Algorithmische Kryptographie Kapitel 15 Elektronische Wahlen 2

(1)

Algorithmische Kryptographie Kapitel 15

Elektronische Wahlen 2

Walter Unger

Lehrstuhl f¨ur Informatik 1

30. Januar 2009

(2)

Threshold-Scheme und Homomorphe Verschl¨usselung Definition und Aussagen

Aufbau Bemerkungen

Homomorphe Verschl¨usselung

Durch ein Zentrum aufgebautes Wahlsystem Einleitung

Aufbau

Test der Angaben der Ausz¨ahler

Wahlsystem ohne Zentrum Verteiler Aufbau von ElGamal

Verteilter Aufbau des Threshold-Scheme

(3)

Threshold-Scheme und Homomorphe Verschl¨usselung Durch ein Zentrum aufgebautes Wahlsystem Wahlsystem ohne Zentrum

(15:1) Walter Unger Z

Ideen, Ziele

I

Wahlsystem, bei dem verschl¨ usselte Stimmen addiert werden.

I

Wahlsystem, mit Ausfallsicherheit.

(4)

(15:1) Walter Unger Z

Ideen, Ziele

I

Wahlsystem, bei dem verschl¨ usselte Stimmen addiert werden.

I

Wahlsystem, mit Ausfallsicherheit.

(5)

Definition und Aussagen (15:2) Walter Unger Z

(t, n)-Threshold-Scheme

Definition

Ein (t,n)-Threshold-Scheme (t6n) ist ein System ausnTeilnehmern mit folgenden Eigenschaften.

1. Jeder Teilnehmeri ∈T hat ein Geheimnissi.

2. Es gibt ein daraus zu bestimmendes Geheimniss.

3. Jede TeilmengeT von Teilnehmern mit|T|>t kann das Geheimniss gemeinsam bestimmen.

4. Jede TeilmengeT von Teilnehmern mit|T|<t kann das Geheimniss nicht gemeinsam bestimmen.

Solch ein System kann ¨uber Polynome vom Gradt−1 aufgebaut werden.

(6)

(t, n)-Threshold-Scheme

Definition

1. Jeder Teilnehmeri ∈T hat ein Geheimnissi. 2. Es gibt ein daraus zu bestimmendes Geheimniss.

3. Jede TeilmengeT von Teilnehmern mit|T|>t kann das Geheimniss gemeinsam bestimmen.

(7)

(t, n)-Threshold-Scheme

Definition

3. Jede TeilmengeT von Teilnehmern mit|T|>tkann das Geheimniss gemeinsam bestimmen.

(8)

(t, n)-Threshold-Scheme

Definition

4. Jede TeilmengeT von Teilnehmern mit|T|<tkann das Geheimniss nicht gemeinsam bestimmen.

(9)

(t, n)-Threshold-Scheme

Definition

(10)

(t, n)-Threshold-Scheme

Definition

(11)

Polynome vom Grad t − 1

Lemma

Sei f(X) =Pt−1

i=0 aiXⁱ ∈ZZp[X]ein Polynom vom Grad t−1. Sei weiter:

P:={(xi,f(xi))|xi∈ZZp,i= 1, . . . ,t,xi 6=xjf¨ur i6=j}

F¨urQ ⊂ P setze:

PQ:={g∈ZZp[X]|deg(g) =t−1,g(x) =y,∀(x,y)∈ Q} Dann gilt:

1. PP={f(X)}.

2. FallsQ(Pund x 6= 0f¨ur alle(x,y)∈ Q, dann ist die Verteilung der konstanten Anteile der Polynome gleich der eines a∈ZZp. D.h. die konstanten Anteile der Polynome sind nicht zu unterscheiden.

(12)

Polynome vom Grad t − 1

Lemma

Sei f(X) =Pt−1

F¨urQ ⊂ P setze:

PQ:={g∈ZZp[X]|deg(g) =t−1,g(x) =y,∀(x,y)∈ Q}

Dann gilt:

1. PP={f(X)}.

(13)

Polynome vom Grad t − 1

Lemma

Sei f(X) =Pt−1

F¨urQ ⊂ P setze:

Dann gilt:

1. PP={f(X)}.

(14)

Polynome vom Grad t − 1

Lemma

Sei f(X) =Pt−1

F¨urQ ⊂ P setze:

Dann gilt:

1. PP={f(X)}.

2. FallsQ(Pund x6= 0 f¨ur alle(x,y)∈ Q, dann ist die Verteilung der konstanten Anteile der Polynome gleich der eines a∈ZZp. D.h. die konstanten Anteile der Polynome sind nicht zu unterscheiden.

(15)

Beweis (Teil 1)

Beachte: zur Bestimmung derg(X) =Pt−1

i=0biXⁱ ∈ZZp[X] durchmPunkte (xi,yi) ist das folgende System zu l¨osen:

0 B B B B B B B

@

1 x1

.. . x₁^t⁻¹ 1 x2

.. . x₂^t⁻¹

· · · . .. · · · 1 xm

.. . x_m^t⁻¹

1 C C C C C C C A

| {z }

=A

0 B B

@ b0

b1

· · · bt−1

1 C C A

= 0 B B

@ y1

y2

· · · ym

1 C C A

Fallsm=tdann istAeine Vandermonde Matrix mit det(A) = Y

16i<j6t

(xi−xj)6= 0 fallsxi 6=xj f¨uri 6=j.

(16)

Beweis (Teil 1)

Beachte: zur Bestimmung derg(X) =Pt−1

i=0biXⁱ ∈ZZp[X] durchmPunkte (xi,yi) ist das folgende System zu l¨osen:

0 B B B B B B B

@

1 x1

.. . x₁^t⁻¹ 1 x2

.. . x₂^t⁻¹

· · · . .. · · · 1 xm

.. . x_m^t⁻¹

1 C C C C C C C A

| {z }

=A

0 B B

@ b0

b1

· · · bt−1

1 C C A

= 0 B B

@ y1

y2

· · · ym

1 C C A

Fallsm=tdann istAeine Vandermonde Matrix mit det(A) = Y

16i<j6t

(xi−xj)6= 0 fallsxi 6=xj f¨uri 6=j.

(17)

Beweis (Teil 2)

Falls nunQ(PundQ={(x1,y1),(x2,y2), . . . ,(xm,ym)}mit 16m6t−1 dann betrachten wir:

0 B B B B B B B B B B

@

1 0 ... 0

1 x1

.. . x₁^t⁻¹ 1 x2

.. . x₂^t⁻¹

· · · . .. · · · 1 xm

.. . x_m^t⁻¹

1 C C C C C C C C C C A

| {z }

=A

0 B B

@ b0

b1

· · · bt−1

1 C C A

= 0 B B B B

@ a y1

y2

· · · ym

1 C C C C A

I Die Zeilen sind aus einer Vandermonde Matrix, daher linear unabh¨angig (beachtex_i6= 0).

I Damit gibt es eine L¨osung f¨ur jedesa∈ZZp.

I Weiterhin ist der Rang der Matrixm+ 1 unabh¨angig vona.

I Damit sind die konstanten Anteile der Polynome nicht zu unterscheiden.

(18)

Beweis (Teil 2)

@

1 0 ... 0

1 x1

.. . x₁^t⁻¹ 1 x2

.. . x₂^t⁻¹

· · · . .. · · · 1 xm

.. . x_m^t⁻¹

| {z }

=A

0 B B

@ b0

b1

· · · bt−1

1 C C A

= 0 B B B B

@ a y1

y2

· · · ym

1 C C C C A

(19)

Beweis (Teil 2)

@

1 0 ... 0

1 x1

.. . x₁^t⁻¹ 1 x2

.. . x₂^t⁻¹

· · · . .. · · · 1 xm

.. . x_m^t⁻¹

| {z }

=A

0 B B

@ b0

b1

· · · bt−1

1 C C A

= 0 B B B B

@ a y1

y2

· · · ym

1 C C C C A

(20)

Beweis (Teil 2)

@

1 0 ... 0

1 x1

.. . x₁^t⁻¹ 1 x2

.. . x₂^t⁻¹

· · · . .. · · · 1 xm

.. . x_m^t⁻¹

| {z }

=A

0 B B

@ b0

b1

· · · bt−1

1 C C A

= 0 B B B B

@ a y1

y2

· · · ym

1 C C C C A

(21)

Beweis (Teil 2)

@

1 0 ... 0

1 x1

.. . x₁^t⁻¹ 1 x2

.. . x₂^t⁻¹

· · · . .. · · · 1 xm

.. . x_m^t⁻¹

| {z }

=A

0 B B

@ b0

b1

· · · bt−1

1 C C A

= 0 B B B B

@ a y1

y2

· · · ym

1 C C C C A

(22)

Folgerung

Lemma

Sei f(X) =Pt−1

i=0 aiXⁱ ∈ZZp[X]ein Polynom vom Grad t−1.

Sei weiter:P:={(xi,f(xi))|i= 1, . . . ,t,xi 6=xj f¨ur i6=j}. Dann gilt (Lagrange Interpolation):

f(X) =

t

X

i=1

f(xi) Y

16j6t,i6=j

X−xj

xi−xj

Beweis.

1. Beachte die rechte Seite ist ein Polynom vom Gradt−1. 2. Falls man dortX durchxi ersetzt, dann giltf(xi) =g(xi). 3. Wegen der Eindeutigkeit des Polynoms folgt dann die Behauptung.

(23)

Folgerung

Lemma

Sei f(X) =Pt−1

Sei weiter:P:={(xi,f(xi))|i= 1, . . . ,t,xi 6=xjf¨ur i6=j}.

Dann gilt (Lagrange Interpolation): f(X) =

t

X

i=1

f(xi) Y

16j6t,i6=j

X−xj

xi−xj

Beweis.

(24)

Folgerung

Lemma

Sei f(X) =Pt−1

Dann gilt (Lagrange Interpolation):

f(X) =

t

X

i=1

f(xi) Y

16j6t,i6=j

X−xj

xi−xj

Beweis.

(25)

Folgerung

Lemma

Sei f(X) =Pt−1

f(X) =

t

X

i=1

f(xi) Y

16j6t,i6=j

X−xj

xi−xj

Beweis.

1. Beachte die rechte Seite ist ein Polynom vom Gradt−1.

2. Falls man dortX durchxi ersetzt, dann giltf(xi) =g(xi). 3. Wegen der Eindeutigkeit des Polynoms folgt dann die Behauptung.

(26)

Folgerung

Lemma

Sei f(X) =Pt−1

f(X) =

t

X

i=1

f(xi) Y

16j6t,i6=j

X−xj

xi−xj

Beweis.

2. Falls man dortX durchxi ersetzt, dann giltf(xi) =g(xi).

3. Wegen der Eindeutigkeit des Polynoms folgt dann die Behauptung.

(27)

Folgerung

Lemma

Sei f(X) =Pt−1

f(X) =

t

X

i=1

f(xi) Y

16j6t,i6=j

X−xj

xi−xj

Beweis.

2. Falls man dortX durchxi ersetzt, dann giltf(xi) =g(xi).

3. Wegen der Eindeutigkeit des Polynoms folgt dann die Behauptung.

(28)

Aufbau (15:7) Walter Unger Z

Aufbau des (t, n)-Threshold-Scheme

f(X) =Pt i=1f(x_i)Q

16j6t,i6=j X−xj xi−xj

Damit kann nun Shamirs (t, n)-Threshold-Scheme aufgebaut werden.

Ein vertrauensw¨ urdiges Zentrum T f¨ uhrt die folgenden Schritte durch:

1. W¨ ahlt Geheimnis s .

2. W¨ ahlt p Primzahl mit p > max(s, n) und setzt a

0

= s . 3. W¨ ahlt a

1

, a

2

, . . . , a

t−1

∈ {0, . . . , p − 1} zuf¨ allig. 4. Setzt f (X ) = P

t−1

i=0

a

_i

X

ⁱ

.

5. Bestimmt s

_i

= f (i), i ∈ {1, . . . , n}.

Bemerkung geht auch analog mit x

1

, . . . , x

n

.

6. Sendet (i, s

_i

) an Teilnehmer P

_i

.

(29)

Aufbau des (t, n)-Threshold-Scheme

f(X) =Pt i=1f(x_i)Q

Damit kann nun Shamirs (t, n)-Threshold-Scheme aufgebaut werden.

Ein vertrauensw¨ urdiges Zentrum T f¨ uhrt die folgenden Schritte durch:

1. W¨ ahlt Geheimnis s .

2. W¨ ahlt p Primzahl mit p > max(s, n) und setzt a

0

= s .

3. W¨ ahlt a

1

, a

2

, . . . , a

t−1

∈ {0, . . . , p − 1} zuf¨ allig. 4. Setzt f (X ) = P

t−1

i=0

a

_i

X

ⁱ

.

5. Bestimmt s

_i

= f (i), i ∈ {1, . . . , n}.

Bemerkung geht auch analog mit x

1

, . . . , x

n

.

6. Sendet (i, s

_i

) an Teilnehmer P

_i

.

(30)

Aufbau des (t, n)-Threshold-Scheme

f(X) =Pt i=1f(x_i)Q

Damit kann nun Shamirs (t, n)-Threshold-Scheme aufgebaut werden.

Ein vertrauensw¨ urdiges Zentrum T f¨ uhrt die folgenden Schritte durch:

1. W¨ ahlt Geheimnis s .

2. W¨ ahlt p Primzahl mit p > max(s, n) und setzt a

0

= s . 3. W¨ ahlt a

1

, a

2

, . . . , a

t−1

∈ {0, . . . , p − 1} zuf¨ allig.

4. Setzt f (X ) = P

t−1 i=0

a

_i

X

ⁱ

.

5. Bestimmt s

_i

= f (i), i ∈ {1, . . . , n}.

Bemerkung geht auch analog mit x

1

, . . . , x

n

.

6. Sendet (i, s

_i

) an Teilnehmer P

_i

.

(31)

Aufbau des (t, n)-Threshold-Scheme

f(X) =Pt i=1f(x_i)Q

Damit kann nun Shamirs (t, n)-Threshold-Scheme aufgebaut werden.

Ein vertrauensw¨ urdiges Zentrum T f¨ uhrt die folgenden Schritte durch:

1. W¨ ahlt Geheimnis s .

2. W¨ ahlt p Primzahl mit p > max(s, n) und setzt a

0

= s . 3. W¨ ahlt a

1

, a

2

, . . . , a

t−1

∈ {0, . . . , p − 1} zuf¨ allig.

4. Setzt f (X ) = P

t−1 i=0

a

_i

X

ⁱ

.

5. Bestimmt s

_i

= f (i), i ∈ {1, . . . , n}.

Bemerkung geht auch analog mit x

1

, . . . , x

n

.

6. Sendet (i, s

_i

) an Teilnehmer P

_i

.

(32)

Aufbau des (t, n)-Threshold-Scheme

f(X) =Pt i=1f(x_i)Q

Damit kann nun Shamirs (t, n)-Threshold-Scheme aufgebaut werden.

Ein vertrauensw¨ urdiges Zentrum T f¨ uhrt die folgenden Schritte durch:

1. W¨ ahlt Geheimnis s .

2. W¨ ahlt p Primzahl mit p > max(s, n) und setzt a

0

= s . 3. W¨ ahlt a

1

, a

2

, . . . , a

t−1

∈ {0, . . . , p − 1} zuf¨ allig.

4. Setzt f (X ) = P

t−1 i=0

a

_i

X

ⁱ

.

5. Bestimmt s

_i

= f (i), i ∈ {1, . . . , n}.

Bemerkung geht auch analog mit x

1

, . . . , x

n

.

6. Sendet (i, s

_i

) an Teilnehmer P

_i

.

(33)

Aufbau des (t, n)-Threshold-Scheme

f(X) =Pt i=1f(x_i)Q

Damit kann nun Shamirs (t, n)-Threshold-Scheme aufgebaut werden.

Ein vertrauensw¨ urdiges Zentrum T f¨ uhrt die folgenden Schritte durch:

1. W¨ ahlt Geheimnis s .

2. W¨ ahlt p Primzahl mit p > max(s, n) und setzt a

0

= s . 3. W¨ ahlt a

1

, a

2

, . . . , a

t−1

∈ {0, . . . , p − 1} zuf¨ allig.

4. Setzt f (X ) = P

t−1 i=0

a

_i

X

ⁱ

.

5. Bestimmt s

_i

= f (i), i ∈ {1, . . . , n}.

Bemerkung geht auch analog mit x

1

, . . . , x

n

.

6. Sendet (i, s

_i

) an Teilnehmer P

_i

.

(34)

Bemerkungen (15:8) Walter Unger Z

Auswertung und Bemerkungen

f(X) =Pt i=1f(x_i)Q

Sei J ⊂ {1, . . . , n} mit |J| > t , dann gilt

s = a

0

= f (0) = X

i∈J

f (i ) Y

j∈J,j6=i

j

j − i = X

i∈J

s

_i

Y

j∈J,j6=i

j j − i

Bemerkungen:

1. Das Shamir (t , n)-Threshold-Scheme ist perfekt: mit weniger als t Teilnehmern kann keine Information ¨ uber s bestimmt werden.

2. Es ist leicht um neue Teilnehmer erweiterbar, d.h. n kann leicht erh¨ oht werden.

3. Zur Gewichtung kann ein Teilnehmer mehrere Geheimnisse

bekommen.

(35)

Auswertung und Bemerkungen

f(X) =Pt i=1f(x_i)Q

Sei J ⊂ {1, . . . , n} mit |J| > t , dann gilt

s = a

0

= f (0) = X

i∈J

f (i ) Y

j∈J,j6=i

j

j − i = X

i∈J

s

_i

Y

j∈J,j6=i

j j − i

Bemerkungen:

1. Das Shamir (t, n)-Threshold-Scheme ist perfekt: mit weniger als t Teilnehmern kann keine Information ¨ uber s bestimmt werden.

2. Es ist leicht um neue Teilnehmer erweiterbar, d.h. n kann leicht erh¨ oht werden.

3. Zur Gewichtung kann ein Teilnehmer mehrere Geheimnisse

bekommen.

(36)

Auswertung und Bemerkungen

f(X) =Pt i=1f(x_i)Q

Sei J ⊂ {1, . . . , n} mit |J| > t , dann gilt

s = a

0

= f (0) = X

i∈J

f (i ) Y

j∈J,j6=i

j

j − i = X

i∈J

s

_i

Y

j∈J,j6=i

j j − i

Bemerkungen:

1. Das Shamir (t, n)-Threshold-Scheme ist perfekt: mit weniger als t Teilnehmern kann keine Information ¨ uber s bestimmt werden.

2. Es ist leicht um neue Teilnehmer erweiterbar, d.h. n kann leicht erh¨ oht werden.

3. Zur Gewichtung kann ein Teilnehmer mehrere Geheimnisse

bekommen.

(37)

Auswertung und Bemerkungen

f(X) =Pt i=1f(x_i)Q

Sei J ⊂ {1, . . . , n} mit |J| > t , dann gilt

s = a

0

= f (0) = X

i∈J

f (i ) Y

j∈J,j6=i

j

j − i = X

i∈J

s

_i

Y

j∈J,j6=i

j j − i

Bemerkungen:

1. Das Shamir (t, n)-Threshold-Scheme ist perfekt: mit weniger als t Teilnehmern kann keine Information ¨ uber s bestimmt werden.

2. Es ist leicht um neue Teilnehmer erweiterbar, d.h. n kann leicht erh¨ oht werden.

3. Zur Gewichtung kann ein Teilnehmer mehrere Geheimnisse

bekommen.

(38)

Homomorphe Verschl¨usselung (15:9) Walter Unger Z

Erinnerung

Aufbau: p, q Prinzahlen mit q teilt p − 1, G Untergruppe der Ordnung q in Z Z

^∗_p

, g , v Generatoren in G zuf¨ allig.

P: m ∈ {0, . . . , q − 1} V:

w¨ ahle r ∈ {0, . . . , q − 1}

c := g

^r

v

^m

mod p c

_-

r, m

-

Test c ≡

^?

g

^r

v

^m

(mod p)

Wir bezeichnen nun Com(r, m) := g

^r

v

^m

.

(39)

Erinnerung

Aufbau: p, q Prinzahlen mit q teilt p − 1, G Untergruppe der Ordnung q in Z Z

^∗_p

, g , v Generatoren in G zuf¨ allig.

P: m ∈ {0, . . . , q − 1} V:

w¨ ahle r ∈ {0, . . . , q − 1}

c := g

^r

v

^m

mod p c

_-

r, m

-

Test c ≡

^?

g

^r

v

^m

(mod p)

Wir bezeichnen nun Com(r, m) := g

^r

v

^m

.

(40)

Homomorphe Systeme

Com(r,m) :=g^rv^m

Sei r

1

, r

2

, m

1

, m

2

∈ {0, . . . , q − 1}, dann gilt:

Com(r

₁

, m

₁

) · Com(r

₂

, m

₂

) = g

^r¹

v

^m¹

g

^r²

v

^m²

= g

^r¹

g

^r²

v

^m¹

v

^m²

= g

^r¹^+r²

v

^m¹^+m²

= Com(r

₁

+ r

₂

, m

₁

+ m

₂

)

I

Damit haben wir ein homomorphes Commitment-Schema.

I

Das k¨ onnen wir als Grundlage f¨ ur Wahlen verwenden.

I

Stimme wird in m

_i

kodiert.

I

Ausz¨ ahlung der Stimmen geht ohne das ¨ Offnen der

Einzelstimmen.

(41)

Homomorphe Systeme

Com(r,m) :=g^rv^m

Sei r

1

, r

2

, m

1

, m

2

∈ {0, . . . , q − 1}, dann gilt:

Com(r

₁

, m

₁

) · Com(r

₂

, m

₂

) = g

^r¹

v

^m¹

g

^r²

v

^m²

= g

^r¹

g

^r²

v

^m¹

v

^m²

= g

^r¹^+r²

v

^m¹^+m²

= Com(r

₁

+ r

₂

, m

₁

+ m

₂

)

I

Damit haben wir ein homomorphes Commitment-Schema.

I

Das k¨ onnen wir als Grundlage f¨ ur Wahlen verwenden.

I

Stimme wird in m

_i

kodiert.

I

Ausz¨ ahlung der Stimmen geht ohne das ¨ Offnen der

Einzelstimmen.

(42)

Homomorphe Systeme

Com(r,m) :=g^rv^m

Sei r

1

, r

2

, m

1

, m

2

∈ {0, . . . , q − 1}, dann gilt:

Com(r

₁

, m

₁

) · Com(r

₂

, m

₂

) = g

^r¹

v

^m¹

g

^r²

v

^m²

= g

^r¹

g

^r²

v

^m¹

v

^m²

= g

^r¹^+r²

v

^m¹^+m²

= Com(r

₁

+ r

₂

, m

₁

+ m

₂

)

I

Damit haben wir ein homomorphes Commitment-Schema.

I

Das k¨ onnen wir als Grundlage f¨ ur Wahlen verwenden.

I

Stimme wird in m

_i

kodiert.

I

Ausz¨ ahlung der Stimmen geht ohne das ¨ Offnen der

Einzelstimmen.

(43)

Homomorphe Systeme

Com(r,m) :=g^rv^m

Sei r

1

, r

2

, m

1

, m

2

∈ {0, . . . , q − 1}, dann gilt:

Com(r

₁

, m

₁

) · Com(r

₂

, m

₂

) = g

^r¹

v

^m¹

g

^r²

v

^m²

= g

^r¹

g

^r²

v

^m¹

v

^m²

= g

^r¹^+r²

v

^m¹^+m²

= Com(r

₁

+ r

₂

, m

₁

+ m

₂

)

I

Damit haben wir ein homomorphes Commitment-Schema.

I

Das k¨ onnen wir als Grundlage f¨ ur Wahlen verwenden.

I

Stimme wird in m

_i

kodiert.

I

Ausz¨ ahlung der Stimmen geht ohne das ¨ Offnen der

Einzelstimmen.

(44)

Homomorphe Systeme

Com(r,m) :=g^rv^m

Sei r

1

, r

2

, m

1

, m

2

∈ {0, . . . , q − 1}, dann gilt:

Com(r

₁

, m

₁

) · Com(r

₂

, m

₂

) = g

^r¹

v

^m¹

g

^r²

v

^m²

= g

^r¹

g

^r²

v

^m¹

v

^m²

= g

^r¹^+r²

v

^m¹^+m²

= Com(r

₁

+ r

₂

, m

₁

+ m

₂

)

I

Damit haben wir ein homomorphes Commitment-Schema.

I

Das k¨ onnen wir als Grundlage f¨ ur Wahlen verwenden.

I

Stimme wird in m

_i

kodiert.

I

Ausz¨ ahlung der Stimmen geht ohne das ¨ Offnen der

Einzelstimmen.

(45)

Homomorphe Systeme

Com(r,m) :=g^rv^m

Sei r

1

, r

2

, m

1

, m

2

∈ {0, . . . , q − 1}, dann gilt:

Com(r

₁

, m

₁

) · Com(r

₂

, m

₂

) = g

^r¹

v

^m¹

g

^r²

v

^m²

= g

^r¹

g

^r²

v

^m¹

v

^m²

= g

^r¹^+r²

v

^m¹^+m²

= Com(r

₁

+ r

₂

, m

₁

+ m

₂

)

I

Damit haben wir ein homomorphes Commitment-Schema.

I

Das k¨ onnen wir als Grundlage f¨ ur Wahlen verwenden.

I

Stimme wird in m

_i

kodiert.

I

Ausz¨ ahlung der Stimmen geht ohne das ¨ Offnen der

Einzelstimmen.

(46)

Homomorphe Systeme

Com(r,m) :=g^rv^m

Sei r

1

, r

2

, m

1

, m

2

∈ {0, . . . , q − 1}, dann gilt:

Com(r

₁

, m

₁

) · Com(r

₂

, m

₂

) = g

^r¹

v

^m¹

g

^r²

v

^m²

= g

^r¹

g

^r²

v

^m¹

v

^m²

= g

^r¹^+r²

v

^m¹^+m²

= Com(r

₁

+ r

₂

, m

₁

+ m

₂

)

I

Damit haben wir ein homomorphes Commitment-Schema.

I

Das k¨ onnen wir als Grundlage f¨ ur Wahlen verwenden.

I

Stimme wird in m

_i

kodiert.

I

Ausz¨ ahlung der Stimmen geht ohne das ¨ Offnen der

Einzelstimmen.

(47)

Homomorphe Systeme

Com(r,m) :=g^rv^m

Sei r

1

, r

2

, m

1

, m

2

∈ {0, . . . , q − 1}, dann gilt:

Com(r

₁

, m

₁

) · Com(r

₂

, m

₂

) = g

^r¹

v

^m¹

g

^r²

v

^m²

= g

^r¹

g

^r²

v

^m¹

v

^m²

= g

^r¹^+r²

v

^m¹^+m²

= Com(r

₁

+ r

₂

, m

₁

+ m

₂

)

I

Damit haben wir ein homomorphes Commitment-Schema.

I

Das k¨ onnen wir als Grundlage f¨ ur Wahlen verwenden.

I

Stimme wird in m

_i

kodiert.

I

Ausz¨ ahlung der Stimmen geht ohne das ¨ Offnen der

Einzelstimmen.

(48)

Idee zur Wahl mit Homomorphen System

Com(r,m) :=g^rv^m

I

W¨ ahler i w¨ ahlt m

i

∈ {0, 1} und Zufallszahl r

i

∈ {0, . . . q − 1}.

I

W¨ ahler i bestimmt c

_i

:= g

^rⁱ

v

^mⁱ

.

I

W¨ ahler i ver¨ offentlicht c

_i

.

I

W¨ ahler i verschl¨ usselt f¨ ur T den Wert E

T

(g

^rⁱ

).

I

T bestimmt: D

_T

(

n

Y

i=1

E

_T

(g

^rⁱ

)) =

n

Y

i=1

g

^rⁱ

= g

^Pⁿⁱ⁼¹^rⁱ

I

T ver¨ offentlicht: g

^Pⁿⁱ⁼¹^rⁱ

.

I

Jeder W¨ ahler kann bestimmen: Q

n

i=1

c

i

g

^Pⁿⁱ⁼¹^rⁱ

= Q

n

i=1

g

^rⁱ

v

^mⁱ

g

^Pⁿⁱ⁼¹^rⁱ

= g

^Pⁿⁱ⁼¹^rⁱ

v

^Pⁿⁱ⁼¹^mⁱ

g

^Pⁿⁱ⁼¹^rⁱ

= v

^Pⁿⁱ⁼¹^mⁱ

(49)

Idee zur Wahl mit Homomorphen System

Com(r,m) :=g^rv^m

I

W¨ ahler i w¨ ahlt m

i

∈ {0, 1} und Zufallszahl r

i

∈ {0, . . . q − 1}.

I

W¨ ahler i bestimmt c

_i

:= g

^rⁱ

v

^mⁱ

.

I

W¨ ahler i ver¨ offentlicht c

_i

.

I

W¨ ahler i verschl¨ usselt f¨ ur T den Wert E

T

(g

^rⁱ

).

I

T bestimmt: D

_T

(

n

Y

i=1

E

_T

(g

^rⁱ

)) =

n

Y

i=1

g

^rⁱ

= g

^Pⁿⁱ⁼¹^rⁱ

I

T ver¨ offentlicht: g

^Pⁿⁱ⁼¹^rⁱ

.

I

Jeder W¨ ahler kann bestimmen: Q

n

i=1

c

i

g

^Pⁿⁱ⁼¹^rⁱ

= Q

n

i=1

g

^rⁱ

v

^mⁱ

g

^Pⁿⁱ⁼¹^rⁱ

= g

^Pⁿⁱ⁼¹^rⁱ

v

^Pⁿⁱ⁼¹^mⁱ

g

^Pⁿⁱ⁼¹^rⁱ

= v

^Pⁿⁱ⁼¹^mⁱ