Algorithmische Kryptographie Kapitel 14 Elektronische Wahlen 1

(1)

Algorithmische Kryptographie Kapitel 14

Elektronische Wahlen 1

Walter Unger

Lehrstuhl f¨ur Informatik 1

30. Januar 2009

(2)

Einleitung und einfache Wahlverfahren Anforderungen

Protokoll mit vertrauensw¨urdigem Ausz¨ahler und Legitimator

Protokoll 2

Protokoll mit vertrauensunw¨urdigem Legitimator W¨ahlen durch gegenseitiges Mischen

Protokoll 3

Verfahren mit m¨oglichen Stimmenkauf

Protokoll 4

Verfahren ohne m¨oglichen Stimmenkauf

(3)

Einleitung und einfache Wahlverfahren Protokoll 2 Protokoll 3 Protokoll 4

Anforderungen (14:1) Walter Unger Z

Anforderungen

I

Der einzelne W¨ ahler soll anonym und geheim w¨ ahlen.

I

Die Entscheidung, ob man w¨ ahlt, soll frei bleiben.

I

Die Tatsache, ob man w¨ ahlt, soll geheim bleiben.

I

Die Wahlen sollen nachvollziehbar verlaufen.

I

Die Stimmen sollen gleich z¨ ahlen (niemand darf etwa mehrfach w¨ ahlen).

I

Die Abgabe falscher Stimmen sollte erkannt werden.

I

Die Stimmen d¨ urfen [nicht] ver¨ andert werden.

I

Man sollte seine eigene Stimme wiedererkennen k¨ onnen.

I

Man sollte keinem Dritten, die eigene Stimmabgabe zeigen k¨ onnen.

I

Die Kosten zur Wahldurchf¨ uhrung sollten nicht zu hoch sein.

(4)

Anforderungen

I

Der einzelne W¨ ahler soll anonym und geheim w¨ ahlen.

I

Die Entscheidung, ob man w¨ ahlt, soll frei bleiben.

I

Die Tatsache, ob man w¨ ahlt, soll geheim bleiben.

I

Die Wahlen sollen nachvollziehbar verlaufen.

I

Die Stimmen sollen gleich z¨ ahlen (niemand darf etwa mehrfach w¨ ahlen).

I

Die Abgabe falscher Stimmen sollte erkannt werden.

I

Die Stimmen d¨ urfen [nicht] ver¨ andert werden.

I

Man sollte seine eigene Stimme wiedererkennen k¨ onnen.

I

Man sollte keinem Dritten, die eigene Stimmabgabe zeigen k¨ onnen.

I

Die Kosten zur Wahldurchf¨ uhrung sollten nicht zu hoch sein.

(5)

Anforderungen

I

Der einzelne W¨ ahler soll anonym und geheim w¨ ahlen.

I

Die Entscheidung, ob man w¨ ahlt, soll frei bleiben.

I

Die Tatsache, ob man w¨ ahlt, soll geheim bleiben.

I

Die Wahlen sollen nachvollziehbar verlaufen.

I

Die Stimmen sollen gleich z¨ ahlen (niemand darf etwa mehrfach w¨ ahlen).

I

Die Abgabe falscher Stimmen sollte erkannt werden.

I

Die Stimmen d¨ urfen [nicht] ver¨ andert werden.

I

Man sollte seine eigene Stimme wiedererkennen k¨ onnen.

I

Man sollte keinem Dritten, die eigene Stimmabgabe zeigen k¨ onnen.

I

Die Kosten zur Wahldurchf¨ uhrung sollten nicht zu hoch sein.

(6)

Anforderungen

I

Der einzelne W¨ ahler soll anonym und geheim w¨ ahlen.

I

Die Entscheidung, ob man w¨ ahlt, soll frei bleiben.

I

Die Tatsache, ob man w¨ ahlt, soll geheim bleiben.

I

Die Wahlen sollen nachvollziehbar verlaufen.

I

Die Stimmen sollen gleich z¨ ahlen (niemand darf etwa mehrfach w¨ ahlen).

I

Die Abgabe falscher Stimmen sollte erkannt werden.

I

Die Stimmen d¨ urfen [nicht] ver¨ andert werden.

I

Man sollte seine eigene Stimme wiedererkennen k¨ onnen.

I

Man sollte keinem Dritten, die eigene Stimmabgabe zeigen k¨ onnen.

I

Die Kosten zur Wahldurchf¨ uhrung sollten nicht zu hoch sein.

(7)

Anforderungen

I

Der einzelne W¨ ahler soll anonym und geheim w¨ ahlen.

I

Die Entscheidung, ob man w¨ ahlt, soll frei bleiben.

I

Die Tatsache, ob man w¨ ahlt, soll geheim bleiben.

I

Die Wahlen sollen nachvollziehbar verlaufen.

I

Die Stimmen sollen gleich z¨ ahlen (niemand darf etwa mehrfach w¨ ahlen).

I

Die Abgabe falscher Stimmen sollte erkannt werden.

I

Die Stimmen d¨ urfen [nicht] ver¨ andert werden.

I

Man sollte seine eigene Stimme wiedererkennen k¨ onnen.

I

Man sollte keinem Dritten, die eigene Stimmabgabe zeigen k¨ onnen.

I

Die Kosten zur Wahldurchf¨ uhrung sollten nicht zu hoch sein.

(8)

Anforderungen

I

Der einzelne W¨ ahler soll anonym und geheim w¨ ahlen.

I

Die Entscheidung, ob man w¨ ahlt, soll frei bleiben.

I

Die Tatsache, ob man w¨ ahlt, soll geheim bleiben.

I

Die Wahlen sollen nachvollziehbar verlaufen.

I

Die Stimmen sollen gleich z¨ ahlen (niemand darf etwa mehrfach w¨ ahlen).

I

Die Abgabe falscher Stimmen sollte erkannt werden.

I

Die Stimmen d¨ urfen [nicht] ver¨ andert werden.

I

Man sollte seine eigene Stimme wiedererkennen k¨ onnen.

I

Man sollte keinem Dritten, die eigene Stimmabgabe zeigen k¨ onnen.

I

Die Kosten zur Wahldurchf¨ uhrung sollten nicht zu hoch sein.

(9)

Anforderungen

I

Der einzelne W¨ ahler soll anonym und geheim w¨ ahlen.

I

Die Entscheidung, ob man w¨ ahlt, soll frei bleiben.

I

Die Tatsache, ob man w¨ ahlt, soll geheim bleiben.

I

Die Wahlen sollen nachvollziehbar verlaufen.

I

Die Stimmen sollen gleich z¨ ahlen (niemand darf etwa mehrfach w¨ ahlen).

I

Die Abgabe falscher Stimmen sollte erkannt werden.

I

Die Stimmen d¨ urfen [nicht] ver¨ andert werden.

I

Man sollte seine eigene Stimme wiedererkennen k¨ onnen.

I

Man sollte keinem Dritten, die eigene Stimmabgabe zeigen k¨ onnen.

I

Die Kosten zur Wahldurchf¨ uhrung sollten nicht zu hoch sein.

(10)

Anforderungen

I

Der einzelne W¨ ahler soll anonym und geheim w¨ ahlen.

I

Die Entscheidung, ob man w¨ ahlt, soll frei bleiben.

I

Die Tatsache, ob man w¨ ahlt, soll geheim bleiben.

I

Die Wahlen sollen nachvollziehbar verlaufen.

I

Die Stimmen sollen gleich z¨ ahlen (niemand darf etwa mehrfach w¨ ahlen).

I

Die Abgabe falscher Stimmen sollte erkannt werden.

I

Die Stimmen d¨ urfen [nicht] ver¨ andert werden.

I

Man sollte seine eigene Stimme wiedererkennen k¨ onnen.

I

Man sollte keinem Dritten, die eigene Stimmabgabe zeigen k¨ onnen.

I

Die Kosten zur Wahldurchf¨ uhrung sollten nicht zu hoch sein.

(11)

Anforderungen

I

Der einzelne W¨ ahler soll anonym und geheim w¨ ahlen.

I

Die Entscheidung, ob man w¨ ahlt, soll frei bleiben.

I

Die Tatsache, ob man w¨ ahlt, soll geheim bleiben.

I

Die Wahlen sollen nachvollziehbar verlaufen.

I

Die Stimmen sollen gleich z¨ ahlen (niemand darf etwa mehrfach w¨ ahlen).

I

Die Abgabe falscher Stimmen sollte erkannt werden.

I

Die Stimmen d¨ urfen [nicht] ver¨ andert werden.

I

Man sollte seine eigene Stimme wiedererkennen k¨ onnen.

I

Man sollte keinem Dritten, die eigene Stimmabgabe zeigen k¨ onnen.

I

Die Kosten zur Wahldurchf¨ uhrung sollten nicht zu hoch sein.

(12)

Anforderungen

I

Der einzelne W¨ ahler soll anonym und geheim w¨ ahlen.

I

Die Entscheidung, ob man w¨ ahlt, soll frei bleiben.

I

Die Tatsache, ob man w¨ ahlt, soll geheim bleiben.

I

Die Wahlen sollen nachvollziehbar verlaufen.

I

Die Stimmen sollen gleich z¨ ahlen (niemand darf etwa mehrfach w¨ ahlen).

I

Die Abgabe falscher Stimmen sollte erkannt werden.

I

Die Stimmen d¨ urfen [nicht] ver¨ andert werden.

I

Man sollte seine eigene Stimme wiedererkennen k¨ onnen.

I

Man sollte keinem Dritten, die eigene Stimmabgabe zeigen k¨ onnen.

I

Die Kosten zur Wahldurchf¨ uhrung sollten nicht zu hoch sein.

(13)

M¨ oglichkeiten

I

Man nutzt eine vertrauensw¨ urdige Person, die die Identit¨ at testet und die Stimmen ausz¨ ahlt. Hier besteht die Gefahr, dass die Stimme der Person zugeordnet werden kann.

I

Mit zwei unabh¨ angigen vertrauensw¨ urdigen Personen arbeiten, dem Ausz¨ ahler C und dem Legitimator L.

I

Man verteilt die Ausz¨ ahlung auf alle Teilnehmer.

I

Man verteilt die Ausz¨ ahlung auf viele ¨ uberwiegend

vertrauensw¨ urdige Personen.

(14)

M¨ oglichkeiten

I

Man nutzt eine vertrauensw¨ urdige Person, die die Identit¨ at testet und die Stimmen ausz¨ ahlt. Hier besteht die Gefahr, dass die Stimme der Person zugeordnet werden kann.

I

Mit zwei unabh¨ angigen vertrauensw¨ urdigen Personen arbeiten, dem Ausz¨ ahler C und dem Legitimator L.

I

Man verteilt die Ausz¨ ahlung auf alle Teilnehmer.

I

Man verteilt die Ausz¨ ahlung auf viele ¨ uberwiegend

vertrauensw¨ urdige Personen.

(15)

M¨ oglichkeiten

I

Man nutzt eine vertrauensw¨ urdige Person, die die Identit¨ at testet und die Stimmen ausz¨ ahlt. Hier besteht die Gefahr, dass die Stimme der Person zugeordnet werden kann.

I

Mit zwei unabh¨ angigen vertrauensw¨ urdigen Personen arbeiten, dem Ausz¨ ahler C und dem Legitimator L.

I

Man verteilt die Ausz¨ ahlung auf alle Teilnehmer.

I

Man verteilt die Ausz¨ ahlung auf viele ¨ uberwiegend

vertrauensw¨ urdige Personen.

(16)

M¨ oglichkeiten

I

Man nutzt eine vertrauensw¨ urdige Person, die die Identit¨ at testet und die Stimmen ausz¨ ahlt. Hier besteht die Gefahr, dass die Stimme der Person zugeordnet werden kann.

I

Mit zwei unabh¨ angigen vertrauensw¨ urdigen Personen arbeiten, dem Ausz¨ ahler C und dem Legitimator L.

I

Man verteilt die Ausz¨ ahlung auf alle Teilnehmer.

I

Man verteilt die Ausz¨ ahlung auf viele ¨ uberwiegend

vertrauensw¨ urdige Personen.

(17)

Protokoll mit vertrauensw¨urdigem Ausz¨ahler und Legitimator (14:3) Walter Unger Z

Idee zum Protokoll

Beteiligt sind W¨ ahler A

j

, (1 6 j 6 n) C , L und K die Menge der Kandidaten.

Das Protokoll l¨ auft in drei Schritten ab:

1. Zun¨ achst identifiziert sich der W¨ ahler A

_j

bei L.

L erzeugt i(A

_j

) und leitet dieses i (A

_j

) an C und A

_j

weiter. 2. Der W¨ ahler A

_j

w¨ ahlt v(A

_j

) ∈ K (Kandidatenwahl) und

bestimmt ein geheimes s (A

j

).

Er sendet anonym – z.B. ¨ uber L – sein v (A

_i

) und s(A

_i

) an C. 3. C wertet aus:

In einer Tabelle werden die s (A

_j

) den jeweils gew¨ ahlten Kandidaten zugeordnet und ver¨ offentlicht.

4. Nun kann jeder W¨ ahler A

_j

nachsehen, ob sich ,,sein” s(A

_j

) in

der richtigen Liste des Kanditaten v(A

_j

) befindet.

(18)

Idee zum Protokoll

Beteiligt sind W¨ ahler A

j

, (1 6 j 6 n) C , L und K die Menge der Kandidaten.

Das Protokoll l¨ auft in drei Schritten ab:

1. Zun¨ achst identifiziert sich der W¨ ahler A

_j

bei L.

L erzeugt i(A

j

) und leitet dieses i(A

j

) an C und A

j

weiter.

2. Der W¨ ahler A

_j

w¨ ahlt v(A

_j

) ∈ K (Kandidatenwahl) und bestimmt ein geheimes s (A

j

).

Er sendet anonym – z.B. ¨ uber L – sein v (A

_i

) und s(A

_i

) an C. 3. C wertet aus:

In einer Tabelle werden die s (A

_j

) den jeweils gew¨ ahlten Kandidaten zugeordnet und ver¨ offentlicht.

4. Nun kann jeder W¨ ahler A

_j

nachsehen, ob sich ,,sein” s(A

_j

) in

der richtigen Liste des Kanditaten v(A

j

) befindet.

(19)

Idee zum Protokoll

Beteiligt sind W¨ ahler A

j

, (1 6 j 6 n) C , L und K die Menge der Kandidaten.

Das Protokoll l¨ auft in drei Schritten ab:

1. Zun¨ achst identifiziert sich der W¨ ahler A

_j

bei L.

L erzeugt i(A

j

) und leitet dieses i(A

j

) an C und A

j

weiter.

2. Der W¨ ahler A

_j

w¨ ahlt v(A

_j

) ∈ K (Kandidatenwahl) und bestimmt ein geheimes s (A

j

).

Er sendet anonym – z.B. ¨ uber L – sein v (A

_i

) und s(A

_i

) an C.

3. C wertet aus:

In einer Tabelle werden die s (A

_j

) den jeweils gew¨ ahlten Kandidaten zugeordnet und ver¨ offentlicht.

4. Nun kann jeder W¨ ahler A

_j

nachsehen, ob sich ,,sein” s(A

_j

) in

der richtigen Liste des Kanditaten v(A

j

) befindet.

(20)

Idee zum Protokoll

Beteiligt sind W¨ ahler A

j

, (1 6 j 6 n) C , L und K die Menge der Kandidaten.

Das Protokoll l¨ auft in drei Schritten ab:

1. Zun¨ achst identifiziert sich der W¨ ahler A

_j

bei L.

L erzeugt i(A

j

) und leitet dieses i(A

j

) an C und A

j

weiter.

2. Der W¨ ahler A

_j

w¨ ahlt v(A

_j

) ∈ K (Kandidatenwahl) und bestimmt ein geheimes s (A

j

).

Er sendet anonym – z.B. ¨ uber L – sein v (A

_i

) und s(A

_i

) an C.

3. C wertet aus:

In einer Tabelle werden die s (A

_j

) den jeweils gew¨ ahlten Kandidaten zugeordnet und ver¨ offentlicht.

4. Nun kann jeder W¨ ahler A

_j

nachsehen, ob sich ,,sein” s(A

_j

) in

der richtigen Liste des Kanditaten v(A

j

) befindet.

(21)

Idee zum Protokoll

Beteiligt sind W¨ ahler A

j

, (1 6 j 6 n) C , L und K die Menge der Kandidaten.

Das Protokoll l¨ auft in drei Schritten ab:

1. Zun¨ achst identifiziert sich der W¨ ahler A

_j

bei L.

L erzeugt i(A

j

) und leitet dieses i(A

j

) an C und A

j

weiter.

2. Der W¨ ahler A

_j

w¨ ahlt v(A

_j

) ∈ K (Kandidatenwahl) und bestimmt ein geheimes s (A

j

).

Er sendet anonym – z.B. ¨ uber L – sein v (A

_i

) und s(A

_i

) an C.

3. C wertet aus:

In einer Tabelle werden die s (A

_j

) den jeweils gew¨ ahlten Kandidaten zugeordnet und ver¨ offentlicht.

4. Nun kann jeder W¨ ahler A

_j

nachsehen, ob sich ,,sein” s(A

_j

) in

der richtigen Liste des Kanditaten v (A

j

) befindet.

(22)

1. Protokoll mit L, C und A

_j

(1 6 j 6 t)

A_j(16j6n),C,L

Aj:EL,EC L:EL,DL,EC

Identifikation Protokoll--

bestimmti(Aj) i(Aj)

stimmt ab, d.h. w¨ahltv(Aj)∈ K bestimmt Geheimniss(Aj)

Wj=EL(EC((i(Aj),v(Aj),s(Aj)))) Wj

-

Vj=DL(Wj)

(23)

1. Protokoll mit L, C und A

_j

(1 6 j 6 t)

A_j(16j6n),C,L

Aj:EL,EC L:EL,DL,EC

bestimmti(Aj) i(Aj)

-

Vj=DL(Wj)

(24)

1. Protokoll mit L, C und A

_j

(1 6 j 6 t)

A_j(16j6n),C,L

Aj:EL,EC L:EL,DL,EC

bestimmti(Aj)

i(Aj) stimmt ab, d.h. w¨ahltv(Aj)∈ K bestimmt Geheimniss(Aj)

-

Vj=DL(Wj)

(25)

1. Protokoll mit L, C und A

_j

(1 6 j 6 t)

A_j(16j6n),C,L

Aj:EL,EC L:EL,DL,EC

bestimmti(Aj) i(Aj)

-

Vj=DL(Wj)

(26)

1. Protokoll mit L, C und A

_j

(1 6 j 6 t)

A_j(16j6n),C,L

Aj:EL,EC L:EL,DL,EC

bestimmti(Aj) i(Aj)

-

Vj=DL(Wj)

(27)

1. Protokoll mit L, C und A

_j

(1 6 j 6 t)

A_j(16j6n),C,L

Aj:EL,EC L:EL,DL,EC

bestimmti(Aj) i(Aj)

-

Vj=DL(Wj)

(28)

1. Protokoll mit L, C und A

_j

(1 6 j 6 t)

A_j(16j6n),C,L

Aj:EL,EC L:EL,DL,EC

bestimmti(Aj) i(Aj)

-

Vj=DL(Wj)

(29)

1. Protokoll mit L, C und A

_j

(1 6 j 6 t)

A_j(16j6n),C,L

C:EL,DL,EC L:EL,DL,EC

kennti(Aj)(16j6t)

kenntVj=EC((i(Aj),v(Aj),s(Aj)))

bestimmtI ={i(Aj)|16j6n} I,V

^bestimmt^V ⁼^{V^l ^|¹6l6n} bestimmt f¨urx ∈ K

Sx ={t| ∃y ∈V∧z∈I :y= (z,x,t)} ver¨offenlicht dieSx.

(30)

1. Protokoll mit L, C und A

_j

(1 6 j 6 t)

A_j(16j6n),C,L

kennti(Aj)(16j6t)

kenntVj=EC((i(Aj),v(Aj),s(Aj))) bestimmtI ={i(Aj)|16j6n}

I,V

^bestimmt^V ⁼^{V^l ^|¹6l6n}

bestimmt f¨urx ∈ K

Sx ={t| ∃y ∈V∧z∈I :y= (z,x,t)} ver¨offenlicht dieSx.

(31)

1. Protokoll mit L, C und A

_j

(1 6 j 6 t)

A_j(16j6n),C,L

kennti(Aj)(16j6t)

kenntVj=EC((i(Aj),v(Aj),s(Aj))) bestimmtI ={i(Aj)|16j6n}

I,V

^bestimmt^V ⁼^{V^l ^|¹6l6n}

bestimmt f¨urx ∈ K

Sx ={t| ∃y ∈V∧z∈I :y= (z,x,t)}

ver¨offenlicht dieSx.

(32)

Sicherheitsaspekte

A_j(16j6n),C,L

A_j:E_L,E_C L:E_L,D_L,E_C

Identifikation

Protokoll-- ^bestimmt^i(A^j⁾

stimmt ab, d.h. w¨ahltv(A_j)∈ K i(A_j) bestimmt Geheimniss(A_j)

W_j=E_L(E_C((i(A_j),v(A_j),s(A_j)))) W_j

- ^Vj=D_L(W_j)

C:E_L,D_C,E_C L:E_L,D_L,E_C

kennti(A_j)(16j6t)

kenntV_j=E_C((i(A_j),v(A_j),s(A_j))) bestimmtI={i(A_j)|16j6n}

bestimmt f¨urx∈ K I,V

^bestimmt^V⁼^{Vj|16j6n}

S_x={s| ∃v∈V∧i∈I:v= (i,x,s)}

Es dürfen nur registrierte Wähler wählen (Identitätsprüfung).

NurLkann zus¨atzliche Stimmen erzeugen.

(33)

Sicherheitsaspekte

A_j(16j6n),C,L

Identifikation

- ^Vj=D_L(W_j)

kennti(A_j)(16j6t)

S_x={s| ∃v∈V∧i∈I:v= (i,x,s)}

Alle Teilnehmer bekommen die Information ¨uber den Ausgang der Wahl (d.h. kein Ausschluß).

(34)

Sicherheitsaspekte

A_j(16j6n),C,L

Identifikation

- ^Vj=D_L(W_j)

kennti(A_j)(16j6t)

S_x={s| ∃v∈V∧i∈I:v= (i,x,s)}

Werden die Informationen an die richtige Person gesandt (L / C)?

(35)

Sicherheitsaspekte

A_j(16j6n),C,L

Identifikation

- ^Vj=D_L(W_j)

kennti(A_j)(16j6t)

S_x={s| ∃v∈V∧i∈I:v= (i,x,s)}

Kann die Information (nachtr¨aglich) ver¨andert werden?

(36)

Sicherheitsaspekte

A_j(16j6n),C,L

Identifikation

- ^Vj=D_L(W_j)

kennti(A_j)(16j6t)

S_x={s| ∃v∈V∧i∈I:v= (i,x,s)}

Kann jemand behaupten, die Information nicht gesendet / nicht bekommen zu haben?

(37)

Sicherheitsaspekte

A_j(16j6n),C,L

Identifikation

- ^Vj=D_L(W_j)

kennti(A_j)(16j6t)

S_x={s| ∃v∈V∧i∈I:v= (i,x,s)}

C und L d¨urfen nicht gemeinsam handeln.

(38)

Sicherheitsaspekte

A_j(16j6n),C,L

I

Es d¨ urfen nur registrierte W¨ ahler w¨ ahlen (Identit¨ atspr¨ ufung) Nur L kann zus¨ atzliche Stimmen erzeugen.

I

Alle Teilnehmer bekommen die Informationn ¨ uber den Ausgang der Wahl (d.h. kein Ausschluß).

I

Werden die Informationen an die richtige Person gesandt (L / C)?

I

Kann die Information (nachtr¨ aglich) ver¨ andert werden?

I

Kann jemand behaupten, die Information nicht gesendet / nicht bekommen zu haben?

I

C und L d¨ urfen nicht gemeinsam handeln.

(39)

Protokoll mit vertrauensunw¨urdigem Legitimator (14:8) Walter Unger Z

2. Protokoll

A_j(16j6n),L

I Lbestimmt hierbei nach der Identifikation Tokentx,16x 6n^k.

I Lbestimmt endliche MengeS und eine Einwegpermutationf aufS. I Der W¨ahlerAjbestimmti(Aj) und nimmt ein Tokenti(A_j),Lweiß aber

nicht, welches.

I Der WählerAjbestimmt zufälligs∈S. I Der WählerAjwählt Kandidatvj.

I Der W¨ahlerAjsendet anonym (vj,f(s),t_i(A_j₎) = (v,y,i) an L. I Dieser testet und ver¨offentlichtvj unds.

I Beachte: Online-Wahl ist m¨oglich.

I Bei einer Ver¨anderung schickt man (v⁰,f(s⁰),i,s).

(40)

2. Protokoll

A_j(16j6n),L

I Lbestimmt hierbei nach der Identifikation Tokentx,16x 6n^k. I Lbestimmt endliche MengeS und eine Einwegpermutationf aufS.

I Der W¨ahlerAjbestimmti(Aj) und nimmt ein Tokenti(A_j),Lweiß aber nicht, welches.

(41)

2. Protokoll

A_j(16j6n),L

(42)

2. Protokoll

A_j(16j6n),L

I Der W¨ahlerAjbestimmt zuf¨allig s∈S.

I Der W¨ahlerAjw¨ahlt Kandidatvj.

(43)

2. Protokoll

A_j(16j6n),L

(44)

2. Protokoll

A_j(16j6n),L

I Der W¨ahlerAjsendet anonym (vj,f(s),t_i(A_j₎) = (v,y,i) an L.

I Dieser testet und ver¨offentlichtvj unds. I Beachte: Online-Wahl ist m¨oglich.

(45)

2. Protokoll

A_j(16j6n),L

I Dieser testet und ver¨offentlichtvj unds.

(46)

2. Protokoll

A_j(16j6n),L

(47)

2. Protokoll

A_j(16j6n),L

(48)

2. Protokoll mit L, und A

_j

(1 6 j 6 t)

A_j(16j6n),L Sendliche Menge fEinwegpermutation

Aj: L:

bestimmttx,16x 6n^k bestimmtSundf

Identifikation Protokoll -- w¨ahlti∈ {1, . . . ,n^k}

ti kauft dies geheim

bestimmts∈S

y :=f(s)

w¨ahltv v,y,ti

anonym -

testet:∃x∈ {1, . . . ,n^k}:tx=ti

bestimmts⁰∈S y⁰:=f(s⁰)

w¨ahlt neuv⁰ v⁰,f(s⁰),ti,s

anonym -

testet:∃x∈ {1, . . . ,n^k}:tx=ti

testet:f(s)=^? y