Eine grundlegende Bewertung gepaart mit einem möglichen Handlungsszenario

Ralf Bertling, ein Kollege von mir, hat sich mal ein paar Gedanken zur Lösung des e-Voting Paradoxons, geheim, nachvollziehbar und sicher, gemacht. Hier seine Gedanken.

Das Paradoxon

Beim e-Voting-Paradoxon handelt es sich um die Unvereinbarkeit der Anforderungen an ein elektronisches Wahlverfahren, das gleichzeitig

transparent

geheim

fälschungssicher

flexibel

sein soll. Das diese Anforderungen sich widersprechen, also paradox sind, hat bisher dazu geführt, dass bisher entweder auf manche der Anforderungen oder auf e-Voting insgesamt verzichtet wurde. In anderen vermeintlich paradoxen Situationen konnte jedoch ein Durchbruch erzielt werden, indem die Anforderungen nicht als zwangsläufige Grundlage und damit als technische Begriffe, sondern als Mittel zur Durchsetzung demokratischer Prinzipien betrachtet werden. Dazu sind die Begriffe in Relation zum bisherigen Urnen-basierten Wahlsystem als Kriterien zu betrachten, in denen man keine Verschlechterung hinnehmen und im Idealfall eine Verbesserung erzielen will. Aus diesem Grund gibt es im Urnenmodell gewisse Rollen, deren Trennung für freie, geheime, gerechte Wahlen oder Abstimmungen erforderlich sind.

Definitionen

Wahl: Bei einer Wahl kann es sich um die Wahl einer Person oder einer Partei, aber auch um eine Abstimmung über eine Sachfrage mit verschiedenen Handlungsalternativen handeln. Eine überschaubare, endliche Anzahl von Alternativen (Enthaltung, ungültige Wahl, Alternative1, …, Alternative n) ist für den weiteren Verlauf charakteristisch.

Wählerliste: Eine Liste der Wahlberechtigten, in der jeder Wähler verzeichnet und eindeutig identifizierbar ist. Diese ist erforderlich, um sicherzustellen, dass keiner wählt, der nicht wahlberechtigt ist und jeder Wähler für jede Wahlentscheidung nicht mehr als einmal berücksichtigt wird. (Letzteres wird für gewöhnlich durch einen Wahlvorgang sichergestellt, es wäre aber wünschenswert, dass bis zum Ende der Wahldauer die Entscheidung noch revidiert werden kann. Eine etwaige vorher abgegebene Stimme würde dadurch ungültig.)

Wahlleiter: Der W. verwaltet die Wählerliste und teilt diese in Wahlkreise ein. Er ist abschließend für die Auswertung der Ergebnisse aus den einzelnen Wahlkreisen verantwortlich.

Wahllokal: Das Wahllokal hat die Aufgabe, den Wahlberechtigten die Abgabe Ihrer Entscheidung zu ermöglichen. (s. auch Wählerliste). Hierbei fällt zwischenzeitlich die Information an, wer von seinem Stimmrecht Gebrauch gemacht hat. Spätestents zum ende der Wahl muss die Information vernichtet werden, wer welche Wahlentscheidung getroffen hat.

Wahlkreis: Im Wahlkreis werden die anonymen Wahlentscheidungen gezählt. Für die Gültigkeit der Stimme ist notwendig, dass die einzelne Entscheidung nicht einem konkreten Wähler zugeordnet werden kann, weil sonst die Wahl nicht mehr als geheim angesehen werden könnte. Das Wahlergebnis wird typischerweise je Wahlkreis veröffentlicht.

Analyse

Die Trennung der verschiedenen Rollen bei Wahlen ist wichtig. Eine Person im Wahllokal sollte keine Möglichkeit haben, zwischenzeitlich die Urne zu leeren, weil sie sonst die veränderten Summen konkret den einzelnen Wahlentscheidungen zuordnen könnte. Ist eine Person im Wahllokal und im Wahlkreis zuständig, könnten in beiden Schritten Manipulationen vorgenommen werden, die insgesamt zu einem unauffälligen, aber verfälschten Ergebnis führen können. Dies liegt daran, dass die Anforderungen nicht durch die Wahlurne an sich erfüllt werden, sondern durch einen Gesamtprozess mit Gewaltenteilung insgesamt von der Erfüllung der Kriterien ausgegangen wird.

Bei einer Automatisierung der entsprechenden Prozesse sollten die Rollen also entsprechend getrennt werden. Dies unterbindet nicht nur die Manipulation der Wahl durch die Manipulation einer Komponente; es ermöglicht auch die einzelnen Komponenten unabhängig voneinander zu testen, da die externe Kommunikation durch Wahlbeobachter überwacht werden kann.

Instanzen eines elektronischen Wahlverfahrens

Wahlleiter

Informiert die Wähler über die Wahlalternativen und erstellt einen kryptographischen Zugangsschlüssel zum Wahllokal sowie den öffentlichen Schlüssel des Wahlkreises. Die Übermittlung der Daten basiert auf dem öffentlichen Schlüssel des Wählers.

Es wird auch den Wahlkreisen und Wahllokalen ein entsprechender Schlüssel bereitgestellt.

Wähler

Der Wähler soll zur Kommunikation das Internet benutzen können. Um sich gegen Manipulationen des Rechners zu schützen, ist ein kryptographisches Endgerät mit Tastatur (wie beim e-Banking) zu benutzen. In diesem Gerät ist der private Schlüssel des Wählers hinterlegt und die Tastatur kann zur Prüfung des Wählers und zur Eingabe der Wahlentscheidung benutzt werden. Die Wahlentscheidung wird mit einer zufälligen Eingabe ergänzt und mit dem öffentlichen Schlüssel des Wahlkreises verschlüsselt. Die zufällige Ergänzungen dienen dazu, dass nicht durch Codierung einer bekannten Wahlentscheidung die Verschlüsselung dekodiert werden kann. Die entstehende Nachricht wird signiert und mit der Wahllisten-Nummer ans Wahllokal übermittelt.

Wahllokal

Korrekt übermittelte Daten werden mit der Wahlliste abgeglichen, die Signatur überprüft und bei Erfolg die verschlüsselte Wahlentscheidung dem Wähler zugeordnet abgelegt. Dabei ist weder die Wahlentscheidung noch die Identität des Wählers bekannt oder nachvollziehbar. Allerdings kann bis zum Ablauf der Wahlzeit durch den Wähler erneut eine Übermittlung der Wahlentscheidung erfolgen, die die vorige Entscheidung in diesem Fall ersetzt.

Beim Schließen des Wahllokals wird der Bezug zur Wählerliste vollständig entfernt, indem die verschlüsselten Wahlentscheidungen sortiert und an den Wahlkreis übermittelt werden.

Dazu wird diese Liste signiert. Das Wahllokal kennt nicht den „öffentlichen“ Schlüssel des Wahlkreises – um hier zu vermeiden, dass gefälschte Wahlentscheidungen an den Wahlkreis übermittelt werden.

Wahlkreis

Der Wahlkreis überprüft die Signatur des Wahllokals, entschlüsselt die Wahlentscheidungen und entfernt die zufälligen Ergänzungen. Nun liegen anonyme Wahlentscheidungen aller Wähler des Wahlkreises vor, die von ihrem Wahlrecht Gebrauch gemacht haben.

Diese Ergebnisse können nun ausgewertet und veröffentlicht sowie an den Wahlleiter übermittelt werden.

Analogien und Bewertung

Das vorgestellte Verfahren bildet die Urnenwahl nach, wobei die Funktion der Urne und der Wahlumschläge durch kryptographische Methoden ersetzt werden. Vermutlich können Experten der Kryptographie einige Detailfragen eleganter oder sicherer lösen – das Konzept des Wahlverfahrens zeigt jedoch, dass der e-Voting-Paradoxon grundsätzlich lösbar ist. Ein positive Nebeneffekt wäre die größere Verbreitung von Public-Key-Verfahren und sicherer Endgeräte – Chancen, die bei den elektronischen Personalausweisen verpasst wurden.

Copyright

Diese Konzeption unterliegt der Creative-Commons-Lizenz.

ralf Bertling