Speciale ved IT-Universitetet, november 2004 Softwareudvikling Christian Landbo Frederiksen landbo@itu.dk Kristian Rønn-Nielsen ronn@itu.dk Vejleder: Professor Peter Sestoft, sestoft@dina.kvl.dk
Indholdsfortegnelse Indholdsfortegnelse 1. Indledning...2 2. Afstemningsmetoder...5 3. Protokoller...9 4. Algoritmer...23 5. Sikkerhedsaspekter...48 6. Univote...64 7. Programmet...75 8. Afprøvning...84 9. Digitalt demokrati...93 10. Konklusion...101 Referencer...102 Bilag A: Ordliste...112 Bilag B: Afprøvningslogge...118 Bilag C: SQL...124 Bilag D: Univote evalueringslicens...126 Bilag E: Java-kode...127 Side 1 af 323
1. Indledning 1. Indledning I lande med en demokratisk styreform skal befolkningen være en aktiv deltager i udviklingen af samfundet. Demokrati kræver, at befolkningen ikke bare skal have lov til at bestemme, men også at alle har reel indflydelse på beslutninger, der gælder fællesskabet. Et demokrati skal give alle lige mulighed for at blive hørt, for derved at undgå at stærke grupper dominerer i beslutningsprocesserne og vender udviklingen til egen fordel, på bekostning af svagere gruppers velfærd. Dette speciale handler om elektronisk afstemning som alternativ til den traditionelle afstemningsform med stemmesedler af papir. Idet elektronisk afstemning er en sandsynlig afløser for traditionel afstemning, er det vigtigt at den nye afstemningsform, i mindst lige så høj grad som den gamle, lever op til krav om sikkerhed og retfærdighed. I det nuværende papirbaserede afstemningssystem overvåges selve afstemningslokalet af betroede valgtilforordnede, der også har til opgave at kontrollere hinanden. Ingen personer kan snyde med ekstra stemmesedler eller direkte afpresse andre i deres afstemning i dette sikrede lokale. I et fremtidigt afstemningssystem på Internettet vil 'afstemningslokalet' være hele Internettet. Alle computere, som benyttes til afstemning, skal gøres lige så sikre som det nuværende afstemningslokale - sikkerheden skal nå helt ud til borgeren i hjemmet. En sådan opgave er meget kompliceret og langt fra alle problemstillinger er blevet løst. Blandt andet er identifikationen af vælgeren ikke ligetil på grund af vælgerens manglende fysiske tilstedeværelse i afstemningslokalet. En mellemting mellem det nuværende og det internetbaserede vil være at placere computere i det sikrede lokale, og have en form for elektronisk afstemning for at opnå en simplere og mere korrekt optælling (denne afstemningsform benyttes meget i USA). Mellemløsningen er ikke nem, også her er der komplicerede sikkerhedsaspekter, der skal overvejes. For eksempel er det vanskeligt at opbevare stemmesedlerne på en betryggende måde, hvis de ikke eksisterer i fysisk form. Demokratiske beslutninger kan have en enorm indvirkning på et lands tilstand, virksomheders økonomi, interessegruppers magt og enkeltpersoners liv. Det kan derfor være meget fristende at påvirke en afstemning til egen fordel. I samfundet er det i orden at forsøge at overbevise andre om, at en bestemt holdning er den rette ved at diskutere problemer og løsninger, men det er strengt forbudt at forvanske et afstemningsresultat, så det ikke længere afspejler befolkningens holdning. Direkte demokrati, hvor alle beslutninger lægges ud til befolkningen, er vanskeligt at administrere, og det er ikke altid hensigtsmæssigt. Derfor er et repræsentativt demokrati mere udbredt, hvor indbyggere udpeger en repræsentation (parlament) med jævne mellemrum og derved får indirekte indflydelse på de fleste beslutninger. I et sådant system får borgerne ofte kun direkte indflydelse på få og meget betydningsfulde beslutninger. Elektronisk afstemning vil måske åbne op for hyppigere afstemninger og dermed indføre mere direkte demokrati, hvis det bliver billigere at foretage en afstemning. Om direkte demokrati er mere ønskeligt end repræsentativt demokrati, eller for den sags skyld mere demokratisk, er en anden diskussion. Det vil i begrænset omfang blive berørt af denne tekst, da det er et betydningsfuldt perspektiv og måske opnåeligt med elektronisk afstemning. Lovgivning danner fundamentet i et demokrati. Straffeloven skal være med til at afskrække enkeltpersoner eller interessegrupper fra at bedrage sig til beslutninger; der skal være en konsekvens. Denne lovgivning er i sig selv ikke nok. Afstemningsprocessen skal beskyttes mod alle tænkelige former for bedrageri. Hvis det ikke er muligt at sikre 100% mod forbrydere, skal systemet Side 2 af 323
1. Indledning i det mindste overvåges, så svindel kan opdages med det samme, og resultatet skal revideres, for at efterse at optællingen er forløbet korrekt. Afstemningssystemet skal sikre integriteten af en afstemning. I et afstemningssystem er der mange aspekter, som skal kontrolleres, for at den samlede integritet er sikret. Den enkelte vælger skal identificeres ved stemmeafgivelsen, således at systemet kun modtager én stemme fra hver enkelt stemmeberettiget person. Den enkelte borger skal være anonym, således at stemmen ikke kan tilbageføres til personen efter at afstemningen er foretaget, for at beskytte borgere mod afpresning. Derudover skal hele optællingsprocessen sikres, så stemmer ikke tilføjes, fjernes eller ændres på ulovlig vis. Specialet Rapporten beskriver en sikkerhedspolitik og analyserer afstemningsformer. Derudover beskrives og implementeres et internetbaseret elektronisk afstemningssystem, døbt Univote, der overholder dele af sikkerhedspolitikken. Svage punkter og angrebsmuligheder i det udviklede system vil blive udpeget og analyseret, med henblik på at finde de sikkerhedsmæssige tiltag, der minimerer risikoen for valgsvindel. Fokus lægges på en analyse af sikkerheden omkring et elektronisk afstemningssystem og dets protokoller. Der vil være et overblik over relevante kryptografiske teknologier, og hvordan deres egenskaber kan anvendes i forbindelse med elektronisk afstemning. Derudover udpeges de centrale dele af et helt system, som kan udsættes for angreb af forbrydere, der ønsker at ændre afstemningsresultater til egen fordel. Heriblandt netværket, der forbinder det centrale afstemningssystem med befolkningen, software både på centrale afstemningsservere og befolkningens private computere og hardware. Analysen vil kun overfladisk omfatte proceduren for registrering af vælgere, men uddybe hvorledes der er sikkerhed for, at det kun er disse personer, der afgiver stemmer. Befolkningens tillid til afstemningssystemet er essentielt for demokratiet. Det traditionelle papirbaserede afstemningssystem er gennemskueligt og derfor troværdigt. Derimod er computere og programmer uigennemskuelige og det kan være en barriere, der er svær at overkomme, hvis befolkningens tillid skal opretholdes. Elektronisk afstemning har potentiale til at påvirke måden, hvorpå folket deltager i den demokratiske proces, ved at ændre vaner for hvad betydning valgdagen har, hvis der ikke længere er valglokaler og langvarige optællinger af stemmer. Så udover den tekniske sikkerhedsanalyse, vil specialet overveje hvilke menneskelige faktorer, der kan have indvirkning på indførelse af elektronisk afstemning, og hvilken indvirkning elektronisk afstemning kan have på menneskers syn på den demokratiske proces og tillid til denne. Som rapporten skriver, er det svært at have tillid til et lukket system. Kildekoden til afstemningssystemet Univote er derfor frit tilgængeligt til offentlig vurdering. Målgruppe Vi håber, at læseren er interesseret i elektronisk afstemning og sikkerhedsproblematikken bag. Læseren forventes at have lettere kendskab til it-sikkerhed og kryptologi, eftersom begreberne kryptering, offentlige og private nøgler og lignende benyttes uden grundlæggende forklaring. Der er til specialet udarbejdet en ordliste over emnets terminologi, som kan benyttes, hvis læseren kommer i tvivl om et ords betydning. Side 3 af 323
1. Indledning Overblik Indledningen her er første kapitel i specialet. I kapitel 2 er et kort overblik over nogle af historiens forskellige afstemningsmetoder fra håndsoprækning til internetafstemning med chipkort. Den traditionelle papirbaserede afstemning og to elektroniske afstemningsprotokoller gennemgås, og en samlet sikkerhedspolitik med emner som robusthed, hemmeligholdelse og verificerbarhed fremlægges i kapitel 3. Kapitel 4 handler om de kryptografiske algoritmer, der ligger bag et elektronisk afstemningssystem og giver også en introduktion til matematikken bag. I kapitel 5 laves en trusselvurdering af et elektronisk afstemningssystem, ved at gennemgå forsvars- og angrebsmuligheder. Derefter beskriver og analyserer kapitel 6 det implementerede system Univote, og sikkerheden vurderes med henblik på anvendelighed. Kapitel 7 skaber et overblik over programkoden, og kapitel 8 beskriver en afprøvning af systemet. Endelig drejer kapitel 9 væk fra tekniske aspekter og analyserer problemstillingen fra en mere menneskelig vinkel. Det drejer sig om folks syn på digitalt demokrati, om teknofobi og tilliden til systemet. Kapitel 10 afslutter specialet med vores konklusion. Kan elektronisk afstemning anvendes, og er det muligt at indføre? I bilagene findes den omtalte ordliste, litteraturlisten, afprøvningsdokumentation, kildekoden, licensbetingelser, og databasescripts. En digital version af denne rapport, kildekoden og licensbetingelserne findes enten på den vedlagte cd-rom, eller online (http://univote.landbo.net). Side 4 af 323
2. Afstemningsmetoder 2. Afstemningsmetoder I tidens løb har afstemningsmetoder udviklet sig fra fortidens simple håndsoprækning til nutidens hemmelige afstemninger, der er baseret på avancerede matematiske systemer (kryptografi og computere). Der har altid været behov for at tage beslutninger i fællesskab. I små forsamlinger bliver et beslutningsgrundlag rigt diskuteret, og der opnås i mange tilfælde et kompromis, hvor alle føler, at deres holdning er afspejlet i rimelig grad. Hvis ingen kan blive enige, er der ofte respekt for flertallets mening. I en lille forsamling er en simpel håndsoprækning den nemmeste måde at tælle hvor mange, der er for og imod et forslag, og denne metode er blevet brugt i flere årtusinder. Håndsoprækning Afstemning ved håndsoprækning er ligetil med en simpel optælling, som alle kan kontrollere i afstemningsøjeblikket. Håndsoprækning er ikke velegnet til store forsamlinger, men en metode med tilsvarende sikkerhed for resultatet blev benyttet i det gamle Athen, hvor skærver blev kastet åbenlyst i bunker eller potter, som hver repræsenterede en bestemt beslutning. Princippet er desværre ikke retfærdigt, da ingen deltager beskyttes mod at blive afpresset til at afgive en stemme imod sin overbevisning. Afgivelsen af en stemme foregår ikke i hemmelighed, så stemmen er ikke anonym, idet alle, der er til stede, kan se hvem der stemmer på hvad. Det er derfor muligt både at true en deltager til at afgive en bestemt stemme, samt at verificere at deltageren overholder den påtvungne aftale. Dette problem medførte at afstemning ved håndsoprækning blev afløst af det nu kendte system med hemmelig afstemning på anonyme stemmesedler. Papirstemmesedler Afstemning med stemmesedler foregår ved, at vælgere får udleveret en stemmeseddel mod at identificere sig og blive krydset af i valglisten. Stemmen afgives i en stemmeboks med plads til en enkelt person, hvor ingen kan blive overvåget. Dermed kan en påtvungen aftale ikke længere verificeres, og trusler eller stemmekøb er nyttesløst, da vælgeren kan stemme, som hun har lyst uanset truslerne. Men med papirstemmesedler er der opstået andre måder at svindle på, som ikke eksisterede ved håndsoprækning. Stemmesedler kan forfalskes, og det kan måske lade sig gøre at tilføje ekstra stemmesedler, eller fjerne eller ændre stemmesedler inden de bliver optalt. For at undgå svindel med stemmesedlerne er der skarp overvågning i det lokale, hvor stemmeboksen står, og stemmesedlen bliver lagt i en overvåget valgurne udenfor stemmeboksen, så ingen i det skjulte kan aflevere mere end én stemmeseddel. Disse organisatoriske tiltag og procedurer beskytter mod svindel. Da afstemninger kan foregå i store forsamlinger eller hele befolkninger, er det en stor opgave at administrere, især hvis der stemmes om flere temaer på én gang. Mange personer deltager som valgtilforordnede, men det tager alligevel meget lang tid at optælle stemmesedlerne (nogle steder flere dage), hvor utålmodige sjæle må vente i spænding. Derfor er der opstået et behov for tekniske løsninger, som forkorter denne ventetid. Det kan være ved at tælle stemmesedlerne mekanisk eller elektronisk og måske endda undervejs i afstemningsperioden. Stemmesedler, der kan aflæses mekanisk, bruges mange steder i USA. Vælgeren bruger en avanceret hullemaskine til at sætte et Side 5 af 323
2. Afstemningsmetoder hul i stemmesedlen ved det ønskede valg. Denne stemmeseddel er nem at aflæse mekanisk, og der er få ugyldige stemmer, hvis papiret er i orden og hullemaskinen fungerer korrekt. Den elektroniske udgave af stemmeoptællingssystemet skanner stemmesedlen straks efter, at vælgeren har markeret sin stemme, og vælgeren får lov til at efterse, at computeranalysen af skanningen er korrekt, inden papirstemmesedlen bliver endeligt afleveret i valgurnen. I den elektroniske udgave optælles stemmerne undervejs i afstemningsperioden, og der foretages stikprøver eller hele genoptællinger efter valget for at efterse, at den elektroniske optælling passede. Denne form for afstemning og optælling yder i princippet ikke bedre eller dårligere sikkerhed end traditionel blyantsafkrydsning, og da en slidt maskine kan sætte dårlige afmærkninger, er der også utilsigtede tvetydige stemmer, som skal tolkes af mennesker for at kunne tælles. Det er en ulempe, at det mekaniske eller elektroniske udstyr er dyrt at indkøbe og vedligeholde. Hvis lovgivning kræver alle skannede stemmesedler manuelt optalt, som en revidering af den første optælling, er der heller ikke penge at spare ved denne del af processen. Fordelen er den hurtige første optælling. Direct Recording Equipment/Electronic For yderligere at mindske administrationsarbejdet ved afstemninger er der rene mekaniske løsninger på afgivelse og optælling af stemmer. DRE (Direct Recording Equipment) er mekanisk udstyr med knapper for hver valgmulighed. Vælgeren trykker på knappen for sit valg, og en tæller forhøjes med en i maskinen. Fordelen ved DRE er, at resultatet af afstemningen er opgjort med det samme, og der ikke er udgifter til overvågning, opbevaring og optælling af papirstemmesedler. DRE er meget kritiseret, fordi den simple tæller betyder, at det ikke kan lade sig gøre at revidere optællingen og resultatet. Der findes ikke en håndgribelig udgave af vælgerens stemme, der af vælgeren er godkendt som værende i overensstemmelse med sit ønske. Derfor kan resultatet ikke gentælles uafhængigt af den mekaniske optælling, og maskinens tæller må stå alene. En håndgribelig stemmeseddel er nemmere at beskytte mod svindel og fejl end en tæller for enden af tandhjul, som kan ændres af en administrator, der har mere eller mindre autoriseret adgang. Der findes elektroniske udgaver af DRE, som så kaldes Direct Recording Electronic. En computer tilføjer stemmer til en liste af stemmer i sin hukommelse. En virtuel stemme i en computer er også svær at beskytte mod svindel og fejl, da den kan ændres af en virus eller en computeradministrator. Selve programmet i computeren kan også være bevidst skrevet med valgsvindel i tankerne. I USA bruges sådanne systemer i stort omfang, og der har manglen på tillid til computersikkerhed ført til en hel del kritik af afstemningssystemerne. Der er derfor megen omtale i USA af 'voter verified paper audit trail' [VVPAT] - en fysisk papirstemme udskrevet ved den elektroniske stemmeafgivelse og som lægges i en stemmeurne efter at vælgeren har set at den er korrekt. Indførelse af VVPAT fjerner besparelsen på administrationsarbejde, da papirstemmesedlerne skal beskyttes og optælles for at være til nogen nytte. Kiosk-afstemning med elektronisk autentificering Der er endnu flere besparelser at opnå ved at mindske behovet for valglokaler med skarp overvågning. Ved at lade vælgerne identificere sig elektronisk, for eksempel med et chipkort, kan man indføre kiosk-afstemning, hvor stemmeboksen indeholder en computer med forbindelse til et centralt system, der sørger for at hver vælger højst får lov at stemme én gang. Stemmebokse kan placeres i offentlige rum, og en enkelt valgtilforordnet kan holde øje med, at ingen forsøger at ødelægge udstyret, og at flere personer ikke går samlet ind i en stemmeboks. Den valgtilforordnede kan også reagere, hvis computeren tydeligvis er defekt. Kiosk-afstemning er også en fordel for Side 6 af 323
2. Afstemningsmetoder vælgeren, der kan gå til et hvilken som helst afstemningssted, fordi den elektroniske identificeringsproces er central. Hvis stemmerne opbevares i det centrale system på samme måde som DRE, har systemet de samme svagheder med hensyn til revidering. Men hvis vælgerens identitet opbevares ved en krypteret stemme, kan en vis grad af revidering lade sig gøre. Alle krypterede stemmer kan offentliggøres, og en vælger kan måske verificere sin egen stemme. Alle, som har undladt at vælge, kan se, at der ikke er en stemme i deres navn i systemet (mere om det i kapitel 3). Kiosk-afstemning er dog langt fra sikkert. Programmet i computeren kan ligesom i DRE være ondsindet og undlade at afgive stemmer i overensstemmelse med vælgerens ønsker. Et andet svagt punkt ved kioskafstemning er forbindelsen mellem stemmeboksen og det centrale system. Denne forbindelse kan aflyttes, og måske kan stemmer forhindres eller i værste fald ændres uden at det opdages. Internetafstemning fra hjemmet Valglokaler kan helt undværes, hvis Internettet og vælgernes egne computere anvendes i stedet. Dette mindsker dog sikkerheden yderligere i forhold til kiosk-afstemning, idet der ikke længere er en valgtilforordnet til stede til at sikre, at computerudstyret virker, og at ingen overvåger vælgeren under afstemningsprocessen. Organisatoriske tiltag og procedurer rækker ikke ud til hjemmet, så nu er det i langt højere grad kryptografi og computersikkerhed, der skal beskytte mod svindel eller i hvert fald gøre det besværligt at snyde i stort omfang. Internettet er usikkert på den måde, at forbindelser kan afbrydes, og stemmer derfor kan forhindres i at blive afleveret. Den fysiske sikkerhed når ikke ud til vælgerens computer, så vælgeren må passe på sig selv, sin computer og sin egen del af netværket for at undgå afpresning, virus og netværksaflytning. Vælgeren har kontrol over sin egen computer, derfor kan han fremstille en kvittering for sin afgivne stemme. En kvittering, der beviser hvilken stemme der er afgivet, er en trussel mod sikkerheden. Den kan nemlig bruges ved afpresning, eller hvis vælgeren ønsker at sælge sin stemme. Vælgeren kan fremstille en kvittering ved at gemme en beskrivelse af alle nøgler og tilfældige tal, som blev brugt ved krypteringen af stemmen. Hvis det følger af afstemningsprotokollen, at alle krypterede stemmer offentliggøres, eller hvis netværket aflyttes, så har en forbryder en kopi af den krypterede stemme og kan gentage vælgerens kryptering for at sammenligne resultatet med den krypterede stemme fra afstemningssystemet. Dette kan altså bruges af vælgeren som bevis for, at stemmeafgivelsen har været i overensstemmelse med en fri- eller ufrivillig aftale. Hvis afstemning over Internettet udvides, så alle vælgere får et chipkort til at kryptere stemmen, vil det ikke længere kunne lade sig gøre at fremstille en kopi af nøgler og tilfældige tal, der indgik i krypteringsprocessen. Et chipkort kan skjule hemmelige nøgler og fremstille tilfældige tal, så de er umulige at aflæse udefra, og disse data kan bruges i en krypteringsalgoritme, der udføres internt i kortet. Kortet er så godt som umuligt at bryde ind i fysisk, uden at alle hemmeligheder slettes. Dermed er det umuligt at verificere sin stemme, og forsøg på afpresning og køb af stemmer vil i den forbindelse være nyttesløst. Det er selvfølgelig muligt for vælgeren at overlade alle kodeord, nøgler og chipkort til en forbryder, så forbryderen fuldstændigt foretager afstemningen i vælgerens navn, uden at det kan opdages på tværs af Internettet. Hvis vælgerens private nøgle er vigtig for personen også til andre formål, vil det være mindre ønskeligt at afgive denne, så en privat nøgle eller chipkort fremstillet specielt til en afstemning er ikke en god løsning. Side 7 af 323
2. Afstemningsmetoder Biometri, hvor en fysisk egenskab ved vælgeren indgår i identifikationsprocessen [BC], er et realistisk fremtidsperspektiv, som måske vil betyde, at en stemme ikke kan afgives uden vælgerens tilstedeværelse. Side 8 af 323
3. Protokoller 3. Protokoller Når vælgere møder op på valgdagen for at afgive en stemme, står de midt i mylderet af andre vælgere og venter i køer for til sidst at markere deres valg på en stemmeseddel. Dette virvar er ikke ude af kontrol, for vælgerne bliver ledt igennem en hel bestemt følge af handlinger. Fremgangsmåden er beskrevet i en protokol, og alle frivillige medhjælpere i valglokalet holder skarpt øje med vælgerne, så ingen kan komme til at afgive en stemme på en måde, som ikke følger protokollen. Afstemning på papirstemmesedler er bare én protokol med en række egenskaber, som tilsammen betyder, at stemmer bliver opfanget og optalt på en fornuftig måde. Protokoller for elektronisk afstemning forsøger at opnå de samme egenskaber eller flere for ligeledes at lade hver vælger afgive en stemme, uden at det bliver et ustyrligt virvar, og uden at deltagerne kan snyde. Dette kapitel opstiller en liste af egenskaber ved afstemningsprotokoller og systemer som helhed. Nogle af egenskaberne er så vigtige, at det er et krav, at en protokol har dem for at være en sikker afstemningsprotokol. For eksempel er det et krav, at hver vælger højst må kunne afgive én stemme. Andre egenskaber er ønskelige men ikke opnåelige for alle protokoller, såsom at et afstemningssystem, hvor vælgerne stemmer hjemmefra, ikke er i stand til at beskytte vælgerne mod overvågning for at undgå direkte fysisk afpresning. Hvis ønskelige egenskaber ikke er opnåelige, skal der være omstændigheder, som betyder at denne egenskab kan undværes uden at det ødelægger sikkerheden fuldstændigt. Det er for eksempel ikke lige så vigtigt at overvåge vælgere i deres hjem, som det er i et afstemningslokale, da det er besværligt for en forbryder at overvåge mange vælgere i hver deres hjem. I det foregående kapitel blev en række afstemningsmetoder kort gennemgået og nogle vigtige egenskaber nævnt: Alle skal kunne kontrollere at optællingen er foregået korrekt, som ved håndsoprækning, hvor det er nemt for tilstedeværende at kontrollere at optællingen er korrekt, eller ved at optællingen kan revideres, som ved afstemning på papirstemmesedler, hvor stemmesedlerne kan gentælles. Der skal være beskyttelse mod afpresning. Ved afstemning på papirstemmesedler er den anonyme og hemmelige stemme en realitet, fordi ingen bliver overvåget i det øjeblik stemmen afgives. Hver vælger må højst kunne afgive én stemme. Ekstra stemmer må ikke tilføjes, og stemmer må ikke fjernes eller ændres. Ved håndsoprækning er det tydeligt, hvis en person rækker begge hænder op, så det er ikke til at "tilføje" stemmer. Disse egenskaber er enkle, og det er til at forstå, at det papirbaserede afstemningssystem har dem, men det er indviklet at opfinde et elektronisk afstemningssystem, der har dem alle, for der er to egenskaber som er svære at forene: Det er ikke nemt at beskytte en afstemning, så ingen snyder og afleverer mere end én stemme, samtidig med at stemmen skal være anonym. Ved optællingen er det ikke til at se forskel på anonyme stemmesedler fra vælgere og ekstra, men lige så anonyme, stemmesedler fra et korrupt afstemningssystem. Side 9 af 323
3. Protokoller Egenskaber 1. Hemmelig og anonym Det første krav til en afstemning er, at vælgeren har ret til at holde sit valg hemmeligt. Som tidligere beskrevet er en stemme ikke hemmelig, hvis den afgives i al offentlighed ved håndsoprækning. Det er meget nemmere at stemme helt efter sin egen overbevisning, hvis det ikke er nødvendigt at skulle forsvare sin holdning, hver gang man befinder sig blandt mennesker med en anden mening. Men ikke bare på grund af socialt pres er den hemmelige stemme vigtig. En forbryder, der ønsker at afpresse en vælger, vil udnytte, at stemmen ikke er hemmelig, fordi han kan se, hvis vælgeren ikke følger de fremsatte stemmekrav. Hvis forbryderen derimod ikke kan opdage hvilken stemme vælgeren har afgivet, kan vælgeren love at gøre, som forbryderen kræver, men undlade at følge kravene i al hemmelighed. Forbryderen står uden magt, når det ikke er til at skelne vælgere, der følger anvisningerne, fra vælgere, som afgiver deres egen stemme. Hvis vælgeren kan fremstille en kvittering for sin egen stemme, er dette også et brud på hemmeligheden, da forbryderen kan true sig til at få udleveret kvitteringen. Den hemmelige stemme beskytter også hele afstemningen mod, at vælgere sælger deres stemme til en kandidat, som lover at betale sine vælgere. Hvis kandidaten er i stand til at overvære stemmeafgivelsen, vil han være sikker på, at vælgeren har gjort som betalt for, og pengene vil ikke være spildt, men hvis det er umuligt at få indsigt i hvilken stemme, der rent faktisk er afgivet, vil kandidaten ikke længere kunne kontrollere vælgerne, og stemmekøb vil ikke være pengene værd. Det er ikke kun i stemmeafgivningsøjeblikket, at der skal være beskyttelse. Den afgivne stemmeseddel må ikke kunne tilbageføres til vælgeren, men skal være anonym. Ellers vil det være lige så afslørende som direkte overvågning af vælgeren i stemmeboksen. Ligeledes må afstemningssystemet ikke udlevere en kvittering til vælgeren, der kan bruges som bevis for hvilken stemme der er afgivet. I et godt afstemningssystem må ikke engang systemet selv indeholde oplysninger, der forbinder en vælgers identitet og stemmen. Et system kan være korrupt eller fejlbehæftet, og oplysninger om vælgerne kan sive ud og ødelægge den hemmelige stemme en dag. Hemmelighed opnås traditionelt ved at vælgeren er alene i en stemmeboks når stemmen afgives, og hvis stemmesedlen transporteres elektronisk inden den er anonymiseret, skal det foregå i et medium der ikke er til at aflytte. 2. Én stemme Demokrati indebærer, at hver vælger har ret til én og kun én stemme, og at ingen får flere stemmer. Der må ikke være forskel på vælgere. Om de er unge eller gamle, rige eller fattige, alle skal have lige medindflydelse, derfor skal afstemningssystemet sikre, at hver vælger kun kan få én stemme. Der skal være en valgliste, og hver vælger skal krydses af på listen ved afgivelse af sin stemme. Derved kan en vælger ikke møde op i valglokalet to gange, uden at det bliver opdaget. I afstemningsperioden skal vælgere identificeres på en sikker måde, så ingen person kan udgive sig for en anden. Side 10 af 323
3. Protokoller 3. Kun stemmeberettigede må afgive stemme Det kræver ansvarsfølelse at deltage i et demokrati. En beslutning har stor betydning for alle i samfundet, og alle deltagere i afstemningen skal tage dette alvorligt. Derfor er det ikke alle mennesker, som får lov til at afgive en stemme, og lovgivning fastslår hvem, der er stemmeberettigede. For eksempel er det normalt ikke tilladt for børn at stemme, og mere kontroversielt fik kvinder i Danmark først valgbarhed og stemmeret til Folketing og Landsting i 1915 [RET1915]. Ved stemmeafgivelsen skal der være en form for sikker autentificering af vælgeren, så alle stemmer kommer fra berettigede. En valgliste skal bestå af alle stemmeberettigede, og denne liste skal holdes ved lige, så personer, der når den rette alder eller på anden måde får ret til at deltage, tilføjes mere eller mindre automatisk. Systemet må ikke selv kunne afgive stemmer for vælgere, som ikke har afgivet en stemme ved afslutningen af afstemningsperioden. Hvis systemet som helhed er i stand til at gøre dette, kan systemets dele adskilles, og delene administreres af personer, der ikke har samme ønsker om afstemningsresultatet. 4. Kompromittering Ingen stemme må uautoriseret kunne tilføjes, fjernes eller ændres. Ethvert afstemningssystem skal beskyttes mod kompromittering med fysisk beskyttelse af udstyr og stemmesedler. Alle kendte former for kompromittering skal kunne opdages under afstemningen eller ved revidering af optællingen, og sidst men ikke mindst skal alle former for kompromittering være strafbar for at afskrække forbrydere. I et perfekt system er der ingen måder hvorpå valget kan kompromitteres. Ethvert forsøg vil være åbenlyst og forbryderen vil kunne identificeres. Sådan et system er endnu ikke opfundet, og der må slækkes på dette krav. Et mindre perfekt system vil opdage kompromittering, men vil ikke være i stand til at identificere synderen, og de forfalskede stemmer vil ikke kunne fjernes, da de ikke skiller sig ud fra korrekte stemmer. Mindstekrav til et afstemningssystem er at kompromittering i betydelig omfang er meget besværligt, dyrt eller tager lang tid, og at det højst sandsynligt vil blive opdaget, så en afstemning kan annulleres. Hvis et forsøg på kompromittering kræver, at mange mennesker indblandes (afpresning af en stor del af vælgerne for eksempel), vil det være besværligt, og højst sandsynligt vil en af deltagerne alarmere politiet. Ved elektronisk afstemning kan kryptering måske betyde, at hver forfalsket stemme koster meget tidskrævende computerberegninger, og dermed vil det være uopnåeligt at svindle i stor stil. På intet tidspunkt i stemmeindsamlingen og optællingsprocessen må sikkerhed bygge udelukkende på tillid til en enkelt person eller en gruppe af tæt knyttede personer. Det er åbenlyst, at denne person eller gruppe er fristende at bestikke eller afpresse, eller at de kan handle uærligt af egen interesse. I alle led af afstemningsprocessen skal uafhængige observatører og personer fra alle interessegrupper kunne kontrollere afstemningens forløb. Det kan være svært at være observatør ved en elektronisk afstemning, og her må deltagelse i processen fokusere på revidering snarere end løbende kontrol. Side 11 af 323
3. Protokoller 5. Alle gyldige stemmer er optalt nøjagtigt (engelsk: Completeness) I et perfekt system vil den endelige optælling være nøjagtig, enten fordi fejl ikke kan forekomme, eller fordi alle fejl vil blive opdaget og rettet. Det perfekte system eksisterer ikke, men i et godt system vil alle betydningsfulde optællingsfejl opdages ved revidering. Der er forskel på en gyldig stemme og en korrekt stemme: En gyldig stemme er en stemme indenfor rammerne af afstemningssedlen afgivet af en berettiget vælger, mens en korrekt stemme yderligere er en stemme i overensstemmelse med vælgerens ønske. Kun vælgeren selv ved, om en stemme er korrekt, mens gyldigheden skal kunne afgøres af systemet. En revidering af en optælling indebærer, at resultatet af en afstemning sammenlignes med en anden helt eller delvist uafhængig optælling. Selve optællingen af stemmer kan revideres så længe mængden af stemmesedler eksisterer, idet optællingen kan gentages af andre personer, og resultaterne kan sammenlignes. Da revidering traditionelt set handler om at gentælle papirstemmesedler, som vælgere selv har udfyldt (og som dermed er korrekte), kan det være svært at revidere en elektronisk afstemning, hvor stemmer ikke eksisterer fysisk men kun virtuelt. Vælgeren kan ikke vide om den måske krypterede stemmeseddel stadigvæk er korrekt, øjeblikket efter at den er forsvundet fra skærmen. Det kan sammenlignes med en blind vælger, som får hjælp til at udfylde sin stemmeseddel. Vælgeren ved ikke med sikkerhed, om det ytrede ønske afspejles på stemmesedlen, men må stole på hjælperen. En virtuel stemme er sværere at beskytte og lettere at ændre (også i afstemningsøjeblikket) end en fysisk stemmeseddel, der bare skal låses inde og overvåges. Computersystemer er komplekse og sikkerhedshuller udbredte, derfor er det svært at sige med sikkerhed, at det ikke er lykkedes en forbryder at omgå sikkerhedskontroller og ændre virtuelle stemmer. En optælling og revidering heraf kan give samme forkerte resultat. Brugen af DRE, der enten bare optæller stemmeafgivelser direkte til en akkumuleret værdi, så en gentælling er totalt umulig, eller gemmer virtuelle stemmesedler i computere, der ikke kan være fuld tillid til, betyder, at der er brug for 'Voter verified paper audit trail' (se kapitel 2). Dette VVPAT kan så bruges ved revidering af det hurtige elektroniske resultat. Hvis en afstemningsprotokol tillader individuel revidering af optællingen, vil hver enkelt vælger kunne verificere sin og kun sin egen stemme. Vælgeren kan efterse at stemmen er med, og at den er korrekt. Hvis et helt valg skal revideres på denne måde, betyder det at alle vælgere skal deltage i revideringsprocessen. Individuel revidering er ikke anvendelig i praksis, da mange vælgere ikke ønsker eller glemmer at gøre dette, når flere millioner mennesker deltager i en folkeafstemning. Hvis vælgeren kan efterse korrektheden af sin egen stemme, er der en fare for at det ødelægger den hemmelige stemme, og at det udnyttes til afpresning eller stemmesalg. En universel revidering af optællingen er mere anvendelig. Det indebærer, at alle og enhver kan verificere gyldigheden af hele samlingen af stemmer i resultatet. Alle kan se, at hver enkelt stemme er afgivet af en stemmeberettiget person, og at stemmen er gyldig. Stemmernes korrekthed kan selvfølgelig ikke universelt verificeres, da det vil ødelægge princippet om den hemmelige stemme. En efterfølgende gennemgang af hele afstemningsperioden vil øge tilliden til resultatet. Alle brud på sikkerhedskontroller skal begrundes, og det skal vises at det ikke havde betydning for resultatet. Alle succesfulde forsøg på snyd, der omgik sikkerhedskontrollerne, vil selvfølgelig ikke fremstå. Side 12 af 323
3. Protokoller 6. Tilgængelighed I afstemningsperioden skal vælgerne have uhindret adgang til at afgive deres stemmer. Det er imod vælgernes demokratiske rettigheder, hvis valgsteder ikke er åbne, og der ikke er andre steder at gå hen at stemme. Selv ved elektronisk afstemning kan der være problemer med tilgængelighed, hvis forbindelsen mellem vælgerne og afstemningssystemet afbrydes på grund af fejl eller velovervejede angreb. Forbrydere kan for eksempel udsætte et afstemningssystem for et DOS-angreb (se kapitel 5). I afstemningsperioden må der ikke være for lange ventetider. Hele afstemningen skal foregå effektivt, så ingen vælgere er nødt til at vente længe på andre vælgere, ellers vil mange give op og ikke stemme. Demokratiet skal sørge for, at så mange som muligt når at afgive deres stemme, så selve protokollen skal kunne skaleres til mange vælgere uden at have flaskehalse, der kan skabe problemer. Det er ikke nødvendigvis et problem for afstemningsprotokoller, da folkeafstemninger kan inddeles i separate valgdistrikter med få vælgere og hver sin optælling. Hvis vælgere kan afgive deres stemme fra et hvilken som helst afstemningssted eller computer (kaldes mobilitet), vil det øge tilgængeligheden. Til det kræves en central valgliste, så ingen kan afgive mere end én stemme, selvom måske både elektronisk og papirbaseret afstemning er tilladt. En centralisering vil selvfølgelig gøre det sværere at skalere et afstemningssystem. 7. Lige og nem adgang Det er ikke nok, at valgsteder er tilgængelige, men alle skal have lige adgang. Valgsteder skal placeres, så ingen befolkningsgruppe uanset bopæl, indkomst, etnisk baggrund eller andet bliver diskrimineret. Derfor skal afstemningslokaler placeres, så alle bor i rimelig kort afstand fra et sted de kan stemme. Det er ikke rimeligt, hvis lokalerne er placeret, så det er nødvendigt at have en bil for at kunne afgive sin stemme, da det vil betyde at fattige vælgere i højere grad end rige vil blive frataget deres stemmeret. Afstemningsprocessen skal være nem, så ingen befolkningsgruppe bliver udelukket på grund af manglende uddannelse. Det må for eksempel ikke kræve speciel teknisk indsigt i computere at afgive sin stemme - alt skal være let forståeligt. I det hele taget skal hele afstemningen være gennemskuelig, da det øger tilliden til systemet og dermed legitimerer resultatet. Hvis der ikke er tillid til at afstemningen foregår korrekt, kan det ødelægge et ellers reelt resultat, da ikke alle vil respektere vinderne. 8. Fleksibilitet En protokol er fleksibel, hvis stemmesedlen ikke begrænser vælgeren til kun at afkrydse forudbestemte valgmuligheder. Stemmesedler kan tillade, at vælgeren selv tilføjer en kandidat eller svarer på åbne spørgsmål med egne ord. Hvis stemmesedlen lader det stå vælgeren frit at lave en ugyldig eller blank stemme, vil dette også øge fleksibiliteten. Det har altid kunnet lade sig gøre at lave en ugyldig papirstemmeseddel, men ved elektronisk afstemning kræver det måske omhu at tilføje denne funktion. Side 13 af 323
3. Protokoller 9. Modstandskraft (engelsk: Soundness) En uærlig vælger må ikke være i stand til at afgive en ugyldig stemme, der ikke bliver opdaget af systemet men forvansker optællingen. En forkert udfyldt stemmeseddel skal opdages af systemet og ikke medtages i optællingen. Vælgere kan godt få lov til at afgive ugyldige stemmer, men det skal være klart for systemet, at stemmesedlerne er ugyldige og ikke må medtages i optællingen. Ligeledes må en uærlig vælger ikke kunne påvise, at der er sket en fejl i afstemningsprocessen, hvis det ikke passer. Hvis en vælger forsøger at sandsynliggøre fejl ved en i virkeligheden problemløs proces, skal det kunne tilbagevises på fornuftig vis, ellers vil tilliden til hele afstemningen blive sat på spil. 10. Robusthed Hvis en afstemningsprotokol beskriver et system, der består af flere dele, kan disse dele hver for sig fejle. Protokollen er robust, hvis den virker korrekt selvom en eller flere dele fejler. Systemet skal opdage fejl og reagere fornuftigt, så ingen af kravene om hemmelighed, én stemme per stemmeberettiget vælger eller kompromittering og så videre bliver brudt. En korrekt reaktion kan være at stoppe hele afstemningen. 11. Kopibeskyttelse (engelsk: Non duplication, unreusability) Hvis vælgere er i stand til at kopiere og bruge andre personers stemmer, kan alle vælgere, som ikke bekymrer sig om problemstillingen, bare kopiere en stemme fra en person de mener er fornuftig, uden at vide hvad personen virkelig stemmer. I et valg med mange deltagere vil der kun være få personer, som vil gøre dette, og kopiering af stemmer på dette grundlag er ikke et problem, der nødvendigvis behøver at blive taget alvorligt. Et mere alvorligt eksempel er, hvis en forbryder tvinger vælgere til at kopiere forbryderens egen elektroniske krypterede stemme, så forbryderen ved, at der stemmes efter hans overbevisning. Dette vil omgå ønsket om den hemmelige stemme på en snu måde. En udfyldt stemmeseddel må ikke kunne genbruges ved et andet valg. Hvis samme papirstemmeseddel eller virtuelle stemmeseddel kan genbruges på en måde, som springer sikkerhedskontroller over, kan dette måske udnyttes. Selv hvis den enkelte stemmeseddel ikke kan læses, på grund af kryptering, kan duplikering udnyttes. Et tænkt eksempel ville være at stjæle eller kopiere ja/nej-stemmesedler fra et valg, hvor vælgerne har stemt hovedsageligt ja, for senere at indsætte dem i et andet valg, hvor forbryderen også ønsker et ja, selvom det denne gang går imod folkets virkelige ønske. 12. Anonym deltagelse (engelsk: Public participation) Nogle sofavælgere vil foretrække, at det ikke offentligt udstilles, at de ikke har afgivet en stemme, mens det er i demokratiets interesse, at så mange som muligt deltager i valg, da deltagelse er grundlæggende for demokratiske beslutninger. I Australien er det blandt andet derfor lovpligtigt at Side 14 af 323
3. Protokoller blive skrevet på valglisten, og det er lovpligtigt at møde op til valg (det er tilladt at afgive ugyldige eller blanke stemmesedler) [COMPAU]. Ved traditionelle papirbaserede afstemninger er det svært for en vælger, at påstå at han ikke har afgivet en stemme, for der vil være vidner, som kan sige at de har set ham. Det er nemmere at påstå at han har afgivet en stemme, selvom det ikke passer, for vidner på alle tidspunkter i løbet af valgperioden skal være sikre på at de ikke har set ham. Det er op til lovgivningen at bestemme om valglisten skal offentliggøres. Ved elektronisk afstemning er det ikke altid at afstemningsprotokollen offentliggør valglisten, så det er åbenlyst for andre at en bestemt vælger har afgivet en stemme. Måske er det kun nødvendigt, at systemet ved hvem, som markeres i valglisten. Hvis afstemningsprotokollen tillader det, og systemet er til at stole på, kan listen med afkrydsede vælgere holdes hemmelig. Disse egenskaber er inspireret af lignende lister fra flere kilder. Her i tilfældig rækkefølge: [IPI2001, MAM2003, VL2001, SENSUS1997, KW1999, CYBERVOTE, MAH1997]. Analyse Tre protokoller vil blive analyseret på grundlag af rækken af ønskelige egenskaber: Afstemning baseret på papirstemmesedler, blinde signaturer og til sidst homomorf kryptering. Analysen vil ikke beskrive i nære detaljer, hvis protokollerne på let forståelig vis overholder krav, men vil i stedet fokusere på finurligheder og problemer, samt i hvor høj grad det har betydning for sikkerheden, hvis en protokol ikke har en vigtig egenskab. Papirstemmesedler Det traditionelle afstemningssystem med papirstemmesedler til Folketinget i Danmark overholder den danske "Lov om valg til Folketinget" [VL2001]. Vælgere i Danmark får tilsendt et valgkort, der giver vælgeren ret til at afgive en stemme mod at aflevere valgkortet. Samtidigt udskrives der en valgliste. Når valgkortet afleveres til en valgtilforordnet, bliver vælgerens identitet kontrolleret, og navnet afkrydses på valglisten, for at sikre at kun personer med ret til at vælge får udleveret en stemmeseddel, og at ingen vælger kan få udleveret flere stemmesedler. Stemmesedlen er ikke til at genbruge ved et andet valg, da det konkrete spørgsmål er skrevet på sedlen, eller fordi kandidatlisten højst sandsynligt ændrer sig fra valg til valg. Afstemningslokaler placeres i hele landet, så ingen har langt at rejse for at afgive sin stemme, og ingen afstemningslokaler skal modtage så mange vælgere, at der bliver for lang ventetid. I afstemningslokalet skal der være stemmebokse, der er udstyret med en blyant til afkrydsning, og som er indrettet således, at ingen kan overvære en vælger i hendes stemmeafgivning. En vælger kan forsøge at smugle et kamera med ind i stemmeboksen, for at fremstille en kvittering for sin stemmeafgivelse, men det er ikke nemt, da valgtilforordnede holder øje med alle og vil beklage sig over det. Valgurnen til stemmesedler skal fremvises inden afstemningsperioden og derefter straks aflåses og forsegles, så alle tilstedeværende kan se at den er tom, og ingen stemmesedler kan tages ud uden at Side 15 af 323
3. Protokoller forsegling brydes. Afkrydsningen af stemmesedlen foregår i hemmelighed, men når vælgeren lægger stemmesedlen i valgurnen, bliver det overvåget af valgtilforordnede, så ingen afleverer mere end én stemmeseddel, åbner valgurnen og fjerner stemmesedler, eller stjæler valgurnen. Efter afstemningsperioden bliver alle overskydende stemmesedler pakket forsvarligt væk inden valgurnerne åbnes. Derefter er det de udfyldte stemmesedler, som beskyttes fysisk, ved at alle valgtilforordnede og tilskuere til optællingen holder øje med hinanden. Lovgivningen giver også en delvis beskyttelse af vælgeres ønske om, at ingen andre ved, at vælgeren har afgivet en stemme, idet valgtilforordnede ikke må oplyse om bestemte vælgere har deltaget i afstemningen. Det er kun en delvis beskyttelse, da ingen bliver beskyttet imod overvågning af generel art i området omkring og i valglokalet. En vælger, der giver sin stemmeseddel et særpræg ved at tilføje mærker eller tegn, gør stemmesedlen ugyldig. Et særpræg kan være med til at fjerne anonymiteten af stemmen, så den kan bruges til stemmesalg eller ved afpresning, og derfor erklæres den ugyldig for at ødelægge formålet med denne form for svindel. Det er tilladt at afgive sin stemmeseddel per brev, for at øge tilgængeligheden. Personer i udlandet eller personer, som af andre grunde ikke har mulighed for at møde op i valglokalet på valgdagen, kan få udleveret brevstemmemateriale. I repræsentationer i udlandet eller på skibe udpeges en person som stemmemodtager, og det er hans ansvar at udlevere brevstemmemateriale til vælgere mod fornøden legitimation. Brevstemmemateriale består af en stemmeseddel, konvolut, følgebrev og yderkuvert. Stemmesedlen skal lægges i konvolutten, og følgebrevet skal underskrives af vælgeren samt stemmemodtageren, som dermed attesterer stemmeafgivningen. Begge dele lægges i yderkuverten, som udfyldes med navn, fødselsdato og adresse på vælgeren, inden den afsendes. Loven foreskriver, at når brevstemmer åbnes, skal mindst to valgstyrere deltage og dermed holde øje med, at der ikke fjernes eller ændres brevstemmer. Brevstemmer åbnes inden valget, og vælgere krydses af på valglisten, så ingen er i stand til at stemme både per brev og til almindelig afstemning. Autentificeringen af vælgeren er til en vis grad sikker, fordi stemmemodtageren attesterer, men der ydes ingen beskyttelse af vælgeren, når han udfylder stemmesedlen. Derfor kan vælgere blive afpresset til at afgive stemmer, der ikke er efter eget ønske. Det er heldigvis meget besværligt at udnytte, at brevstemmere kan afpresses, da det er mange vælgere, der skal kontaktes før denne forbrydelse vil have betydning ved et stort valg. Brevstemmen er heller ikke fysisk overvåget undervejs i forsendelsen, men postvæsenets grad af pålidelighed og ærlighed accepteres. Også her er det besværligt at svindle med brevstemmer, da en brudt kuvert betyder, at stemmen erklæres ugyldig, så en forbryder ikke kan destruere brevstemmer selektivt. Optællingen af stemmesedlerne er offentlig, så alle borgere kan møde op og se at der ikke tydeligt svindles med stemmesedlerne. Resultatet bliver oplæst til alle tilstedeværende med det samme det foreligger, så alle kan se, at det samme resultat fremstår ved senere offentliggørelser i fjernsynet og aviser. Alt dette er med til, at vælgerne har tillid til systemet, og at optællingen ikke kan forvanskes. Hele afstemnings- og optællingsprocessen med simple papirstemmesedler er gennemskuelig for befolkningen, og det betyder at tilliden til valget er meget høj. Ingen borgere føler, at der er svindel i danske afstemninger. Det er vigtigt, at der er tillid, for det legitimerer resultatet, at ingen føler sig bedraget. Hvis der alligevel er tvivl om resultatet kan en gennemgang af valglisterne og en genoptælling revidere den første optælling universelt. Side 16 af 323
3. Protokoller Elektronisk afstemning Ved et skift til elektronisk afstemning over Internettet er der næsten ingen sikkerhedsaspekter, som kan overføres direkte fra systemet med stemmesedler. Vælgere kan for eksempel ikke beskyttes mod uønsket overvågning i "valglokalet" i afstemningsøjeblikket, og stemmesedlerne skal ikke længere beskyttes fysisk og flyttes omkring, da de ikke eksisterer i håndgribelig form. Heller ikke vælgeres adgang til afstemningssystemet er beskyttet, da et DOS-angreb kan forhindre mange i at afgive en stemme, uden at der umiddelbart er noget at stille op (se kapitel 5). Der bør stadigvæk gælde de samme overordnede sikkerhedskrav til systemet, idet stemmer hverken må tilføjes uautoriseret, mistes eller forfalskes, og hver vælger kun må afgive én stemme. Blinde signaturer Denne protokol for afstemning over Internettet benytter sig af blinde signaturer og anonyme kommunikationskanaler (se kapitel 4) [FUJIOKA1992]. Systemet har en registrator, en administrator og en tæller. Blind signatur-protokollen Inden valget udarbejder registratoren en valgliste med alle borgere, der er stemmeberettigede, ligesom ved vælgerregistrering til traditionel afstemning (i Danmark foregår registreringsprocessen Side 17 af 323
3. Protokoller automatisk i modsætning til for eksempel USA, hvor borgere aktivt skal registrere sig som vælgere). Vælgere udarbejder hver især et nøglepar bestående af en offentlig og en privat nøgle og sender den offentlige nøgle sammen med deres identifikation til registratoren. Denne nøgleregistrering skal foregå på en måde, der på rimelig vis sikrer registrator, at ingen snyder med sin identitet. For eksempel kan registratoren sende et almindeligt brev med et kodeord til vælgernes postadresser, og stole på at postvæsenet og postadressesystemet fører sikkert til den rette borger. Derefter kan vælgeren bruge kodeordet til at identificere sig med, når han sender sin offentlige nøgle til registratoren. Registratoren sender valglisten til administratoren efter at have modtaget vælgernes offentlige nøgler. Administratoren kan nu modtage signeret data fra vælgerne med sikkerhed for afsenders identitet. Registratoren kan ikke tilføje borgere til valglisten, der ikke er stemmeberettigede, da denne liste kan revideres af flere og i god tid inden valgperioden begynder. I første fase af afstemningen fremstiller vælgeren en udfyldt elektronisk stemmeseddel på sin computer. Protokollen stiller ikke nogle krav til formen af stemmesedlen, men den skal være på en form, der passer til afstemningens problemstilling, så man kan se om, den er blevet dekrypteret korrekt i sidste fase. Stemmesedlen krypteres først med en tilfældig nøgle k, og derefter blændes og signeres den. Stemmesedlen sendes til administratoren sammen med vælgerens identitet, så administratoren kan finde vælgerens offentlige nøgle i sin valgliste og afprøve og fjerne signaturen. Dermed kender administratoren identiteten af vælgeren og signerer derfor den blændede krypterede stemmeseddel, samtidig med at vælgeren krydses af på valglisten, så vælgeren ikke kan få flere stemmesedler signeret. Stemmesedlen sendes således tilbage til vælgeren, og administratoren har aldrig set den krypterede stemmeseddel, da den jo var blændet. I anden fase af processen fjerner vælgeren blændingen, så den krypterede stemmeseddel fremstår med administratorens signatur påført. Vælgeren sender den krypterede og signerede stemmeseddel til tælleren via en anonym kommunikationskanal, så tælleren ikke kan opdage afsenderens identitet. Tælleren kontrollerer administratorens signatur for at være overbevist om, at den krypterede stemmeseddel kommer fra en autentificeret vælger. I tredje fase af afstemningen offentliggør administratoren en liste af alle vælgeres identiteter, deres blændede krypterede stemmesedler og de blændede krypterede stemmesedler signeret af vælgerne. Herefter er vælgeren ikke længere i stand til at skjule, om han har afgivet en stemme. Tælleren offentliggør en liste af alle godkendte krypterede stemmesedler. Alle kan kontrollere at listerne har samme længde, for at sikre sig at ingen stemmer er forsvundet. Administratoren kan ikke svindle ved at signere anonyme stemmesedler og sende dem til tælleren, da antallet af stemmer på administratorens liste af vælgersignerede stemmer vil være færre end antallet af stemmer på tællerens liste af modtagne stemmer. Til sidst i tredje fase kan hver vælger finde sin egen stemme på de to lister og sende nøglen k til tælleren via den anonyme kommunikationskanal, med angivelse af hvilken krypteret stemmeseddel nøglen tilhører. Tælleren kan nu optælle alle stemmerne. Hvis den stemmeseddel, som administratoren i første fase signerer, ikke var blændet men kun krypteret, ville administrator og tæller være i stand til at sammenligne krypterede stemmer og finde ud af hvilke vælgere, der havde afgivet hvilke stemmer, da administratoren har vælgernes identiteter, og tælleren dekrypterer stemmerne. I sidste fase efter optællingen offentliggør tælleren alle nøgler og ukrypterede stemmesedler, så alle kan gentage optællingen og kontrollere, at dekrypteringen af alle stemmerne er foregået korrekt. Denne sidste fase er let forståelig, da alle kan sammentælle stemmerne. Side 18 af 323
3. Protokoller Protokollen er ikke uden svagheder. Der er ikke universel revidering, men kun individuel revidering, da ingen kan kontrollere, om andre vælgeres krypterede stemme plus nøgle er uændret. Det vil have negativ betydning for vælgernes tillid til processen, at de ikke kan kontrollere, om andre er blevet snydt. Selve processen er ikke simpel for vælgeren, idet han skal deltage i den interaktive proces flere gange. Processen kræver at vælgeren to gange sidder ved sin computer. Første gang når stemmesedlen sendes til administrator, modtages igen og sendes til tælleren. Anden gang er efter valgperiodens udløb, når vælgeren skal verificere sin stemmeseddel i listerne og sende sin nøgle k til tælleren. En del vælgere vil glemme den sidste fase og hverken sende den hemmelige nøgle eller verificere korrektheden af deres stemmer. Det vil være problematisk, at der er afgivne stemmer, som ikke kan være med i optællingen, og at afstemningsprocessen kun bliver delvist revideret. Tæller og administrator kan heldigvis ikke signere og ombytte stemmer, hvis nøgle ikke er blevet tilsendt tælleren i tredje fase, da hele listen på dette tidspunkt er blevet offentliggjort, og ændringer vil blive opdaget. I et valg med mange vælgere vil det ske, at en vælgers computer går ned lige efter at have modtaget stemmesedlen, signeret af administratoren, og inden blændingen er fjernet og stemmesedlen sendt videre til tælleren. Der vil derfor være forskel på antallet af stemmesedler på administratorens liste og tællerens liste. En ondsindet vælger kan i første fase netop undlade at sende sin stemmeseddel til tælleren, for at forsøge at ødelægge systemets troværdighed og vælgernes tillid til afstemningsprotokollen. Vælgeren kan sandsynliggøre, at systemet har fjernet stemmen ved at vise, at han har en krypteret stemmeseddel signeret af administrator, men at den tilsvarende krypterede stemmeseddel ikke er på tællerens liste. En anden svaghed i protokollen er, at vælgeren kan fremstille en kvittering for sin stemme. Det er ikke meningen at vælgeren skal kende til detaljerne (nøglen k) ved blændingen af den krypterede stemmeseddel i første fase, men at afstemningsprogrammet hos vælgeren internt skal gøre dette, uden at afsløre hvilke værdier der er blevet brugt. Hvis der fremstilles en alternativ udgave af afstemningsprogrammet med den forskel, at alle detaljer i blændingsprocessen gemmes på vælgerens computer, kan vælgeren vise til andre, at den blændede vælgersignerede stemmeseddel hos administratoren er magen til en stemmeseddel på tællerens offentliggjorte liste. En vælger kan blive presset af en forbryder til at bruge de alternative afstemningsprogram mod at slippe for afstraffelse, eller vælgeren kan aftale at sælge kvitteringen for sin stemme til en politiker. Algoritmen, til at finde den tilfældige nøgle k, er en del af klientapplikationen, så alle vælgere bruger samme generator af pseudo-tilfældige tal (se kapitel 4). Derfor er der en risiko for, at to vælgere bruger samme nøgle k, og da der er et begrænset antal valgmuligheder i stemmesedlen, kan det ske, at to vælgere med samme stemmeseddel bruger samme krypteringsnøgle. Tælleren kan udnytte, at to krypterede stemmer er ens ved at lade begge vælgere verificere samme stemmeseddel og bytte den anden ud med sin egen. Sandsynligheden for at dette sker er meget lille, så det vil kun være ganske få stemmer, som tælleren på denne måde kan svindle med, men det kan ikke umiddelbart opdages. Mere forvirrende er det, hvis en ondsindet vælger gensender sin administratorsignerede stemme til tælleren flere gange. Hvis tælleren er uærlig og udnytter disse duplikerede stemmer, vil der være for mange stemmer på listen til sidst. Tælleren må selvfølgelig ikke være uærlig, så hvis tælleren modtager flere ens stemmer, skal kun en af dem optræde på Side 19 af 323