlbriefumschlag• Keine Frankierung notwendig

23.07.05 7

Rechtliche Grundlagen

A. Allgemeinheit der Wahl

B. Unmittelbarkeit der Wahl

C. Freiheit der Wahl

D. Gleichheit der Wahl

E. Geheime Wahl

23.07.05 8

Allgemeinheit der Wahl

• Jeder Staatsbürger über 18 hat Wahlrecht• Daraus folgen Kostenfreiheit der Stimmabgabe

und Verständlichkeit des Wahlvorgangs• Kartenlesegerät muß selbst gezahlt werden

(oder Wahlkiosks)• iVoting muß alternative Wahlmöglichkeit

bleiben• Verbesserung der Wahlmöglichkeit von

Behinderten (z.B. Blinden) oder im Ausland befindlichen Wahlberechtigten

23.07.05 9

Unmittelbarkeit der Wahl

• Zwischen Wähler und Wertung darf nur Auszählung liegen

• Keine Wahlmänner oder Vertreter• Keine Bedenken bei Internetwahl, da die

Stimme direkt einfließt

23.07.05 10

Freiheit der Wahl

• Stimmabgabe ohne Zwang oder unzulässige Beeinflussung

• Gefahr staatlicher Beeinflussung nicht größer als bei herrkömmlicher Wahl

• Gefahr privater Beeinflussung wie bei Briefwahl

• Möglichkeit zur bewußt ungültigen Stimmabgabe

• Audit trail• Sicherheit für Wähler• Aber: Gefahr Beweismittel?

23.07.05 11

Gleichheit der Wahl

• Chancengleichheit der Kandidaten• Jeder Kandidat gleichen Platz auf

Stimmzettel• Reihenfolge der Kandidaten bei Papier- und

elektronischer Wahl muß gleich sein• Gleichwertigkeit der Wählerstimmen

• Keine doppelte Stimmabgabe• Jede abgegebene Stimme muß unverfälscht

in Ergebnis eingehen

23.07.05 12

Geheime Wahl

• Bei Briefwahl rechtlich durch Postgeheimnis gewährt

• Analog dazu § 202a StGB (Ausspähen von Dateien)

• Verschlüsselung• Zugangssicherung• Identifikation• Kein Rückschluß auf Wähler darf möglich sein

• Audit Trail• Rückschluß auf Wähler?• Beweismittel?

23.07.05 13

Geheime Wahl

• Briefwahl• Wahlbriefumschlag mit Wahlschein zur Identifikation• Wahlumschlag mit anonymen Stimmzettel

• iVoting• Verschlüsselung mit ‘private key’ des Wählers zur

Identifikation• Verschlüsselung mit ‘public key’ der Wahlbehörde

• Bei Distanzwahl kein Schutz vor ‘Blick über die Schulter’

• Deshalb Distanzwahl immer von Verhinderungsgründen abhängig

23.07.05 14

Verschlüsselung

• Dient je nach Richtung zur Identifizierung des Senders und zur Geheimhaltung des Inhalts

• Geheimhaltung der Wahl• Nachricht mit dem öffentlichen Schlüssel der

Wahlbehörde verschlüsselt• Nur Wahlbehörde kann Inhalt entschlüsseln

• Identifikation des Wählers• Nachricht mit privatem Schlüssel des Wählers

verschlüsselt• Wahlbehörde kann sicher sein, daß Nachricht vom

Besitzer des Schlüssels

23.07.05 15

Technische Problemstellung

• Möglicher Verlust der Stimme bei elektronischer Speicherung (technische Probleme/Absturz)

• Bei Mehrfachspeicherung: Stimme schon gezählt?

• Welches ist das primäre Speichermedium?• Elektronische Speicherung: warum dann ‚paper

audit trail‘?• Papier: warum dann elektronische Speicherung?

23.07.05 16

Bestehende Verfahren

A. Elektronische Wahl ohne Auditing

B. VV(P)AT – voter verified (paper) audit trail

C. VVPB – voter verified paper ballot

D. Kompromisse

23.07.05 17

Elektronische Wahl ohne Auditing

• Wähler gibt Stimme am Computer ab• Stimme wird (verschlüsselt) an zentralen

Server geschickt• Stimmen werden vom Server gezählt• Keine Möglichkeit zur Überprüfung, da erneute

Auszählung der beim Server eingegangenen Stimmen selbes Ergebnis liefert

Stimme

Elektronischer Wahlzettel- nicht verifiziert- manipulierbar- in erster Auszählung gewertet- keine Nachzählung möglich

?

23.07.05 18

VV(P)AT

• Beim Abschicken 2 Aktionen:• Elektronischer Stimmzettel• ‘paper audit trail’ (Ausdruck des Stimmzettels)

• ‘paper audit trail’• vom Wähler kontrolliert• für Nachzählung aufgehoben• keine Garantie, daß abgegebene Stimme und

‘paper audit trail’ übereinstimmen

• Welches ist das primäre Medium?

23.07.05 19

VV(P)AT

Stimme

?Elektronischer Wahlzettel

- nicht verifiziert- manipulierbar- in erster (meist einziger) Auszählung gewertet

Voter verified paper audit trail- Vom Wähler verifiziert- Dauerhaft gespeichert- Nur in Nachzählung und zur Verifikation genutzt

23.07.05 20

VVPB

• Wähler gibt Stimme am Computer ab• ‘paper ballot’ (Ausdruck des Stimmzettels) wird

erstellt und vom Wähler verifiziert• Keine elektronische Übermittlung, sondern

Urnenwahl => warum überhaupt eVoting?• ‘paper ballot’ wird per Hand oder maschinell

(Scan, Barcode) ausgewertet – Nachzählung per Hand immer möglich!

• Mercuri-Methode: ‘paper ballot’ wird dem Wähler durch Glasscheibe gezeigt

23.07.05 21

VVPB

Stimme

? Elektronischer Wahlzettel

Voter verified paper ballot- Vom Wähler verifiziert- Dauerhaft gespeichert- In erster Auszählung gewertet- Kann per Hand oder maschinell nachgezählt werden

23.07.05 22

Kompromisse

• Einige VV(P)AT-Systeme zählen 2% der ‘audit trails’ zum Gegenchecken aus

• VVPBs werden maschinell ausgezähl => verlagert die Angriffspunkte nur

23.07.05 23

Fazit

• VV(P)AT• Audit trail nur im Fall

der Nachzählung relevant – also nur bei Betrugsverdacht

• Welches Medium primär? Was gilt bei Abweichungen?

• Elektronische Stimme manipulierbar

• Ergebnis direkt nach Wahlende

• VVPB• Paper ballot in erster

Auszählung gewertet• In jedem Fall verifizierte

Stimme gezählt• Papier primäres

Medium => warum eVoting?

• Unterschied zu herkömmlicher Papierwahl?

23.07.05 24

Fragen?

http://www.koreus.com/files/200410/bush-kerry-voting-machine.wmv