Fehldesign in Bingo Voting: Kein Wahlgeheimnis
Noch mehr Schäwchen in Bingo Voting:(Update!) Es ist durchaus so, wie ich schon in Adele angesprochen hatte und wie auch Fefe schreibt: Man muß Bingo Voting nicht einmal angreifen um dessen Unsicherheit zu zeigen, weil es an entscheidender Stelle erst gar keine Sicherheit herstellt und deshalb die Aufgabenstellung nicht löst. Man muß die Untauglichkeit nicht erst durch einen Angriff nachweisen.
Knackpunkt ist u.a. das Fehlen einer Phase der Vernichtung von Geheimnissen. Alles, was da jemals an geheimen Daten erzeugt wird, wird bis zum Abschluß des Verfahrens aufgehoben und liegt in einer Hand. Der, der die Commitments fertigt, der kann hinterher alles auflösen und das gesamte Wahlgeheimnis brechen. Und es wird nie erklärt, wer oder was das eigentlich ist. Es wird nur gesagt, daß als einziges vertrauenswürdiges Element ein Zufallszahlengenerator fungiert, daß also gerade der Speicher für die Commitments nicht vertrauenswürdig ist. Also ist der allmächtige Bösewicht in Bingo Voting schon ab Werk eingebaut.
Es geht aber noch viel einfacher, das Ding hat eine noch viel größere Lücke, ein echtes Broken by Design:
Jeder Wähler geht da hinterher mit einem Zettel in der Hand raus, der einmalig ist, durch den der Wähler eindeutig identifiziert ist, und den er laut Protokoll sogar aufheben soll bzw. muß. Im Prinzip wird jedem Wähler damit eine eindeutige ID verpasst, die er nicht abstreifen kann (ohne das Protokoll bzw. seine Nachprüfungspflichten zu verletzen). Die Abstraktion, die Anonymisierung zwischen Person und Stimmabgabe wird aufgehoben. Man kann von der Stimmabgabe zur Person rückverfolgen bzw. die Person über den Quittungszettel nachträglich mit einer Stimmabgabe identifizieren.
Die Wahlmaschine muß funktionsbedingt sehr viel Speicher haben, auch schreibfähigen.
Die Wahlmaschine – die ja per definitionem nicht vertrauenswürdig ist – braucht einfach nur zu jeder Quittung, die sie ohnehin speichert und ausdruckt, nur zusätzlich noch abzuspeichern, wen derjenige gewählt hat, und die Liste hinterher dem Schlägertrupp der radikalen Partei ausdrucken. Die gehen dann rum und wer keinen Zettel zu guten Ergebnissen hat, der kriegt Haue.
Das würde dann so aussehen: Vor der Wahlkabine warten die Schläger mit den Baseballschlägern, oder meinetwegen auch die STASI. [Insert your favourite enemy of democracy here]. Und die sagen zu Dir: Hör mal, wenn Du da jetzt reingehst, dann wählst Du unsere Partei und bring den Zettel mit, wir kontrollieren den hinterher. Und wenn Du keinen ordentlichen Zettel mitbringst, dann gibt’s aufs Maul. Oder es geht in den Knast. Oder sowas.
Also ist das Protokoll überhaupt nicht erpressungsfest, im Gegenteil: Dieser Quittungszettel macht einen erst erpressbar. Statt wie die Autoren behaupten, die Nachweisbarkeit auszuschließen, wird die Nachweisbarkeit durch den Quittungszettel erst hergestellt.
Zynischerweise müßten die Schläger nicht einmal die Liste ausdrucken. Es reicht schon, daß sie sie ausdrucken könnten. Man muß also nicht einmal manipulieren bzw. angreifen um Wähler zu erpressen.
Bingo Voting muß man nicht einmal angreifen. Das leistet von vornherein nicht, was es soll und was die Autoren in Anspruch nehmen.
Zwar betrifft dieser Angriff zunächst mal nur die Vertraulichkeit der Wahl und die Erpressung, nicht im ersten Schritt die Nachweisbarkeit der Richtigkeit. Aber ist eine Wahl, bei der ich die Leute erpressen kann, nach fremdem Willen zu wählen, dann überhaupt noch “richtig” im Ergebnis?
Wie kann man sowas auszeichnen? Noch dazu mit 100.000 Euro? Ich fass es einfach nicht.
Update: Und es geht noch einfacher. Der ganze Verschlüsselungs-Hokus-Pokus ist zur Geheimhaltung völlig wirkungslos, wenn die vertraulichen Daten an der Quelle im Klartext abgegriffen werden können. Der Wähler wählt und die (nicht vertrauenswürdige!) Wahlmaschine sieht im Klartext, wer gewählt wurde. Und damit auch ein potentieller Angreifer. Die Maschine muß die Stimmen nur in der richtigen Reihenfolge abspeichern, was erstens ganz einfach ist, zweitens unauffällig und unverdächtig über die Speicherung der unbenutzten Nein-Stimmen möglich, und drittens bei der Testwahl an der Uni Karlsruhe schon passierte, weil dort ja die Stimmen angeblich einen Zeitstempel erhielten.
Die Maschine muß dann nur noch nach der Wahl die Stimmen in der richtigen Reihenfolge ausgeben, was sie ja im Gegensatz zu einer herkömmlichen Wahlurne auch ohne weiteres kann.
Da das Verfahren zwingend ein Wählerbuch voraussetzt, damit nicht die Stimmen von Wählern mißbraucht werden können, die nicht zur Wahl gekommen sind, und auch die Stimmenthaltungen in der Kabine durch einen Pseudo-Kandidaten gezählt werden müssen, hat man hinterher eine exakte Liste der Stimmen, die man über das Wählerbuch direkt den Wählern zuordnen kann.
Die Daten fließen also schon direkt an der Quelle ab. Welchen Krypto-Hokus-Pokus man dann damit im Protokoll noch treibt, ist eigentlich völlig egal – der Angreifer hat die Daten ja schon im Klartext.
Das Verfahren würde also zwingend eine vertrauenswürdige Wahlmaschine voraussetzen. Wenn man die aber hat, dann kann man sich den Hokus-Pokus (und die beschriebenen Schwächen gegen nachträgliche Angriffe) komplett sparen und es bei einem ordinären Zähler belassen, weil der dann nämlich die Reihenfolge der Stimmen verbirgt.
Was mich zu der Frage bringt, ob in einer vertrauenswürdigen Wahlmaschine überhaupt mehr als ein Zähler sein darf.
Es ist also völlig unklar, wofür Bingo Voting überhaupt konstruiert ist.
5 Kommentare (RSS-Feed)
“Was mich zu der Frage bringt, ob in einer vertrauenswürdigen Wahlmaschine überhaupt mehr als ein Zähler sein darf.”
Wobei der Zähler nicht zwischendrin ausgelesen werden darf. Trotzdem muss der Wähler feststellen können, ob seine Stimme gezählt wurde.
Das hat mich gerade auf eine Idee für “gute” Wahlmaschinen gebracht:
Jede Wahlkabine hat mehrere Urnen, für jeden Kandidaten oder jede Partei einen. Jeder Wähler bekommt bei seiner Identifizierung eine Anzahl spezieller Münzen. Er hat prinzipiell einen Anspruch darauf, sich diese zufällig aus einer Menge herauszupicken. Jede Münze repräsentiert eine Stimme.
Die Münzen wirft der Wähler dann in der Wahlkabine in die Urnen.
Die Urne hat eine Elektronik, die überprüft, ob eine Münze valide ist – ähnlich dem Münzchecker im Zigarettenautomat. Wenn dies der Fall ist, fällt die Münze weiter – an einem Sichtfenster vorbei – in die Urne.
Nach der Wahl werden die Urnen einfach gewogen, und das Nettogewicht durch das Gewicht pro Münze geteilt, um die Anzahl der Stimmen in der Urne festzustellen. Wenn nötig oder gewünscht, kann auch nachgezählt werden.
Vorteile:
* schnelle Auswertung (_das_ Argument für Wahlcomputer)
* Nachzählbarkeit
* Wähler kann korrekte Stimmabgabe verifizieren
* Nachdem die Münze am Sichtfenster vorbeigefallen ist, ist die Wahlentscheidung nicht mehr nachprüfbar
* intuitiv (behaupte ich mal)
* Elektronik kann das Wahlergebnis nicht manipulieren
Mögliche Probleme:
* schwieriger umzusetzen bei komplexen Wahlsystemen – da müsste man mal überlegen
* es muss organisatorisch oder technisch sichergestellt werden, dass niemand mehr Münzen einwirft, als er darf. Wenn jemand das macht, erkennt man es aber am Unterschied zwischen ausgegebenen und eingeworfenen Münzen.
* der Münzchecker könnte prinzipiell mitloggen, wann eine Münze eingeworfen wurde. Dagegen hilft teilweise eine Offenlegung der Baupläne, und Versiegelung der Münzchecker. Dann wäre das Auslesen nur unter extrem hohem Aufwand (pro Gerät) machbar.
Mit relativ geringem Aufwand könnte man so die Wahl intuitiver machen und die Auswertung beschleunigen, ohne Wahlcomputer zu verwenden.
Die erwähnten Sicherheitsprobleme sind meiner Meinung nach auch nicht deutlich größer als bei der aktuellen Papierwahl. Und deutlich geringer als bei Wahlcomputern. Vor allem lassen sie sich kaum zur großflächigen Manipulation einer Wahl nutzen.
Habe ich was übersehen? Gibt’s das schon?
Was noch schlimmer ist, beim Bingo-Voting ist es so wie bei dem meisten kyryptographischen Protokollen:
Es werden immer irgendwelche Voraussetzungen angenommen, die in der Wirklichkeit so nicht zu realisieren (Achtung ich meine realisieren im herkömmlichen Sinn und nicht in der neudeutschen Bedeutung als Ersatz für “erkennen”) sind.
Es ist vollkommen egal, wie welche Protokolle welchen Hokuspokus machen, solange die Kiste mit der man wählt kein Vertrauen genießt.
Das Hauptproblem beim e-voting ist, daß man einer black box, egal ob es nun der zufallszahlengenerator oder auch die Wahlmaschine selbst ist, vertrauen muß. Diese Vertrauen kann eigentlich nur dann gewährleistet werden, wenn die Kiste unter den Augen der Beobachter zusammengebaut, programmiert und versiegelt wird und dann auch unter Beobachtung verbleibt. Also ist das praktisch unmöglich durchführbar. Für alle Wahlmaschinen (außer vielleicht einfachen mechanischen Maschinen) kann es also gar kein Verfahren geben, das für jeden Wähler sicherstellt, daß sein Vertrauen in die Wahlmschine gerechtfertigt ist.
Daraus folgt für mich eigentlich, daß Wahlmaschine nur dort eingesetzt werden können,
a:
wo die Wahl nicht geheim ist (oder zu sein braucht), und damit von jedem das Ergebnis überprüft werden kann oder
b:
Der Wahlveranstalter per definitionem vertrauenswürdig ist (oder zu sein hat) und damit die Wahlmaschinen auch “vertrauenswürdig” sind.
Und aus diesen beiden Punkten folgt für mich, daß Wahlmaschinen nur dort eingesetzt werden können, wo demokratische Strukturen keine Rolle spielen. Was das im einzelnen bedeuten mag, mag jeder für sich schlußfolgern.
Klassische Wahl & Erpressung:
Man gehe zur Wahl, und begrüße vor dem Lokal die Schlägergruppe des heimischen Warlords.
Diese überreicht eine Kamera, mit der Aufforderung, die eigene Wahl zu fotografieren.
Wir gehen in die Kabine, und kreuzen GÜ (das größere Übel) an, fotografieren dies, gehen zum Tisch und bitten um einen neuen Zettel, da wir uns verschrieben hätten, und wählen in Wahrheit KÜ – das kleinere Übel.
Dem zuvorzukommen hat der Schlägertrupp aber uns vorher eingebläut, daß er einen Wahlbeobachter im Raum habe, und jeder, der einen zweiten Zettel brauche, der bekäme ohnehin Schläge.
Wähler bei klassischen Wahlen sind also auch erpreßbar. Kameras sind klein, und als Mobiltelefon ganz unverdächtig.
Okay – in Bayern bringt man nicht die Kamera zur Wahl, sondern die Wahl zur Kamera – ökonomisch clever, die Bayern. 🙂
Den Wahlcomputern verdanken wir, daß die Fälschbarkeit, Manipulierbarkeit und Überwachbarkeit überhaupt näher nachdenken – gleichwohl bin ich auch kein Freund der Wahlcomputer:
Für die Demokratie dürfen die Kosten nicht die dominante Rolle spielen – also selbst wenn die Rechner die Wahl verbilligen, was ich bezweifle, ist das nur ein schwaches Argument für die Rechner.
Sie mögen die Auszählung beschleunigen, aber wer hat es eigentlich eilig? Gute Prognosen um 18:05 Uhr, gute Hochrechnungen um 19:00, und ein vorläufig amtliches Ergebnis um 23:00 Uhr reichen völlig – man gewinnt nichts substantielles mit einem vorl. amtl. Endergebnis um 18:02 Uhr.
Das derzeitige, barocke System ist überschaubar, und auch von gänzlich Ungebildeten zu verstehen – auch der Angriff mittels Kamera ist leicht zu verstehen, im Gegensatz zu Zufallszahlengeneratoren und Cleft, Cmiddle, …
Jetzt, wenige Stunden später, fällt mir ein, daß Fingerabdruckdateien, die jetzt staatlich angelegt werden, bei klassischen Wahlen auch Handschuhe notwendig machen.
Das grundlegende Problem bei der Stupa-Wahl in Karlsruhe
bestand darin, daß _sowohl_ das Wahlergebnis als auch
die Wählerliste elektronisch erfasst wurden.
Kein System der Welt kann Dir hier noch eine geheime
Wahl garantieren, weil Du als Wähler ja nie überprüfen kannst, ob das Ding im Hintergrund protokolliert oder nicht.
Noch schlimmer:
Selbst wenn alle guten Willens sind und man gezielt die Logging-Funktionen ausbaut:
alleine das Verwenden einer transaktionsorientierten
SQL-Datenbank zum Abstreichen der Wähler erzeugt gezwungenermaßen (bis zum nächsten Reorganisieren) ein serialisierbares Log…
Was mich allerdings am meisten bei der Stupa-Wahl erschüttert hat:
Das interessiert einfach keinen. Da wird dann angeboten, grundlegende Probleme bei einer Tasse Kaffee irgendwie schon ausdiskutieren zu können.
Das erinnert mich sehr verdächtig an:
http://de.wikipedia.org/wiki/Indiana_Pi_Bill
Und wir schreiben das Jahr 2008.