Sensus

Im Folgenden stellen wir ein System von Lorrie Faith Cranor und Ron K. Cytron [Cranor/Cytron_1996] zur Durchführung von sicheren und geheimen Umfragen und Wahlen in Computer-Netzwerken vor (beides, sowohl die Durchführung von Umfragen als auch von Wahlen werden im Folgenden unter dem Begriff Wahlen zusammengefasst). Unter Verwendung der Arbeiten von Fujioka, Okamato und Ohta [Fujioka/Okamoto/Ohta_1993] wurde von ihnen eine System namens Sensus entwickelt, das Wahlen über das Internet realisiert, wobei als Zielanwendungsgebiet nicht-staatliche Wahlen angedacht waren, aber auch der Einsatz für staatliche Wahlen durch entsprechend hohe Anforderungen an den Bereich der Sicherheit möglich sein sollte. Da Sensus jedoch auf den Ersatz von Briefwahl-Systemen hin ausgelegt wurde, ohne auf existierende gesellschaftliche bzw. demokratische Strukturen einzugehen, ist dieses System nicht für eine konkrete Anwendung in der Bundesrepublik Deutschland anwendbar, wobei jedoch die grundlegenden Entwurfskriterien dieses Systems durchaus denen für ein computerbasiertes Wahlsystem der Bundesrepublik Deutschland entsprechen können.

Während die 1995 im Internet präsenten Umfrage- bzw. Wahlsysteme sich keine Gedanken über Sicherheit oder Schutz eines Geheimnischarakters machten und nur zwei von ihnen verboten, dass ein Anwender mehrmals eine Stimme abgeben konnte, versucht Sensus aufgrund der immer größeren Verbreitung solcher Anwendungen im World Wide Web eine sichere Grundlage zu schaffen, um den Anwendern zu verdeutlichen, dass diese Anforderungen nicht ignoriert werden müssen.

Entwurfskriterien

Die Prozedur der Durchführung einer demokratischen Wahl wird durch Sensus in vier grundlegende Schritte unterteilt:

• Registration
  Die Registration beinhaltet die Aufgabe der Erstellung von Listen mit den zu einer Wahl berechtigten Personen.
  
• Validation
  In diesem Schritt werden die Unterlagen, mit denen sich eine Person zu einer Wahl anmeldet, überprüft und es werden nur die Personen zum Wahlvorgang zugelassen, die hierfür die Berechtigung besitzen und an dieser noch nicht teilgenommen haben.
  
• Collection
  Beinhaltet das Sammeln der Stimmen.
  
• Tallying
  Beinhaltet das Zählen der Stimmen.
  

Cranor und Cytron stellen fest, dass diese Schritte korrekt ablaufen müssen, um Vertrauen in ein Wahlergebnis gewährleisten zu können und betrachten folgende Möglichkeiten des Eingriffs in einen korrekten Ablauf jeder dieser Schritte:

• Wahlorgane mit entsprechender Autorität könnten betrügen, indem sie nicht berechtigten Personen die Registration ermöglichen, registrierten Personen die Abgabe von mehr als einer Stimme ermöglichen oder Stimmzettel falsch zählen bzw. ungültig machen.
  
• Nicht berechtigte Personen könnten sich unter falschem Namen registrieren lassen bzw. berechtigte Personen unter mehreren gleichzeitig.
  
• Wähler könnten sich zur Abgabe einer Wahl unter falschem Namen vorstellen
  
• Wahlurnen, Stimmzettel und Maschinen zur Stimmauswertung könnten manipuliert werden.
  

In [Cranor/Cytron_1996] wird bemerkt, dass die traditionellen Mechanismen zum Schutz vor solchen Angriffen auf ein Wahlsystem (beispielsweise die Anwesenheit von Beobachtern aller beteiligten Parteien oder gegenseitige Kontrolle der Wahlorgane) nicht ausreichen, um den Schutzzielen für ein computerbasiertes Wahlsystem gerecht werden zu können.

Um die vorgestellten vier Schritte auf elektronischem Wege realisieren zu können, ohne dass der Geheimnischarakter einer Wahl eingeschränkt wird oder andere Möglichkeiten der Manipulation gegeben sind, wurden als Grundlage von Sensus, basierend auf verschiedenen Arbeiten zum Themengebiet von Qualitätsanforderungen für demokratische Wahlsysteme, vier Grundanforderungen und drei erweiterte Merkmale als Grundlage für die Entwurfskriterien des Systems definiert.

Diese Qualitätsanforderungen sollen im Folgenden auch eine der Grundlagen für das Konzept eines computerbasierten Wahlsystems der Bundesrepublik Deutschland darstellen:

• Grundanforderungen:
• Accuracy (accurate - genau,exakt)
  Ein Wahlsystem ermöglicht eine exakte Wahl, wenn (1) eine Wahl nicht verändert werden kann, (2) alle gültigen Stimmen gezählt werden und (3) ungültige Stimmen nicht gezählt werden.
  
• Democracy (democratic - demokratisch)
  Ein Wahlsystem ermöglicht eine demokratische Wahl, wenn (1) nur Personen mit der Berechtigung zum Wählen ihre Stimme abgeben können und (2) kein Wähler für eine Wahl mehrfach wählen kann.
  
• Privacy (private - vertraulich, geheim)
  Ein Wahlsystem ermöglicht eine geheime Wahl, wenn (1) keine Person eine Verbindung zwischen einer abgegebenen Stimme und dem Wähler ziehen kann und (2) der Wähler zum Zeitpunkt der Stimmenabgabe nicht bzgl. seiner Wahlentscheidung beeinflusst werden kann.
  
• Verifiability (verifiable - überprüfbar, verifizierbar)
  Ein Wahlsystem ermöglicht eine überprüfbare Wahl, wenn jeder Wähler nachprüfen kann, ob seine Stimme korrekt gezählt wurde.
  
• Erweiterte Anforderungen:

Diese Anforderungen betreffen im Wesentlichen die Aspekte der Akzeptanz durch die Wähler und beziehen sich daher in Bezug auf das Konzept unseres computerbasierten Wahlsystems auf entsprechende Anforderungen an die Realisierung der „CWS Wahlkabine“.
• Convenience (convenient - bequem, angenehm: benutzerfreundlich)
  Ein Wahlsystem ist benutzerfreundlich, wenn es den Wählern ermöglicht, ihre Stimmenabgabe schnell, in einem Durchgang und mit minimalem Aufwand bzw. ohne besonderen Befähigungen durchführen zu können.
  
• Flexibility (flexible - flexibel, anpassungsfähig)
  Ein Wahlsystem ist flexibel, wenn es verschiedene Formate von Wahlzetteln zulässt und keine Einschränkungen in Bezug auf die möglichen Fragestellungen definiert.
  
• Mobility (mobile - mobil, beweglich)
  Ein Wahlsystem ist mobil, wenn es keine Einschränkungen in Bezug auf den Ort definiert, von dem aus ein Wähler seine Stimme abgeben kann.
  

Das Sensus-Wahlprotokoll

Sensus wurde als modulares System entworfen. Das Wahlprotokoll von Sensus erfordert zumindest die Existenz eines Wähler-Überprüfungs-, eines Wahl-Abgabe- und eines Wahl-Auswertungs-Moduls (die englischen Originalbegriffe für diese Module lauten Validator, Pollster und Tallier. Die von uns gewählten Übersetzungsbegriffe beziehen sich auf die Funktionsbereiche dieser Module). Weitere Module können das Sensus-System erweitern. Die Verantwortungsbereiche der Hauptmodule beinhalten die Realisierung der unter den Entwurfskriterien vorgestellten vier Hauptschritte ( Registration, Validation, Collection und Tallying), mit Ausnahme des Registrierungsschrittes (dieser könnte durch entsprechende Wahlorgane bzw. durch ein ergänzendes Modul durchgeführt werden).

Das Sensus-Protokoll ist eng an ein Verfahren von Fujioka, Okamato und Ohta [Fujioka/Okamoto/Ohta_1993] angelehnt, das sogenannte Blind Signatures verwendet, um den Sicherheitsanforderungen gerecht werden zu können. Sensus verwendet Blind Signatures, um die Kriterien Privacy und Democracy zu realisieren. Das Verfahren der Blind Signatures (zuerst wurde dieses Verfahren in [Chaum_1982] vorgestellt) ermöglicht das Signieren von Dokumenten, ohne dessen Inhalt „aufzudecken“. Vergleichen kann man diesen Vorgang mit der Verwendung von Kohlepapier in einem Umschlag, den man von außen unterschreibt. Dadurch würde die Unterschrift auch auf das Dokument in dem Umschlag übertragen werden, ohne dass man das Dokument sehen könnte. Auch wenn man anschließend die Unterschrift vom Umschlag entfernen würde, bliebe die Unterschrift auf dem Dokument erhalten.

Der Ablauf des Protokolls basiert auf der Verwendung der in den USA über die RSA Data Security Inc. frei verfügbaren RSAREF-Bibliothek für die Implementierung der Verschlüsselung und lässt sich wie folgt skizzieren:

• Der Wähler wird aufgefordert einen Stimmzettel auszufüllen, diesen mit einem „Secret-Key“ zu verschlüsseln, mit einer „Blind-Signature“ und anschließend mit seiner digitalen Signatur zu versehen. Anschließend wird dieser „Wahlbrief“ zum Wähler-Überprüfungs-Modul gesendet.
  
• Das Wähler-Überprüfungs-Modul überprüft die digitale Unterschrift und den damit verbundenen Wähler in Bezug auf zwei Kriterien:

1. Ist der Wähler zu dieser Wahl registriert?

2. Falls ja, hat der Wähler noch nicht gewählt?

Wenn diese Überprüfung erfolgreich war, wird die Tätigung der Wahl für diesen Wähler vermerkt und der „Wahlbrief“ wird vom Wähler-Überprüfungs-Modul mit dessen digitaler Unterschrift versehen und zurück zum Sender (Wähler) geschickt.


• Der Wähler entfernt die Kennzeichnung der „Blind-Signature“ und erhält somit den verschlüsselten Wahlzettel, der vom Wähler-Überprüfungs-Modul unterschrieben ist. Diesen „anonymisierten“ und verschlüsselten Wahlzettel sendet der Wähler anschließend dem Wahl-Auswertungs-Modul.
  
• Das Wahl-Auswertungs-Modul überprüft die digitale Signatur auf ihre Gültigkeit und fügt bei positivem Ergebnis den verschlüsselten Wahlzettel einer Liste für die Veröffentlichung nach Ablauf des Wahltermins hinzu. Anschließend erzeugt das Wahl-Auswertungs-Modul seine digitale Signatur unter dem verschlüsselten Wahlzettel und sendet diesen dann zum Sender (Wähler) zurück.
  
• Daraufhin sendet der Wähler dem Wahl-Auswertungs-Modul den Schlüssel zur Entschlüsselung des Wahlzettels.
  
• Das Wahl-Auswertungs-Modul dechiffriert den Wahlzettel mit dem empfangenen Schlüssel und fügt den resultierenden Inhalt des Wahlzettels dem Wahlergebnis hinzu.
  

Bei einer bewertenden Betrachtung des Sensus-Wahlprotokolls fällt auf, dass an den Wähler recht hohe Anforderungen in Bezug auf dessen technisches Verständnis gestellt werden. Der Wähler nimmt in diesem Protokoll eine zentrale Rolle ein und hat hierdurch für die Durchführung einer komplexen Reihe von Transaktionen zu sorgen. Selbst wenn das Wahl-Abgabe-Modul dem Wähler die Steuerung der Verschlüsselungsprozesse abnehmen würde, ist nicht geregelt, wie ein technisch unversierter Wähler die Verwendung seines persönlichen asymmetrischen Schlüsselpaares tätigen können sollte. Die Zielgruppe des Sensus-Systems beschränkt sich somit auf technisch erfahrene Benutzer, die im Umgang mit Sicherheitsverfahren im Internet geübt sind und über einen eigenen privaten Zugang zum Internet verfügen.

Doch gerade bei der Zielsetzung eines Wahlsystems auf gesellschaftlich breiter Ebene müssen die Probleme in Bezug auf die Anwendbarkeit durch den Wähler ebenso hinreichend gelöst werden können wie die in Zusammenhang mit der Sicherstellung der Schutzziele.

Erschwerend kommt hinzu, dass das Sensus-Wahlprotokoll einen zentralistischen architekturellen Ansatz wählt, in dem es genau eine Überprüfungs- und genau eine Auswertungs-Instanz gibt, wodurch neben dem damit verbundenen hohen Rechenaufwand für diese Entitäten eine hohe Machtkonzentration in diesen geschaffen wird. Ein erfolgreicher Angriff auf das System in einer dieser Institutionen hätte daher absolut fatale Auswirkungen auf das Ergebnis der gesamten Wahl. Zusätzlich ist das Wähler-Überprüfungs-Modul theoretisch in der Lage, für alle Wähler, die keine „Stimme abgeben“, einen Wahlbrief zu erzeugen und diesen dem Wahl-Auswertungs-Modul zu schicken. Da das Wahl-Auswertungs-Modul anonymisierte Wahlbriefe erhält und keinerlei Informationen besitzt, um trotzdem die Korrektheit der Wahlbriefe zu überprüfen, würde er diese Wahlbriefe zwangsweise mit in die Berechnung des Endergebnisses einbeziehen. In der folgenden Abbildung ist das Protokoll noch einmal mit den verwendeten Sicherheitsverfahren zusammengefasst (Quelle:http://www.ccrc.wustl.edu/~lorracks/sensus/):