Algorithmische Kryptographie Kapitel 14 Elektronische Wahlen 1

(1)

Algorithmische Kryptographie Kapitel 14

Elektronische Wahlen 1

Walter Unger

Lehrstuhl f¨ ur Informatik 1

30. Januar 2009

(2)

Einleitung und einfache Wahlverfahren Anforderungen

Protokoll mit vertrauensw¨ urdigem Ausz¨ ahler und Legitimator

Protokoll 2

Protokoll mit vertrauensunw¨ urdigem Legitimator W¨ ahlen durch gegenseitiges Mischen

Protokoll 3

Verfahren mit m¨ oglichen Stimmenkauf

Protokoll 4

Verfahren ohne m¨ oglichen Stimmenkauf

(3)

Einleitung und einfache Wahlverfahren Protokoll 2 Protokoll 3 Protokoll 4

Anforderungen (14:1) Walter Unger Z

Anforderungen

I Der einzelne W¨ ahler soll anonym und geheim w¨ ahlen.

I Die Entscheidung, ob man w¨ ahlt, soll frei bleiben.

I Die Tatsache, ob man w¨ ahlt, soll geheim bleiben.

I Die Wahlen sollen nachvollziehbar verlaufen.

I Die Stimmen sollen gleich z¨ ahlen (niemand darf etwa mehrfach w¨ ahlen).

I Die Abgabe falscher Stimmen sollte erkannt werden.

I Die Stimmen d¨ urfen [nicht] ver¨ andert werden.

I Man sollte seine eigene Stimme wiedererkennen k¨ onnen.

I Man sollte keinem Dritten, die eigene Stimmabgabe zeigen k¨ onnen.

I Die Kosten zur Wahldurchf¨ uhrung sollten nicht zu hoch sein.

(4)

Anforderungen (14:2) Walter Unger Z

M¨ oglichkeiten

I Man nutzt eine vertrauensw¨ urdige Person, die die Identit¨ at testet und die Stimmen ausz¨ ahlt. Hier besteht die Gefahr, dass die Stimme der Person zugeordnet werden kann.

I Mit zwei unabh¨ angigen vertrauensw¨ urdigen Personen arbeiten, dem Ausz¨ ahler C und dem Legitimator L.

I Man verteilt die Ausz¨ ahlung auf alle Teilnehmer.

I Man verteilt die Ausz¨ ahlung auf viele ¨ uberwiegend

vertrauensw¨ urdige Personen.

(5)

Protokoll mit vertrauensw¨urdigem Ausz¨ahler und Legitimator (14:3) Walter Unger Z

Idee zum Protokoll

Beteiligt sind W¨ ahler A j , (1 6 j 6 n) C , L und K die Menge der Kandidaten.

Das Protokoll l¨ auft in drei Schritten ab:

1. Zun¨ achst identifiziert sich der W¨ ahler A _j bei L.

L erzeugt i(A j ) und leitet dieses i(A j ) an C und A j weiter.

2. Der W¨ ahler A _j w¨ ahlt v(A _j ) ∈ K (Kandidatenwahl) und bestimmt ein geheimes s (A j ).

Er sendet anonym – z.B. ¨ uber L – sein v (A _i ) und s(A _i ) an C.

3. C wertet aus:

In einer Tabelle werden die s (A _j ) den jeweils gew¨ ahlten Kandidaten zugeordnet und ver¨ offentlicht.

4. Nun kann jeder W¨ ahler A _j nachsehen, ob sich ,,sein” s(A _j ) in

der richtigen Liste des Kanditaten v (A j ) befindet.

(6)

1. Protokoll mit L, C und A _j (1 6 j 6 t)

A_j(16j6n),C,L

A

j

: E

L

, E

C

L: E

L

, D

L

, E

C Identifikation

Protokoll

- -

bestimmt i (A

j

) i(A

j

)

stimmt ab, d.h. w¨ ahlt v (A

j

) ∈ K bestimmt Geheimnis s(A

j

)

W

j

= E

L

(E

C

((i (A

j

), v (A

j

), s (A

j

)))) W

j

-

V

j

= D

L

(W

j

)

(7)

1. Protokoll mit L, C und A _j (1 6 j 6 t)

A_j(16j6n),C,L

C: E

L

, D

L

, E

C

L: E

L

, D

L

, E

C

kennt i(A

j

) (1 6 j 6 t)

kennt V

j

= E

C

((i (A

j

), v (A

j

), s (A

j

))) bestimmt I = {i (A

j

) | 1 6 j 6 n}

I , V

^bestimmt ^V ⁼ ^{V

^l

^| ¹ 6 l 6 n}

bestimmt f¨ ur x ∈ K

S

x

= {t | ∃y ∈ V ∧ z ∈ I : y = (z, x, t)}

ver¨ offenlicht die S

x

.

(8)

Sicherheitsaspekte

A_j(16j6n),C,L

A_j:E_L,E_C L:E_L,D_L,E_C

Identifikation

Protokoll

- -

^bestimmt^i(A^j⁾

stimmt ab, d.h. w¨ahltv(A_j)∈ K i(A_j) bestimmt Geheimniss(A_j)

W_j=E_L(E_C((i(A_j),v(A_j),s(A_j)))) W_j

-

^Vj=D_L(W_j)

C:E_L,D_C,E_C L:E_L,D_L,E_C

kennti(A_j)(16j6t)

kenntV_j=E_C((i(A_j),v(A_j),s(A_j))) bestimmtI={i(A_j)|16j6n}

bestimmt f¨urx∈ K I,V

^bestimmt^V⁼^{Vj|16j6n}

S_x={s| ∃v∈V∧i∈I:v= (i,x,s)}

ver¨offenlicht dieSx.

Es dürfen nur registrierte Wähler wählen (Identitätsprüfung).

NurLkann zusätzliche Stimmen erzeugen.Alle Teilnehmer bekommen die Information über den Ausgang der Wahl (d.h. kein Ausschluß).Werden die Informationen an die richtige Person gesandt (L / C)?Kann die Information (nachträglich) verändert werden?Kann jemand behaupten, die Information nicht gesendet / nicht bekommen zu haben?C und L dürfen nicht gemeinsam handeln.

(9)

Sicherheitsaspekte

A_j(16j6n),C,L

I Es d¨ urfen nur registrierte W¨ ahler w¨ ahlen (Identit¨ atspr¨ ufung) Nur L kann zus¨ atzliche Stimmen erzeugen.

I Alle Teilnehmer bekommen die Informationn ¨ uber den Ausgang der Wahl (d.h. kein Ausschluß).

I Werden die Informationen an die richtige Person gesandt (L / C)?

I Kann die Information (nachtr¨ aglich) ver¨ andert werden?

I Kann jemand behaupten, die Information nicht gesendet / nicht bekommen zu haben?

I C und L d¨ urfen nicht gemeinsam handeln.

(10)

Protokoll mit vertrauensunw¨urdigem Legitimator (14:8) Walter Unger Z

2. Protokoll

A_j(16j6n),L

I L bestimmt hierbei nach der Identifikation Token t

x

, 1 6 x 6 n

^k

. I L bestimmt endliche Menge S und eine Einwegpermutation f auf S.

I Der W¨ ahler A

j

bestimmt i (A

j

) und nimmt ein Token t

i(A_j)

, L weiß aber nicht, welches.

I Der W¨ ahler A

j

bestimmt zuf¨ allig s ∈ S.

I Der W¨ ahler A

j

w¨ ahlt Kandidat v

j

.

I Der W¨ ahler A

j

sendet anonym (v

j

, f (s), t

_i(A_j₎

) = (v , y , i ) an L.

I Dieser testet und ver¨ offentlicht v

j

und s.

I Beachte: Online-Wahl ist m¨ oglich.

I Bei einer Ver¨ anderung schickt man (v

⁰

, f (s

⁰

), i , s ).

(11)

Protokoll mit vertrauensunw¨urdigem Legitimator (14:9) Walter Unger Z

2. Protokoll mit L, und A _j (1 6 j 6 t)

A_j(16j6n),L Sendliche Menge fEinwegpermutation

A

j

: L:

bestimmt t

x

, 1 6 x 6 n

^k

bestimmt S und f

Identifikation Protokoll

- - w¨ ahlt i ∈ {1, . . . , n

^k

}

t

i kauft dies geheim

bestimmt s ∈ S

y := f (s)

w¨ ahlt v v , y , t

i

anonym

-

testet: ∃x ∈ {1, . . . , n

^k

} : t

x

= t

i

bestimmt s

⁰

∈ S y

⁰

:= f (s

⁰

)

w¨ ahlt neu v

⁰

v

⁰

, f (s

⁰

), t

i

, s

anonym

-

testet: ∃x ∈ {1, . . . , n

^k

} : t

x

= t

i

testet: f (s ) =

^?

y

(12)

W¨ahlen durch gegenseitiges Mischen (14:10) Walter Unger Z

W¨ ahlen durch gegenseitiges Mischen der Stimmen

I Man w¨ ahlt ohne Zentrale, die Auswertung wird von den W¨ ahlern

¨

ubernommen.

I Allerdings ist das Verfahren nur f¨ ur kleine W¨ ahlergruppen praktikabel, sonst werden die Berechnung sehr schnell zu groß.

I Wir zeigen hier ein Beispiel f¨ ur die vier Parteien A, B , C und D.

I Idee: Eigene Stimme verschl¨ usseln, Stimmen mischen, weitergeben

I Jede Partei X ∈ {A, B, C, D} hat ¨ offentlichen und privaten Schl¨ ussel.

(13)

W¨ ahlen durch gegenseitiges Mischen der Stimmen

I Jede Partei erzeugt: E

A

(R

5

E

B

(R

4

E

C

(R

3

E

D

(R

2

E

A

(E

B

(E

C

(E

D

(v

x

R

1

)))))))).

I Dabei bezeichnet v

x

die Wahlentscheidung von W¨ ahler x.

I Die R

i

sind Zufallszahlen. Die Zwischenergebnisse werden gespeichert.

I A sammelt die Nachrichten.

I A entschl¨ usselt und entfernt die Zufallszahl.

I A permutiert die Nachrichten (Mischung der Stimmen).

I A sendet mit Unterschrift die Nachrichten an B.

I Das wird durch die Teilnehmer C → D → A → B → C → D wiederholt.

I D gibt das Ergebnis bekannt.

(14)

W¨ ahlen durch gegenseitiges Mischen der Stimmen

A_j(16j6n),L Sendliche Menge fEinwegpermutation A: E_A(R_5,AE_B(R_4,AE_C(R_3,AE_D(R_2,AE_A(E_B(E_C(E_D(v_AR_1,A))))))))

E_A(R_5,BE_B(R_4,BE_C(R_3,BE_D(R_2,BE_A(E_B(E_C(E_D(v_BR_1,B)))))))) E_A(R_5,CE_B(R_4,CE_C(R_3,CE_D(R_2,CE_A(E_B(E_C(E_D(v_CR_1,C)))))))) E_A(R_5,DE_B(R_4,DE_C(R_3,DE_D(R_2,DE_A(E_B(E_C(E_D(v_DR_1,D)))))))) B: E_B(R_4,AE_C(R_3,AE_D(R_2,AE_A(E_B(E_C(E_D(v_AR_1,A)))))))

E_B(R_4,DE_C(R_3,DE_D(R_2,DE_A(E_B(E_C(E_D(v_DR_1,D))))))) E_B(R_4,CE_C(R_3,CE_D(R_2,CE_A(E_B(E_C(E_D(v_CR_1,C))))))) E_B(R_4,BE_C(R_3,BE_D(R_2,BE_A(E_B(E_C(E_D(v_BR_1,B))))))) C: E_C(R_3,CE_D(R_2,CE_A(E_B(E_C(E_D(v_CR_1,C))))))

E_C(R_3,DE_D(R_2,DE_A(E_B(E_C(E_D(v_DR_1,D)))))) E_C(R_3,AE_D(R_2,AE_A(E_B(E_C(E_D(v_AR_1,A)))))) E_C(R_3,BE_D(R_2,BE_A(E_B(E_C(E_D(v_BR_1,B)))))) D: E_D(R_2,BE_A(E_B(E_C(E_D(v_BR_1,B)))))

E_D(R_2,DE_A(E_B(E_C(E_D(v_DR_1,D))))) E_D(R_2,AE_A(E_B(E_C(E_D(v_AR_1,A))))) E_D(R_2,CE_A(E_B(E_C(E_D(v_CR_1,C))))) A: E_A(E_B(E_C(E_D(v_BR_1,B))))

E_A(E_B(E_C(E_D(v_AR_1,A)))) E_A(E_B(E_C(E_D(v_DR_1,D)))) E_A(E_B(E_C(E_D(v_CR_1,C)))) B: E_B(E_C(E_D(v_BR_1,B)))

E_B(E_C(E_D(v_AR_1,A))) E_B(E_C(E_D(v_DR_1,D))) E_B(E_C(E_D(v_CR_1,C)))

C: E_C(E_D(v_BR_1,B)) E_C(E_D(v_DR_1,D)) E_C(E_D(v_AR_1,A)) E_C(E_D(v_CR_1,C)) D: E_D(v_BR_1,B)

E_D(v_AR_1,A) E_D(v_CR_1,C) E_D(v_DR_1,D)

(15)

Verfahren mit m¨oglichen Stimmenkauf (14:13) Walter Unger Z

3. Protokoll

1. Beteiligt sind:

1.1 W¨ ahler A

_j

(1 6 j 6 n).

1.2 Vermischer S

_j

(1 6 j 6 k ).

1.3 Zentrum C.

1.4 ¨ Offentliches Medium B (Bulletin Board).

2. Jede Nachricht in B kann durch den Sender verifiziert werden.

3. Die W¨ ahler geben Stimmen verschl¨ usselt ab.

4. Jeder Vermischer mischt die Stimmen, so dass Zuordnung nicht mehr m¨ oglich ist.

5. C macht die Ausz¨ ahlung.

6. Benutzt werden Zahlen aus Z Z

^∗q

mit q = p

^k

.

7. Weiterhin sei g Generator in Z Z

^∗q

.

(16)

Idee

A_j(16j6n),S_j(16j6k),C,K Z Z^∗_q mitq=p^k

gGenerator

ϕ(g ^b

ⁱ

^·a

¹

^·a

²

^·...·a

^k

)

I b _i Stimme f¨ ur Kandidat ϕ(. . . b _i . . .).

I g ^b

ⁱ

Verschl¨ usselte Stimme

I g ^b

ⁱ

^·a

¹

Verschl¨ usselte Stimme und einmal gemischte Stimme

I g ^b

ⁱ

^·a

¹

^·a

²

^·...·a

^k

Verschl¨ usselte Stimme und k-mal gemischte Stimme

I ϕ(g ^b

ⁱ

^·a

¹

^·a

²

^·...·a

^k

) durch b _i gew¨ ahlter Kandidat.

I Damit braucht der W¨ ahler:

I

ϕ

I

g

^a¹^·a²^·...·a^k

(17)

Schritte

gGenerator

ϕ(g ^b

ⁱ

^·a

¹

^·a

²

^·...·a

^k

)

I Systemaufbau: g , q, ϕ

I Mischer S i bestimmt a i .

I Mischer bestimmen g ^a

¹

^·a

²

^·...·a

^k

I W¨ ahler w¨ ahlt und ver¨ offentlicht: g ^b

ⁱ

.

I Mischer bestimmen g ^b

ⁱ

^·a

¹

^·a

²

^·...·a

^k

I Ausz¨ ahlung der ϕ(g ^b

ⁱ

^·a

¹

^·a

²

^·...·a

^k

)

(18)

3. Protokoll (1.Schritt, Aufbau)

gGenerator

C : B:

bestimmt p große Primzahl

bestimmt g Generator in Z

_q^∗

mit q = p

^k

bestimmt Funktion ϕ : Z

q^∗

7→ K

C , q, g, ϕ

- ^(C ^, ^q, ^{g, ϕ)}

I Aufbau einer Funktion ϕ : Z

q^∗

7→ K:

I Sei x ∈ Z

q^∗

mit bin(x) = w

1

w

2

w

3

und 2

^|w²^|

|K|.

I Dann setze ϕ(x ) = l

int(w

2

) ·

^|K|

2^|w2|

m

.

(19)

3. Protokoll (2.Schritt), Aufbau

gGenerator

S

i

: B :

(C, q, g, ϕ) w¨ ahlt a

i

∈ Z Z

^∗_q

mit ggT(a

i

, q − 1) = 1

bestimmt also: f

i

(x ) = x

^aⁱ

mod q bestimmt c

i

= g

^aⁱ

S

i

, c

i

- ^(S

ⁱ

^, ^c

ⁱ

⁾

I Seine Mischstrategie wird damit: t −→ t

^aⁱ

mod q.

I Da c

i

¨ offentlich ist, wird S

i

seine Mischstrategie nicht ¨ andern k¨ onnen.

(20)

3. Protokoll (3.Schritt, g ^a

¹

^a

²

^...a

^k

)

A_j(16j6n),S_j(16j6k),C,K Z

Z^∗_q mitq=p^k gGenerator c_i=g^ai

S

1

: B :

(S

i

, p, q, ϕ) (S

i

, c

i

) sei z

0

= g

bestimmt z

1

= f

1

(z

0

)

S

1

, z

0

, z

1

- ^(S

¹

^, ^z

⁰

^, ^z

¹

⁾

S

i

: (2 6 i 6 k) B:

(S

i

, p, q, ϕ) (S

i

, c

i

)

(S

i−1

, z

i−2

, z

i−1

) S

i−1

, z

i−2

, z

i−1

bestimmt z

i

= f

i

(z

i−1

)

S

i

, z

i−1

, z

i

- ^(S

ⁱ

^, ^z

ⁱ⁻¹

^, ^z

ⁱ

⁾

(21)

3. Protokoll (4.Schritt, g ^a

¹

^a

²

^...a

^k

)

Z^∗_q mitq=p^k gGenerator c_i=g^ai z_i=z_i−1^ai

S

i

: C :

(S

i

, p, q, ϕ) (S

i

, c

i

) (S

i

, z

i−1

, z

i

) c

i

= g

^aⁱ

z

i

= f

i

(z

i−1

) = z

_i−1^aⁱ

∃a

i

: c

i

= g

^aⁱ

∧ z

i

= z

_i−1^aⁱ

Zero-Knowledge-Proof - -

I D.h. Beweist, dass zwei diskrete Logarithmen gleich sind.

I Dieses Protokoll werden wir beim elektronischen Geld noch sehen.

C: B :

C , z

0

, z

k

- ^(C, ^z

⁰

^, ^z

^k

⁾

(22)

3. Protokoll (5.Schritt, Wahl)

Z^∗_q mitq=p^k gGenerator c_i=g^ai z_i=z_i−1^ai

A

i

: B :

(S

i

, p, q, ϕ) (S

i

, c

i

)

(S

i−1

, z

i−2

, z

i−1

) (C, z

0

, z

k

) w¨ ahlt Kandidaten K

i

∈ K

r¨ at solange ein b

i

bis ϕ(z

_k^bⁱ

) = K

i

setzt v

i

= g

^bⁱ

(A

i

, v

i

)

- ^(A

ⁱ

^, ^v

ⁱ

⁾

I Beachte: Die Stimme ist in verschl¨ usselter Form abgegeben worden.

I Das Bestimmen des diskreten Logarithmus wurde umgangen.

(23)

3. Protokoll (6.Schritt, Identifizierung)

Z^∗_q mitq=p^k gGenerator c_i=g^ai z_i=z_i−1^ai ϕ(z_k^bi) =K_i v_i=g^bi

C: B:

(S

i

, p, q, ϕ) (S

i

, c

i

)

(S

i−1

, z

i−2

, z

i−1

) (C, z

0

, z

k

) (A

i

, v

i

) A

i

, v

i

(1 6 i 6 n)

Testet, ob die A

i

’s legitime W¨ ahler sind nur einmal gew¨ ahlt haben

Falls nicht A

i

, v

i

, ung¨ ultig -

Damit wird

(A

i

, v

i

) gel¨ oscht.

(24)

3. Protokoll (7.Schritt, g ^b

^j

^a

¹

^a

²

^...a

^k

)

C : B:

(S

i

, p, q, ϕ) (S

i

, c

i

)

(S

i−1

, z

i−2

, z

i−1

) (C , z

0

, z

k

) (A

i

, v

i

) A

i

, v

i

(1 6 i 6 n)

X

0

= SORT{v

l

|1 6 l 6 n}

X

0

= (w

₁⁰

, w

₂⁰

, . . . , w

_n⁰

- )

X

0

= (w

1⁰

, w

2⁰

, . . . , w

n⁰

)

(25)

3. Protokoll (8.Schritt, g ^b

^j

^a

¹

^a

²

^...a

^k

)

S

i

: B:

(S

i

, p, q, ϕ) (S

i

, c

i

)

(S

i−1

, z

i−2

, z

i−1

) (C , z

0

, z

k

) (A

i

, v

i

)

X

j

= (w

₁^j

, w

₂^j

, . . . , w

_n^j

) j < i

X

i−1

= (w

₁ⁱ⁻¹

, w

₂ⁱ⁻¹

, . . . , w

nⁱ⁻¹

) X = {(w

_lⁱ⁻¹

)

^aⁱ

|1 6 l 6 n}

X

i

= SORT(X ) X

i

=

(w

1ⁱ

, w

2ⁱ

, . . . , w

nⁱ

) -

X

i

= (w

1ⁱ

, w

2ⁱ

, . . . , w

nⁱ

)

I Beachte: Doppelte Eintr¨ age in den Listen treten selten auf.

(26)

3. Protokoll (9.Schritt, Ausz¨ ahlung)

C : B:

(S

i

, p, q, ϕ) (S

i

, c

i

)

(S

i−1

, z

i−2

, z

i−1

) (C , z

0

, z

k

) (A

i

, v

i

)

X

j

= (w

₁^j

, w

₂^j

, . . . , w

_n^j

) 1 6 j 6 k

X

k

= (w

1^k

, w

2^k

, . . . , w

n^k

)

E

x

= |{w ∈ X

k

| ϕ(w ) = x }|

E

x

∀x ∈ K - ^E

^x

^(∀x ^{∈ K)}

(27)

Zusammenfassung (1. Teil)

C: B:

bestimmtpgrosse Primzahl

bestimmtgGenerator inZ_q^∗mitq=p^k

bestimmt Funktionϕ:Z_q^∗7→ K C,q,g, ϕ

-

^(C,^q,^{g, ϕ)}

S_i: B:

w¨ahlta_i∈ZZ^∗_qmit ggT(a_i,q−1) = 1 bestimmt also:f_i(x) =x^aimodq

bestimmtc_i=gai S_i,c_i

-

^(Sⁱ^,^cⁱ⁾

S₁: B:

seiz₀=g

bestimmtz₁=f₁(z₀) S₁,z₀,z₁

-

^(S¹^,^z⁰^,^z¹⁾

S_i:(i62) B:

bestimmtz_i=f_i(z_i−1) Si−1,zi−2,zi−1

_S

i,z_i−1,z_i

-

^(Sⁱ^,^zⁱ⁻¹^,^zⁱ⁾

S_i: C:

c_i=g^ai

∃a_i:c_i=g^ai∧z_i=z^ai_i−1

Zero-Knowledge-Proof

- -

^zⁱ⁼^fⁱ^(zⁱ⁻¹^{) =}^z^aii−1 (C,z₀,z_k)

(28)

Zusammenfassung (2. Teil)

A_i: B:

(C,q,g, ϕ) (S_i,c_i)

(S_i,zi−1,z_i) getestet r¨at solange einb_ibisϕ(z^bi_k) =K_i (C,z₀,z_k)

setztv_i=g^bi (A_i,v_i)

-

^(Ai,v_i)

C: B:

Testet die (A_i,v_i)’s A_i,v_i(16i6n)

Falls Fehler/Betrug vorliegt A_i,v_i,ung¨ultig

-

Damit wird (A_i,v_i) gel¨oscht.

C: B:

X₀= SORT{v_l|16l6n} A_i,v_i(16i6n)

_X

0= (w₁⁰,w₂⁰, . . . ,w_n⁰)

-

^X⁰^{= (w}1⁰,w₂⁰, . . . ,w_n⁰)

S_i: B:

X_i= SORT{(wⁱ⁻¹

l )^ai|16l6n} X_i−1= (w₁ⁱ⁻¹,w₂ⁱ⁻¹, . . . ,w_nⁱ⁻¹)

X_i= (w₁ⁱ,w₂ⁱ, . . . ,w_nⁱ)

-

^Xi= (w₁ⁱ,w₂ⁱ, . . . ,w_nⁱ)

C: B:

Ex=|{w∈X_k|ϕ(w) =x}| X_k= (w₁^k,w₂^k, . . . ,w_n^k)

Ex(x∈ K)

-

^E^x^(∀x^{∈ K)}

(29)

Sicherheitsaspekte

Z^∗_q mitq=p^k gGenerator c_i=g^ai z_i=z_i−1^ai ϕ(z_k^bi) =K_i v_i=g^bi B:

(C,q,g, ϕ) (S_i,c_i)

(S_i,z_i−1,z_i) getestet A_i:r¨at solange einb_ibisϕ(z_k^bi) =K_i (C,z0,z_k)

setztv_i=g^bi (A_i,v_i)

-

^(Ai,v_i) getestet C:X₀= SORT{v_l|16l6n} X₀= (w₁⁰,w₂⁰, . . . ,w_n⁰)

-

^X⁰^{= (w}1⁰,w₂⁰, . . . ,w_n⁰) S_i:X_i= SORT{(w_lⁱ⁻¹)^ai|16l6n} X_i= (w₁ⁱ,w₂ⁱ, . . . ,w_nⁱ)

-

^Xⁱ^{= (w}1ⁱ,w₂ⁱ, . . . ,w_nⁱ)

C:E_x=|{w∈X_k|ϕ(w) =x}| Ex(x∈ K)

-

^E^x^(∀x^{∈ K)}

Die Stimmen werden richtig gez¨ ahlt. Jeder W¨ ahler kann das Mischen seiner Stimme ¨ uberwachen. Solange es nur mindestens einen ehrlichen Mischer gibt, dann bleiben die Stimmen geheim. Aus den gemischten Werten kann man nicht auf die Stimmen schließen. ¨ Andern der Stimme ist m¨ oglich, aber aufwendig.

Abgabe einer Zufallsstimme ist m¨ oglich (mit und ohne hinterher die

Stimmabgabe bestimmen zu k¨ onnen). Der W¨ ahler kann einem Dritten seine

Wahl preisgeben.

(30)

3. Protokoll (Sicherheitsaspekte)

1. Die Stimmen werden richtig gez¨ ahlt.

2. Jeder W¨ ahler kann das Mischen seiner Stimme ¨ uberwachen.

3. Solange es nur mindestens einen ehrlichen Mischer gibt, dann bleiben die Stimmen geheim.

4. Aus den gemischten Werten kann man nicht auf die Stimmen schließen.

5. ¨ Andern der Stimme ist m¨ oglich, aber aufwendig.

6. Abgabe einer Zufallsstimme ist m¨ oglich (mit und ohne hinterher die Stimmabgabe bestimmen zu k¨ onnen).

7. Der W¨ ahler kann einem Dritten seine Wahl preisgeben.

(31)

Verfahren ohne m¨oglichen Stimmenkauf (14:29) Walter Unger Z

Idee

I Ziel: W¨ ahler kann nicht bestochen/erpresst werden.

I Sicherheit des W¨ ahlers per ZKP.

I W¨ ahler kann dann Dritten nicht ¨ uberzeugen.

I W¨ ahler bekommt Token zugemischt.

I Korrektheitsbeweis f¨ ur W¨ ahler per ZKP.

(32)

4. Protokoll (Zero-Knowledge-Proof f¨ ur f (x) = y )

P: q, a, g, c = g

^a

, x , y = f (x) = x

^a

V : q, g, c , x, y w¨ ahlt i und j m

1

^m

¹

⁼ ^x

i

g

^j

w¨ ahlt l

m

2

= m

1

g

^l

m

3

= f (m

2

) m

2

, m

3

- testet m

1

=

?

x

ⁱ

g

^j

i, j

l -

testet m

2

=

?

m

1

g

^l

testet m

3

=

?

y

ⁱ

g

^a(j+l⁾

Beachte: m

3

= f (m

2

) = f (x

ⁱ

g

^j

g

^l

) = (f (x))

ⁱ

(f (g))

^j+l

= y

ⁱ

(g

^a

)

^j+l

.

Betrugsversuch: bestimme y

ⁱ

g

^aj

aus m

1

= x

ⁱ

g

^j

.

(33)

4. Protokoll (erweiterter Zero-Knowledge-Proof)

I Bekannt sind zwei Listen x 1 , x 1 , . . . , x t und y 1 , y 1 , . . . , y t .

I Zeige per Zero-Knowledge-Proof, dass es eine Permutation π gibt mit:

f (x _i ) = y _π(i) .

I Diese Erweiterung ist m¨ oglich.

(34)

4. Protokoll (Idee)

1. Mische nicht die Stimmen, sondern die Token.

2. Beteiligt sind:

2.1 W¨ ahler A

j

(1 6 j 6 n).

2.2 Vermischer S

j

(1 6 j 6 k ).

2.3 Zentrum C.

2.4 ¨ Offentliches Medium B (Bulletin Board).

3. Jeder Mischer S

j

beweist per Zero-Knowledge-Proof die Korrektheit seines Mischens.

4. Gemischt wird wieder ¨ uber Funktion f : Z Z

^∗q

→ Z Z

^∗q

mit t 7→ t

^a

.

(35)

Idee

I Erzeuge Wahlzettel (Tokens)

I Vermische Tokens, Beweis per ZKP

I gebe gemischtes Token den W¨ ahlern

I Vermische Tokens, Beweis per ZKP

I W¨ ahler w¨ ahlt

I Entmische Tokens, Beweis per ZKP

I Ausz¨ ahlung der Stimmen

(36)

4. Protokoll (1.Schritt, Aufbau)

C : B :

bestimmt q große Primzahl bestimmt g Generator in Z

q^∗

C, q, g

- ^(C, ^q, ^g)

S

i

: B:

(C , q, g) w¨ ahlt a

i

∈ Z Z

^∗_q

mit ggT(a

i

, q − 1) = 1

bestimmt also: f

i

(x) = x

^aⁱ

mod q bestimmt c

i

= g

^aⁱ

S

i

, c

i

- ^(S

ⁱ

^, ^c

ⁱ

⁾

Beachte: Mischfunktion ist nun f (x ) = g

^xa

mit a = Q

k i=1

a

i

.

(37)

4. Protokoll (2.Schritt, Aufbau und Mischen)

Z^∗_q,gGenerator,c_i=gai f(x) =g^amita=Qk

i=1a_i

C: B :

bestimmt t n Tokens:

{x

j,0

| 1 6 j 6 t} (x

1,0

, x

2,0

, . . . , x

t,0

)

- ^(x

^1,0

^, ^x

^2,0

^{, . . . ,} ^x

^t,0

⁾

S

i

: B :

bestimmt Permutation π

i

bestimmt x

j,i

= (x

π_i(j),i−1

)

^aⁱ

(x

1,i

, x

2,i

, . . . , x

t,i

)

- ^(x

^1,i

^, ^x

^2,i

^{, . . . ,} ^x

^t,i

⁾

Beachte: S

i

beweist die Korrektheit seiner Werte durch Zero-Knowledge-Proof.

Beachte: y

j

= x

π(j),k

= f (x

j,0

) f¨ ur 1 6 j 6 t und einer Permutation π.

Beachte: die y

j

sind die gemischten und verschl¨ usselten Werte der

urspr¨ unglichen Token.

(38)

4. Protokoll (3.Schritt, Identifikation, Aufbau)

i=1a_i

C : A

j

:

w¨ ahlt t

j

und Token x

t_j,k

x

t_j,k

- ^x

^tj,k

= y

j

S

1,...,k

: B:

(C , q, g) (S

i

, c

i

)

(x

1,i

, x

2,i

, . . . , x

t,i

)

bestimmen gemeinsam (1 6 i 6 t)

Verschl¨ usselung E E

- ^E

Als Verschl¨ usselung bietet sich ElGamal an, d.h. jeder Mischer S

j

bestimmt

noch einen Wert b

j

.

(39)

4. Protokoll (4.Schritt, Vermischen)

i=1a_i

A

j

: y

j

S

1

: a

1

y

j,0

= y

j

y

j,0

-

y

j,1

y

j,1

^y

^j,1

⁼ ^f

¹

^(y

^j,0

^{) = (y}

^j,0

⁾

a₁

A

j

: y

j

S

i

: a

i

y

j,i−1

y

j,i−1

- y

j,i

y

j,i

^y

^j,i

⁼ ^f

ⁱ

^(y

^j,i−1

^{) = (y}

^j,i−1

⁾

a_i

Beachte: damit bestimmt A

j

ein z

j

= f (y

j

).

Beachte: jeder Mischer S

i

beweist die Korrektheit per Zero-Knowledge-Proof.

(40)

4. Protokoll (verbesserter 4.Schritt)

i=1a_i

A

j

: y

j

S

1

: a

1

w¨ ahlt r

y

j,0

= y

j

g

^r

y

j,0

- y

j,1

= w

j,1

c

₁^−r

w

j,1

^w

^j,1

⁼ ^f

¹

^(y

^j,0

^{) = (y}

^j,0

⁾

a₁

A

j

: y

j

S

i

: a

i

w¨ ahlt r

y

j,i−1

g

^r

y

j,i−1

- ^w

^j,i

⁼ ^f

ⁱ

^(y

^j,i−1

^{) = (y}

^j,i−1

⁾

a_i

y

j,i

= w

j,i

c

_i^−r

w

j,i

Beachte: nun kennt kein S

i

ein korrektes Token.

(41)

4. Protokoll (5.Schritt, Wahl)

i=1a_i

A

j

: z

j

, y

j

B:

(C , q, g) (S

i

, c

i

)

(x

1,i

, x

2,i

, . . . , x

t,i

) E

w¨ ahlt v

j

bestimmt E (v

j

, z

j

) E (v

j

, z

j

)

anonym - ^E ^(v

^j

^, ^z

^j

⁾

(42)

4. Protokoll (6.Schritt)

Z^∗_q,gGenerator,c_i=g^ai f(x) =g^amita=Qk

i=1a_i StimmenE(v_j,z_j) =E(v_j,f(f(x_h,0)))

S

1,2,...,k

: E

⁻¹

B:

(C, q, g ) (S

i

, c

i

)

(x

1,i

, x

2,i

, . . . , x

t,i

) E

(v

j

, z

j

) = E

⁻¹

(E (v

j

, z

j

)) E (v

j

, z

j

)

(16j6n)

(v

j

, z

j

)

- ^(v

^j

^, ^z

^j

⁾

(1 6 j 6 n)

(43)

4. Protokoll (7.Schritt)

C : E

⁻¹

B:

(C , q, g) (S

i

, c

i

)

(x

1,i

, x

2,i

, . . . , x

t,i

) E

(v

j

, z

j

) (1 6 j 6 n) f¨ ur jeden Kandidaten x ∈ K: h

j

= (v

j

, z

j

)

(16j6n)

L

x,0

= SORT{z

j

| ∃j : h

j

= (x, z )}

L

x,0

- ^L

^x^,0

(44)

4. Protokoll (8.Schritt)

S

i

: a

i

B :

(C, q, g ), (S

i

, c

i

) E (x

1,i

, x

2,i

, . . . , x

t,i

) (v

j

, z

j

) (1 6 j 6 n) L

x,j

(j < i ) (y

1

, y

2

, . . . , y

n

) = L

x,i−1

L

x,i−1

bestimmt Permutation π

i

z

j

= (y

π_i(j)

)

^−aⁱ

bestimmt Permutation ρ

i

x

j

= (z

ρ_i(j)

)

^−aⁱ

L

x,i

= (x

1

, x

2

, . . . , x

n

)

L

x,i

- ^L

^x,i

Beachte: S

i

beweist die Korrektheit seiner Werte durch Zero-Knowledge-Proof.

Beachte: In den Listen L

x,k

sind die urspr¨ unglichen Token vorhanden.

Beachte: Z¨ ahlung ist nun einfach und ¨ offentlich m¨ oglich.

(45)

Zusammenfassung (1.Teil)

C: B:

bestimmtqgroße Primzahl

bestimmtgGenerator inZ_q^∗ C,q,g

-

^(C,^q,^g)

S_i: B:

w¨ahlta_i∈ZZ^∗_q mit ggT(a_i,q−1) = 1 (C,q,g) bestimmt also:f_i(x) =x^aimodq

bestimmtc_i=gai S_i,c_i

-

^(Sⁱ^,^cⁱ⁾

C: B:

bestimmttnTokens:

{x_j,0|16j6t} (x_1,0,x_2,0, . . . ,x_t,0)

-

^(x^1,0^,^x^2,0^{, . . . ,}^x^t,0⁾

S_i: B:

bestimmt Permutationπ_i bestimmtx_j,i= (x_π

i(j),i−1)^ai (x_1,i,x_2,i, . . . ,x_t,i)

-

^(x^1,i^,^x^2,i^{, . . . ,x}^t,i⁾

C: A_j:

w¨ahltt_jund Tokenx_tj_,k x_tj_,k

-

^xtj,k=y_j

(46)

Zusammenfassung (2.Teil)

S_1,...,k: B:

(C,q,g),(S_i,c_i) (x_1,0,x_2,0, . . . ,x_t,0)

bestimmen gemeinsam (x_1,i,x_2,i, . . . ,x_t,i) (16i6t)

Verschl¨usselungE E

-

^E

A_j:y_j S₁:a₁

w¨ahltr

y_j,0=y_jg^r y_j,0

-

^w^j,1⁼^f¹^(y^j,0^{) = (y}^j,0⁾^a¹

y_j,1=w_j,1c^−r₁ w_j,1

A_j:y_j S_i:a_i

w¨ahltr

yj,i−1g^r yj,i−1

-

^wj,i=f_i(yj,i−1) = (yj,i−1)^a¹ y_j,i=w_j,ic_i^−r w_j,i

A_j:z_j,y_j B:

E(v_j,z_j)

anonym

-

^bestimmt^E(vj,z_j) E(v_j,z_j)

(47)

Zusammenfassung (3.Teil)

S_1,2,...,k:E⁻¹ B:

(C,q,g),(S_i,c_i) (x_1,0,x_2,0, . . . ,x_t,0) (v_j,z_j) =E⁻¹(E(v_j,z_j)) E(v_j,z_j)

(16j6n)

^(x^1,i^,^x^2,i^{, . . . ,}^x^t,i⁾ ⁽¹⁶ⁱ⁶^t⁾

(v_j,z_j)

-

^(vj,z_j) (16j6n)

C:E⁻¹ B:

f¨ur jeden Kandidatenx∈ K: h_j= (v_j,z_j) (16j6n) L_x,0= SORT{z_j| ∃j:h_j= (x,z)}

L_x,0

-

^L^x,0

S_i:a_i B:

(y₁,y₂, . . . ,y_n) =L_x,i−1 L_x,i−1 bestimmt Permutationπ_i

z_j= (y_π i(j))⁻^ai bestimmt Permutationρ_i x_j= (z_ρ

i(j))⁻^ai

L_x,i= (x1,x2, . . . ,xn) L_x,i

-

^Lx,i

(48)

Sicherheitsaspekte

1. Die Stimmen werden richtig gez¨ ahlt.

2. Jeder W¨ ahler konnte die Korrektheit des Mischen ¨ uberwachen.

3. Solange es nur mindestens einen ehrlichen Mischer gibt, dann bleiben die Stimmen geheim.

Algorithmische Kryptographie Kapitel 14 Elektronische Wahlen 1