Fragen und Antworten

• Allgemeine Fragen
  • Wieso heißt das Wahlverfahren Bingo Voting?
  • Wieso sollte man einem Zufallszahlengenerator vertrauen?
  • Welche Sicherheitseigenschaften bietet Bingo Voting?
  • Wie funktioniert das Verfahren?
  • Welche anderen verifizierbaren Wahlverfahren gibt es? Worin liegt der Unterschied zu Bingo Voting?
  • Welche Vorteile hat Bingo Voting gegenüber dem herkömmlichen Papierverfahren?
  • Wieso ist man mit der Quittung nicht erpreßbar?
• Fragen zum Einsatz bei der StuPa-Wahl
  • Was erfährt die Wahlmaschine über den Wähler?
  • Die Wahlbeteiligung liegt bei der StuPa-Wahl selten bei 100%. Könnte man das nicht ausnutzen, um ein paar Stimmen dazuzumogeln?

Wieso heißt das Wahlverfahren Bingo Voting?

Der Zufallszahlengenerator ist das Herzstück der Sicherheit von Bingo Voting. In unserer Vorstellung ist er oft mechanisch, wie eine Lottomaschine oder eben ein Bingokäfig.

Wieso sollte man einem Zufallszahlengenerator vertrauen?

Mit dem Zufallszahlengenerator hat man ein isoliertes und verhältnismäßig einfaches Gerät, das entsprechend besser geschützt werden kann. Eine gute Realisierung wäre vielleicht etwas mechanisches wie eine Lottomaschine/ein Bingokäfig (daher der Name Bingo Voting), so daß die Zufälligkeit sehr überzeugend ist bzw. Manipulationen erkannt werden können.
Die für den Prototypen gewählte Erzeugung durch eine Chipkarte und einen entsprechend modifizierten Chipkartenleser durch die Firme Reiner SCT bietet zwar nicht die direkte mechanische Einsichtigkeit, aber die Zufallszahlengeneratoren auf Chipkarten sind durch ihre Anwendung für digitale Signaturen sehr gründlich geprüft und entsprechend zertifiziert.
Beim Zufallszahlengenerator sind außerdem selbst Abweichungen von einer Gleichverteilung für die Korrektheit des Wahlergebnisses keine Bedrohung, solange die Zahlen nicht komplett für den Angreifer vorhersagbar sind.

Welche Sicherheitseigenschaften bietet Bingo Voting?

Bei den Sicherheitsanforderungen ist es sinnvoll, diese in zwei Bereiche zu unterteilen: Geheimhaltung (inkl. Schutz vor Erpreßbarkeit/Stimmenkauf) und Korrektheit.
Bei der Geheimhaltung bietet Bingo Voting keinen Vorteil zu anderen Verfahren, eine manipulierte Wahlmaschine kann die Geheimhaltung aufheben (wie auch eine heimliche, nicht mit bloßem Auge erkennbare Numerierung von Papierstimmzetteln oder Kameras bei klassischen Wahlen).
Der Vorteil bei Bingo Voting besteht im Schutz der Korrektheit: Hier kann jeder Wähler überprüfen, daß seine Stimme korrekt gezählt wurde, und es wird öffentlich bewiesen, daß die Auszählung richtig verlaufen ist. Manipulationen fallen auf und werden entdeckt. Diesen Grad an Schutz der Korrektheit bietet das klassische Papierwahlverfahren nicht, wurden dort in einem Wahlbezirk Stimmzettel vertauscht (David Copperfield als Wahlhelfer), gibt es nur sehr wenige Möglichkeiten, das zu entdecken.

Wie funktioniert das Verfahren?

Ausführlichere Beschreibungen gibt es unter Material. Kurz kann man sich das Verfahren wie folgt vorstellen (für den Fall einer einfachen Wahl mit einer Stimme pro Wähler):

Die Wahl ist in drei Phasen aufgeteilt: vor der Wahl, während der Wahl und nach der Wahl.

In der Vorwahlphase werden, wie oben erwähnt, für jeden Kandidaten (bzw. Auswahl, Enthaltung usw. werden als zusätzliche Kandidaten behandelt) soviele Zufallszahlen erzeugt, wie es Wahlberechtigte gibt. Diese Paare (Kandidat, Zufallszahl) werden zusammen in der Wahlmaschine gespeichert. Außerdem werden Commitments auf die Paare veröffentlicht.
Commitments kann man sich ungefähr wie die Veröffentlichung einer verschlüsselten Form der Paare vorstellen, man kann ihnen nicht ansehen, welcher Kandidat/welche Zufallszahl darin enthalten ist, aber man kann später zeigen, daß genau dieser Inhalt hier festgelegt wurde und nachher nicht etwas anderes dafür präsentiert wird.
Außerdem kann man mit diesen Commitments rechnen und Beweise führen, ohne den genauen Inhalt offenzulegen, so wird hier bewiesen, daß für jeden Kandidaten die korrekte Anzahl an Paaren erzeugt wurde.

Während der Wahl wählt nun der Wähler an der Wahlmaschine seinen Kandidaten aus, danach wird der Zufallszahlengenerator aktiviert und erzeugt eine Zufallszahl, die auf dem Zufallszahlengenerator angezeigt und gleichzeitig an die Wahlmaschine übermittelt wird.
Die Wahlmaschine druckt daraufhin einen Beleg, der jeden Kandidaten mit einer Zufallszahl enthält, bei den nicht gewählten Kandidaten werden dabei für diesen Kandidaten in der Vorwahlphase erzeugte Zufallszahlen verwendet, für den gewählten Kandidaten wird die frisch vom Zufallszahlengenerator erzeugte Zahl genommen. Der Wähler sollte überprüfen, daß die Zahl bei seinem Kandidaten auch wirklich die frische Zufallszahl ist, die vom vertrauenswürdigen Zufallszahlengenerator angezeigt wird. Dem Beleg sieht man nicht an, für welchen Kandidaten die Stimme abgegeben wurde, da für einen Außenstehenden nicht ersichtlich ist, welches die frische Zufallszahl ist.

Nach der Wahl wird nun das Wahlergebnis veröffentlicht, außerdem ein Beweis, daß dies stimmt. Dazu werden alle erzeugten Belege veröffentlicht (die Wähler sollten überprüfen, ob ihr Beleg korrekt dabei ist) und alle in der Vorwahlphase erzeugten Commitments, deren Inhalt nicht verwendet wurde (also auf keinem Beleg auftaucht), werden aufgedeckt (d. h. ihr Inhalt wird offengelegt und gezeigt, daß man sich zuvor auch wirklich mittels des Commitments auf diesen Wert festgelegt hatte).
Ein nicht gebrauchtes Commitment kann zwei Gründe haben: Entweder hat ein Wahlberechtiger nicht gewählt, dann wurde für alle Kandidaten ein Commitment nicht gebraucht, oder der Kandidat, zu dem dieses Commitment gehört, hat eine echte Stimme bekommen, d. h. auf einem Beleg wurde stattdessen eine frische Zufallszahl aus dem Zufallszahlengenerator in der Wahlkabine verwendet. Somit sieht man an der Zahl der ungebrauchten Commitments das Wahlergebnis.
Nun wird außerdem für jeden Beleg bewiesen, daß er Anzahl Kandidaten minus eins Zufallszahlen enthält, die vor der Wahl festgelegt wurde (und somit eine frische Zufallszahl), hierfür werden die restlichen, nicht aufgedeckten Commitments verwendet. Dieser Beweis geschieht allerdings derart, daß man dabei nicht die Zuordnung zu den Kandidaten kennenlernt, man erfährt also nicht, welche Zufallszahl die frische ist (und somit wer genau mit diesem Beleg gewählt wurde).

Welche anderen verifizierbaren Wahlverfahren gibt es? Worin liegt der Unterschied zu Bingo Voting?

In den letzten Jahren wurden von verschiedenen Forschergruppen Ansätze für neue Wahlverfahren entwickelt. Dabei gibt es Vorschläge, die mit veränderten Papierstimmzetteln arbeiten, populär dabei v. a. Punchscan und Prêt à Voter, und Verfahren, die wie Bingo Voting auf Wahlmaschinen setzen, etwa das Verfahren von Neff und das auf einer ähnlichen Idee beruhende Verfahren von Moran und Naor. Genauere Beschreibungen, Literaturangaben und weitere Verweise finden sich im Skript zur Vorlesung Computersicherheit und im Literaturverzeichnis der Veröffentlichung von Bingo Voting (s. Material).

Bingo Voting unterscheidet sich von den anderen Verfahren hauptsächlich durch die Annahme des vertrauenswürdigen Zufallszahlengenerators, auch die anderen Verfahren benötigen Annahmen, die aber unterschiedlich sind (etwa bestimmte Annahmen an Drucker, Papier oder sogar den Wähler). Zudem bietet Bingo Voting einen recht hohen Komfort beim Wählen, insbesondere muß ein Wähler, der nur wählen und seine Stimme nicht überprüfen will, nichts anderes tun, als seinen Kandidaten auszuwählen (bei vielen Verfahren werden hingegen Zusatzaktionen vom Wähler gefordert).

Welche Vorteile hat Bingo Voting gegenüber dem herkömmlichen Papierverfahren? Oder: Geht es denn nur um das schnelle Auszählen?

Mit elektronischen Wahlverfahren wird oft der Vorteil der schnelleren Auszählung in Verbindung gebracht, auf den verständlicherweise fast jeder zu Gunsten von mehr Sicherheit und Durchsichtigkeit gerne weiterhin verzichtet. Der Hauptvorteil von Bingo Voting gegenüber dem herkömmlichen Papier&Bleistift-Verfahren ist jedoch ein anderer: Jeder Wähler kann nach der Wahl nachprüfen, oder von einem Experten seines Vertrauens nachprüfen lassen, daß seine Stimme wirklich gezählt wurde. Das geht bisher nur, indem man sich die Zeit nimmt, sich stundenlang ins Wahlbüro zu setzen, um die ganze Zeit die entsprechende Urne im Auge zu behalten und beim Zählen zuzusehen (alternativ ist man selbst Wahlhelfer). Daß die Auszählung insgesamt stimmt, kann auch nachgeprüft werden, dazu sind von uns unabhängige Implementierungen zur Überprüfung erwünscht.

Andere Vorteile von Wahlmaschinen, z. B. daß es möglich ist (was bei unserem Prototypen allerdings noch nicht gemacht wurde), die Wahl behindertenfreundlicher zu gestalten (etwa Sprachausgabe durch Kopfhörer für Blinde) und daß man, wenn man "ungültig" wählen will, dieses explizit tun muß und es nicht aus Versehen passieren kann, bleiben erhalten.

Wieso ist man mit der Quittung nicht erpreßbar?

Man kann mit der Quittung überprüfen, daß die eigene Stimme richtig gezählt wurde, aber niemand außer dem Wähler kann mit der Quittung etwas anfangen. Der Trick bei Bingo Voting ist, daß nur der Wähler selbst in der Wahlkabine sieht, welche Zufallszahl der Zufallszahlengenerator frisch generiert hat. Er überprüft dann in der Kabine nach dem Ausdrucken der Quittung, ob die frische Zahl beim gewählten Kandidaten auf der Quittung steht. Alle anderen wissen weder, was die richtige Stelle, noch was die richtige Zufallszahl ist, deshalb ist die Quittung für jeden außer dem Wähler wertlos. Nach der Wahl kann jeder dann zwar überprüfen, daß der Beleg korrekt veröffentlicht wurde, aber ohne zu wissen, welches die frische Zufallszahl ist, kann man daraus nicht ableiten, wer gewählt wurde.

Der öffentliche Beweis, der von jedem überprüfbar ist und zeigt, daß ein Beleg genau die richtige Anzahl an frischen Zufallszahlen (bei Wahlen mit einer Stimme eine) hat, verrät nicht, welche Zufallszahlen frisch sind, dies bleibt verborgen.

Was erfährt die Wahlmaschine über den Wähler?

Bei der Wahl des Studierendenparlaments, bei dem Bingo Voting nun eingesetzt wurde, erfolgt die Registrierung außerhalb des Wahlcomputers. Der Wähler bekommt bei der Registrierung eine Chipkarte, auf der eine eindeutige Freischaltungs-ID mit einer vom Wahlcomputer verifizierbaren Signatur gespeichert ist, diese enthält jedoch keine Information über den Wähler. Die eindeutige ID ist notwendig, damit sich niemand durch Kopieren der Karte weitere "Wahlberechtigungen" verschaffen kann. Die Karte enthält außerdem die Information, bei welchen Wahlen der Wähler teilnehmen darf. (Bei der Wahl konnten Frauen z. B. zusätzlich eine Frauenreferentin wählen.) Dies stellt im Moment noch eine Zuordnungsmöglichkeit dar, wurde aber aufgrund der einfacheren Handhabung so gewählt (ansonsten müßte für jede der möglichen Wahlen unterschiedliche Berechtigungstokens übergeben werden).

Die Wahlbeteiligung liegt bei der StuPa-Wahl selten bei 100%. Könnte man das nicht ausnutzen, um ein paar Stimmen dazuzumogeln?

Da weiterhin ein Urnenbuch von Hand geführt wird, ist die Wahlbeteiligung bekannt. Ein Wahlhelfer könnte also höchstens mogeln, indem er zusätzliche Wähler ins Urnenbuch einträgt, sich entsprechend viele Chipkarten zur Registrierung bastelt, und sich dann zum Wahlcomputer begibt und damit wählt. Das würde aber den anderen Wahlhelfern mit hoher Wahrscheinlichkeit auffallen, es müßte sich also schon das gesamte Wahllokal zusammenschließen. Da die Wahlhelfer normalerweise von unterschiedlichen Parteien stammen, ist dies unwahrscheinlich.

Diese Liste wird durch aktuelle Fragen ergänzt.