-
Technisches Gebiet
-
Für die Legitimation
und die Durchführung von
Entscheidungsprozessen bei Gruppen von Menschen, die nicht durch
Richtlinien oder Gesetzte festgeschrieben sind, gibt es zwei grundsätzlich verschiedene
Verfahren. Das eine Verfahren beinhaltet die Bestimmung eines oder
mehrerer Repräsentanten
bzw. 'Abgeordneter' der Gruppe, die
legitimiert sind, Entscheidungen zu treffen. Das andere Verfahren
beinhaltet die direkte Konsensfindung durch die Gruppenmitglieder,
z. B. durch eine Abstimmung.
-
Beide
Verfahren haben jeweils Vor- und Nachteile. So ist eine direkte
Konsensfindung durch die Gruppenmitglieder bei grossen Gruppen oft
sehr aufwändig
und nur schwer durchführbar.
Auch bei kleinen Gruppengrössen
ist in dem Fall, dass sehr viele Entscheidungen getroffen werden
müssen,
der Aufwand einer direkten Konsensfindung sehr gross. Ferner erfordern
Entscheidungen oft ein spezielles Fachwissen, das nicht von allen
Mitgliedern gleichermassen erworben werden kann. Ein weiterer Nachteil,
der gegen eine direkte Konsensfindung spricht, tritt in den Fällen auf,
in denen Entscheidungen sehr schnell getroffen werden müssen und
wo die Entscheidungen selbst zunächst
geheim sind, wie es z. B. bei militärischen Entscheidungen der
Fall sein kann.
-
Die
Bestimmung von Entscheidungsträgern bzw.
Repräsentanten
der Gruppe ist eine Möglichkeit,
den Nachteilen der direkten Konsensfindung zu begegnen. Es gibt
jedoch auch wesentliche Nachteile bei der Entscheidungsfindung durch
Repräsentanten.
Eine Gruppe von Repräsentanten
ist anfälliger gegenüber Ausfällen, z.
B. durch Krankheit oder Tod. Ferner ist eine Gruppe von Repräsentanten
in der Regel leichter beeinflussbar von aussen, z. B. durch Bestechung
oder Erpressung, als es die gesamte Gruppe ist. Ein weiteres Problem
ist die Frage, inwieweit die Repräsentanten der Gruppe den Wunsch
der einzelnen Gruppenmit glieder repräsentieren und durchführen. Um
zu erreichen, dass die Entscheidungsträger die Positionen der Gruppenmitglieder vertreten,
wird z. B. in modernen Demokratien eine Wahl von Entscheidungsträgern durchgeführt. Dieses
Verfahren stellt gewisserweise eine 'Mittellösung' dar zwischen einer direkten Konsensfindung
durch die Gruppe und einer Entscheidungsfindung durch Repräsentanten:
Die Repräsentanten
sind in diesem Modell abhängig
von den Mitgliedern der Gruppe, von denen sie z. B. für eine bestimmte
Zeitdauer gewählt
werden. Auch dieses Verfahren stellt oftmals keine optimale Lösung dar.
Einerseits liegt dies an der grundsätzlichen Anfälligkeit
der Repräsentanten für Ausfälle bzw.
Beeinflussung.
-
Ferner
ist zum Zeitpunkt der Wahl oft noch gar nicht bekannt, welche Entscheidungen
in der Zukunft anstehen, für
welche Entscheidungen der Repräsentant
letztendlich gewählt
wird. Darüberhinaus kann
der Repräsentant
selbst bei Entscheidungen, die bereits zum Wahlzeitpunkt anstehen,
dem Wähler seine
zu erwartenden Entscheidungen kaum konkret bekanntgeben, weil das
oftmals zu komplex wäre
und darüberhinaus
Arbeits- bzw. Recherche-Prozesse erfordert, die erst in der Rolle
(und mit den dann zur Verfügung
stehenden Mitteln) des Entscheidungsträgers durchgeführt werden
können.
-
Ein
wesentlicher kritischer Aspekt bei der der Wahl von Repräsentanten,
ist die Übernahme
einer grösseren
Menge von Entscheidungen durch den Repräsentanten. Das Problem ist
dabei, dass durch die Vielfalt der dem Repräsentanten zu übertragenen Entscheidungsbefugnis
die Möglichkeit
eines Zwiespaltes für
den Wähler
entstehen kann. Auch wenn er einige zu erwartende Entscheidungen
der Repräsentanten
befürwortet,
muss er mit anderen nicht einverstanden sein. Da es bei der Übernahme
einer grösseren
Anzahl von Entscheidungen durch den Repräsentanten so für den Wähler zu
Konflikten kommen kann, muss er paradoxerweise einen Repräsentanten
entgegen seiner eigenen Überzeugung
wählen. So
kann sich der Wähler
z. B. für
ein bestimmtes Steuerkonzept einer Partei entscheiden, obwohl er gegen
die Haltung derselben Partei zum Bau neuer Atomkraftwerke ist. Dieses
Paradoxon ist eine wesentlicher Nachteil, der gegen die Wahl von
Entscheidungsträgern
spricht und für
die Durchführung
einer direkten Konsensfindung durch die Gruppe, zumindest bei wesentlichen
Entscheidungen. Thematisch unabängige
Entscheidungen können
praktisch nur dann im Sinne einer Gruppe durchgeführt werden, wenn
entweder die Entscheidungsträger
speziell für die
einzelnen Themengebiete (also Zusammenfassungen gleichartiger Entscheidungen)
gewählt
werden, oder wenn die Entscheidungen direkt durch die Gruppe getroffen werden.
Beide Möglichkeiten
erfordern jedoch eine sehr viel umfassendere direkte oder indirekte
Beteiligung von Gruppenmitgliedern, als es z. B. in modernen Demokratien
der Fall und bei dem aktuellen Stand der Technik möglich ist.
Das im folgenden beschriebene technische Verfahren und System dient
dazu, Entscheidungsprozesse von Gruppen auf Basis von Abstimmungen
wesentlich zu vereinfachen. Dadurch können nicht nur bisherige Wahlverfahren
wesentlich vereinfacht und verbilligt werden, es können zukünftige neue
Entscheidungsverfahren ermöglicht
werden, bei denen ein Wähler
z. B. fall- oder themen- und nicht mehr personen- oder parteispezifisch
entscheidet.
-
Stand der Technik
-
Politische
Wahlen werden in vielen Ländern durch
die anonyme Abgabe von Stimmzetteln durchgeführt. Der Wähler legt den Stimmzettel bei
der (unbeobachteten) Wahl in eine Box. Dadurch, dass die Box viele
Stimmzettel enthählt,
kann ein bestimmter Stimmzettel keinem Wähler zugeordnet werden, wodurch
die Anonymität
der Wahl gewährleistet
ist. Die Stimmzettel werden am Ende der Wahl, meist nach der Abgabe
aller Stimmzettel, ausgezählt.
in einigen Ländern
werden Wahlcomputer eingesetzt. Es handelt sich dabei um Maschinen,
die die Wahlentscheidung eines Wählers
elektronisch entgegennehmen. Der Vorteil hierbei ist, dass die Stimmen
einfacher und zuverlässiger
ausgezählt
werden können.
Eine Wahlmanipulation durch eine falsche Auszählung von Stimmzetteln ist
durch Wahlmaschinen erschwert.
-
In
anderen Bereichen werden vielfach sehr verschiedene Methoden verwendet,
um Entscheidungen in Gruppen herbeizuführen bzw. über Dinge abzustimmen. Bei
der Bewertung der Zuverlässigkeit von
Handelspartnern oder Produkten im Internet ist es z. B. üblich, dass
einzelne Nutzer eine Bewertung online abgeben können. So kann z. B. der Käufer eines
Produktes bei der Ebay Handelsplattform nach Liefung eines bestellten
Produktes eine Bewertung des Verkäufers abgeben (und umgekehrt).
Die Summe dieser Bewertungen wird einem neuen potentiellen Kunden
angezeigt und er kann auf dieser Basis eine Entscheidung darüber treffen,
ob er dem dem Verkäufer
vertraut und ihm ein Produkt abkauft.
-
Beide
oben beschriebenen Verfahren, das Abgeben von Stimmzetteln und das
Abgeben einer 'Stimme' bzw. Bewertung im
Internet haben sehr unterschiedliche Eigenschaften in Hinblick auf
den Aufwand für
den Wähler,
die Verarbeitung und Auswertung der Stimmen und die Sicherheit bzw.
Zuverlässigkeit
und Vertrauenswürdigkeit
der Ergebnisse. Das Abgeben einer Stimme im Internet lässt sich
mit einem sehr geringen Aufwand in sehr kurzer Zeit mittels einiger
Mouse-Clicks und eventuell kurzer Texteingaben bewerkstelligen.
Allerdings sind diese Online Verfahren den Risiken ausgesetzt, die
eine Datenübermittlung
und Speicherung im Internet hat. Server können 'gehackt' und Daten manipuliert werden, die Verbindung
zwischen Client und Server kann abgehört und eventuell Daten verändert werden.
Ferner kann der Computer des Clients durch Viren, Trojaner o. ä. beeinflusst
werden. Darüberhinaus
ist diese Form der Wahl in der Regel nicht anonym. Einerseits geben
viele Systeme direkt die Email-Adresse oder URL desjenigen an, der
die Stimme abgegeben hat. Andererseits lassen sich Verbindungen
im Internet zurückverfolgen
bzw. protokollieren, sodass zumindest die Gefahr besteht, dass der
Rechner (und eventuell der User-Account), von dem eine Stimme abgegeben
wurde, bekannt ist. Dagegen erscheint das herkömmliche Verfahren, das bei
politischen Wahlen angewandt wird, sehr sicher zu sein. Selbst wenn
es stellenweise zu Wahlmanipulationen kommt, so wird vermutet, dass
diese Effekte durch die grosse Anzahl von Wahlurnen und Menschen,
die die Stimmzettel auszählen,
nicht ins Gewicht fallen. Der Stimmzettel wird in der Regel aufbewahrt
und Stimmen können
bei Verdacht neu ausgezählt
werden. Die Anonymität
ist ebenfalls gewährleistet.
-
Mängel
der bekannten Ausführungen
-
Das 'herkömmliche' Wahlverfahren, Stimmzettel
in Papierform abzugeben, ist bekannterweise sehr energie- und zeitaufwändig. Bei
politischen Wahlen ist es oftmals so, dass sich Millionen von Menschen
in einem kurzen Zeit-Intervall zu bestimmten Stellen begeben müssen, um
die Wahl durchzuführen.
Das Auszählen
von Stimmen ist ebenfalls mühsam
und zeitaufwändig,
da es in der Regel manuell durchgeführt werden muss; es kann jedoch durch
den Einsatz von Wahlcomputern vereinfacht und beschleunigt werden.
Das herkömmliche
Wahlverfahren ist nicht vollständig
sicher. Es kann zu Manipulationen von Stimmen und Wahlcomputern
kommen und zu Verfälschungen
bei der Auszählung.
-
Ein
wesentlicher Nachteil 'herkömmlicher' Wahlverfahren, der
zur Unsicherheit und Manipulierbarkeit der Verfahren beiträgt, ist
eine mangelnde Kontrolle durch einen Nutzer. Nachdem eine Stimme bei
dem herkömmlichen
Stimmzettelverfahren abgegeben wurde, kann ein Wähler nicht mehr kontrollieren,
ob die Stimme richtig ausgezählt
wird. Der weitere Verlauf der Stimme ist für einen Nutzer nicht mehr nachvollziehbar
bzw. kontrollierbar. Die Entstehung des Wahlergebnisses ist somit
bei herkömmlichen
Verfahren für
einen Wähler
kaum transparent. Darunter kann die Glaubwürdigkeit eines Wahlergebnisses
unter Umständen
leiden. Wahlverfälschungen (insbesondere
die nachträgliche
Fälschung
der eigenen Stimme) sind für
einen Wähler
nicht aufzudecken.
-
Das
Verfahren einer Stimmabgabe im Internet ist zwar sehr wenig aufwändig und
schnell, die Ergebnisse können
einfach zusammengeführt
und weiter verarbeitet werden. Das Online-Verfahren ist jedoch, wir oben beschrieben,
manipulierbar und keinesfalls anonym. Dadurch ist das Online-verfahren bei
sehr bedeutsamen Prozessen, wie z. B. politischen Wahlen noch nicht
anwendbar.
-
Aufgabe (technisches Problem)
-
Ziel
ist es, ein Wahl bzw. Konsensfindungsverfahren zu entwickeln, das
von den Stimmberechtigten einfach und ohne grossen Material- und
Zeitaufwand durchgeführt
werden kann. Die Kosten der Wahlverfahrens sollten minimiert werden,
sowohl für den
Stimmberechtigten als auch die Kosten für die Organisatoren der Wahl
bzw. Konsensfindung. Die Wahl bzw. Konsensfindung sollte einfach
zu organisieren und ohne grossen Aufwand durchführbar sein. Entscheidend ist
der Aspekt der Zuverlässigkeit
und Glaubwürdigkeit
des Wahl- bzw. Abstimmungsergebnisses. Die Wahl sollte sicher sein,
d. h. dass eine Stimme richtig ausgezählt wird und korrekt in das Wahlergebnis
eingeht.
-
Im
Falle einer elektronischen Durchführung der Wahl sollte das Wahlergebnis
dabei stabil gegenüber
Manipulation auf der Client-Seite, gegenüber Manipulationen in der Verbindung
zwischen Client und Server und gegenüber Manipulationen auf der Server-Seite
sein.
-
Ebenfalls
sollte die Möglichkeit
einer anonymen Wahl gewährleistet
sein.
-
Ein
wesentlicher neuer Aspekt gegenüber bisherigen
Wahlverfahren, der zur Sicherheit und Glaubwürdigkeit des Wahlergebnisses
beiträgt,
ist die Nachprüfbarkeit
des Verbleibs einer einzelnen Stimme durch den Nutzer selbst. In
dem im Folgenden beschriebenen System hat ein Nutzer die Möglichkeit,
den Verbleib seiner eigenen Stimme im gesamten Wahlergebnis zu überprüfen. Dadurch
kann der Wähler
sicher sein (bzw. nachprüfen),
dass seine eigene Stimme richtig ausgezählt wurde.
-
Neben
der Anonymität
der Wahl, der Sicherheit und der einfachen Durchführbarkeit
ist ferner zu gewährleisten,
dass Stimmen nicht zu früh
ausgezählt
werden. Das Zusammenzählen
der Stimmen sollte in der Regel erst zu einem bestimmten, vorher vereinbarten
Stich-Zeitpunkt
erfolgen.
-
Das
hier beschriebene Wahl- bzw. Konsensfindungsverfahren vereinfacht
und verbilligt Abstimmungen durch Gruppen wesentlich und macht sie
zusätzlich
so transparent, dass ein Wähler
das Ergebnis einer Wahl nicht mehr anzweifeln muss (bzw. kann).
Durch eine Vereinfachung des Wahlprozesses werden dadurch insbesondere
fall- und themen-basierte Entscheidungsfindungen durch Gruppen ermöglicht,
die vorher nicht zu realisieren waren.
-
Lösung
des Problems
-
Bei
dem im Folgenden beschriebenen Verfahren bzw. System wird die Abstimmung
bzw. Wahl zu einem grossen Anteil elektronisch durchgeführt. Gegenüber herkömmlichen
Wahl- bzw. Bewertungsverfahren
im Internet wird das System in ein Sicherheitssystem eingebettet,
das eine anonyme, sichere und für
einen Nutzer nachprüfbare
Wahl ermöglicht, bei
der zusätzlich
die Integrität
des Wahlergebnisses am Ende der Wahl ermittelt werden kann.
-
Voraussetzungen für Abstimmungsberechtigten
-
Es
wird bei dem System davon ausgegangen, dass jeder Wahl- bzw. Abstimmungsberechtige gemäss Anspruch
8 einen Code besitzt, z. B. in Form einer oder mehrerer Zeichenketten,
die im Idealfall nur ihm selbst bekannt bzw. zugänglich sind. Vergleichbare 'Zugangsberechtigungen' sind bei Computersystemen
seit langem bekannt, z. B. für
die Zugangssicherung bei Computern. Bei bekannten Systemen kann
dabei in der Regel einfach aus den Zugangsdaten (z. B. einem Login-String)
der zugehörige
Nutzer ermittelt werden, weil personenbezogene Daten zusammen mit
den Login-Daten gespeichert werden.
-
Im
Gegensatz dazu müssen
bei dem vorgestellten System die Zugangsdaten gemäss Anspruch 10
unabhängig
von personenbezogenen Daten (d. h. anonym) gespeichert bzw. zugänglich gemacht
werden. Es darf lediglich gespeichert werden, dass eine bestimmte
abstimmungsberechtigte Person Zugangsdaten erhalten hat.
-
Technisch
realisiert werden kann dieses z. B. gemäss Anspruch 11 dadurch, dass
die Zugangscodes von aussen unkenntlich gemacht (z. B. in Form gefalteter
Zettel oder verschlossener Briefe) und in Boxen gebracht werden.
Ein Abstimmungsberechtigter kann sie dann zu bestimmten Gelegenheiten
aus einer Box ziehen, ohne dass andere erfahren, welchen konkreten
Code er gezogen hat. Dabei wird (nach einer Ausweiskontrolle) notiert,
dass ein Abstimmungsberechtigter einen Code gezogen hat.
-
Es
ist ebenfalls denkbar, dass Zugangscodes (ähnlich wie Pin und Tan-Daten
beim Online-Banking)
gemäss
Anspruch 12 per Brief verschickt werde. In diesem Fall ist dabei
jedoch sicherzustellen, dass die betreffenden Zugangscodes 'anonym eingetütet' werden. Dieses kann
z. B. dadurch realisiert werden, dass Zugangscodes auf gefaltetem und
von aussen nicht lesbarem Papier notiert sind, gemischt werden und
anschliessend in Briefe eingetütet
werden. Da dieser Prozess sehr wichtig für die Anonymität einer
Wahl ist, sollte dieser Prozess von der 'Öffentlichkeit' kontrolliert werden
können,
z. B. durch Zulassen von Zuschauern. Im Folgenden wird davon ausgegangen,
dass eine abstimmungsberechtigte Person Zugangsdaten besitzt. Die
Organisatoren der Wahl wissen, dass die Person Zugangsdaten besitzt.
Die Organisatoren kennen alle verteilten Zugangsdaten bzw. haben
Zugriff darauf und können die
Zugangsberechtigung dadurch während
der Abstimmung jeweils prüfen.
Die Organisatoren wissen allerdings nicht, welche abstimmungsberechtigte Person
welche Zugangsdaten hat.
-
Aufbau des Systems, Architektur
-
Das
hier vorgestellte Abstimmungssystem besteht gemäss Anspruch 2, 3, 6 bzw. 31
aus mehreren Client- und einer oder mehreren Server-Einheiten. Client-Einheiten
sind verschiedene Systeme, mit denen ein Abstimmungsberechtigter über verschiedene
Kanäle
Zugang zu einer Server-Einheit bekommen kann. Client-Einheiten können z.
B. Computer sein mit Internet- Zugang,
spezielle Wahlcomputer oder auch (eventuell mobile) Telefone. Über die
verschiedenen Kanäle
bzw. Verbindungen, wie z. B. das Internet, spezielle Standleitungen
oder das Telefonnetz kann ein Abstimmungsberechtigter mittels einer Client-Einheit
Kontakt zu einer Server-Einheit aufbauen. Server-Einheiten sind
spezielle Computer, die Anfragen bzw. Aufträge entgegennehmen, speichern und
gegebenenfalls weiterleiten. Eventuell können den Server-Computern dabei
gemäss
Anspruch 3 menschliche Bearbeiter vorgeschaltet werden, die z. B.
Aufträge
per Telefon entgegennehmen und daraufhin die entsprechenden Einträge zu Server-Rechnern übermitteln.
Die abgegebene Stimme, die ein Nutzer z. B. mittels eines Web-Interfaces überträgt, wird
im Folgenden als 'elektronischer
Stimmzettel' bezeichnet.
Der elektronische Stimmzettel enthält in digitaler Form als Inhalt
die (Wahl-)Entscheidung des Abstimmungsberechtigten.
-
1 zeigt
den strukturellen Aufbau des Systems. Links sind verschiedene Client-Einheiten dargestellt.
Abstimmungsberechtigte verbinden sich damit zu einer der Server-Einheiten auf der
rechten Seite der 1, um ihre Stimme abzugeben
bzw. zu kontrollieren. Im Beispiel in 1 gibt es
zwei Server-Einheiten. Im Beispiel gibt es auf den Server-Einheiten
gemäss
Anspruch 14 ein Repository, wo die Zugangscodes gespeichert sind
('Zugangscodes' in 1).
So kann ein Server Zugangsberechtigungen überprüfen. In einer Datenbasis werden
gemäss
Anspruch 15 abgegebene 'elektronische
Simmzettel' gespeichert,
die von Client-Einheiten übermittelt
wurden ('Datenbasis' in 1).
Auf den Server-Einheiten gibt es im wesentlichen zwei Programme,
die jeweils für
die Kommunikation mit den Client-Einheiten und für die Kommunikation mit anderen
Server-Einheiten zuständig
sind ('Client-Komm-Modul' und 'Server-Komm-Modul' in 1).
-
Im
beschriebenen System ist an mehreren Stellen eine Überprüfung des
(eventuell verschlüsselten)
Stimmzettels durch einen Nutzer (Wähler) erforderlich. Das kann
in gewissen Phasen nicht nur durch Einloggen des Clients bzw. Nutzers
auf einen der Server-Rechner realisiert werden, sondern, wie im
Folgenden dargestellt, auch gemäss
Anspruch 20 durch Anwendung eines Broadcasting-Modells, z. B. über das
Internet oder Fernsehen (1). Es werden dabei alle, bzw.
eine grössere
Menge (eventuell verschlüsselter)
Stimmzettel veröffentlicht.
Ein einzelner Wähler
muss seine Stimme in der Menge der veröffentlichten Stimmen lokalisieren
können
und kann den Eintrag so überprüfen.
-
Ablauf einer Abstimmung in der grundlegenden
Ausführung
-
Prozeß der
Abstimmung aus der Sicht eines Abstimmungsberechtigten
-
Um
abzustimmen muss sich ein Abstimmungsberechtigter zunächst gemäss Anspruch
16 Zugang zu einer Client-Einheit, z. B. einem Computer mit Internetzugang,
verschaffen. Mit dem Clientrechner verbindet sich der Abstimmungsberechtigte
mit einem der Server-Rechner. Anhand seiner anonymen Zugangsdaten
erhält
ein Nutzer vom Clientrechner aus Zugang zu einem Programm auf dem
Serverrechner, das ihm seine Stimmabgabe ermöglicht. Dieses kann z. B. gemäss Anspruch
5 über
ein einfaches Webinterface bzw. Web-Formular realisiert sein, das
vom Server-Rechner auf den Client-Rechner geladen und in einem Web-Browser
angezeigt wird. Die eingegebenen Daten (d. h. die Zugangsdaten des
Abstimmungsberechtigten und später
der 'ausgefüllte' Stimmzettel) werden über das
Netzwerk (z. B. das Internet) zum Server geschickt und dort von
einem Server-Programm angenommen und weiterverarbeitet.
-
Ein
Clientzugang sollte gemäss
Anspruch 3 auch über
andere Kanäle,
wie z. B. (mobile) Telefone möglich
sein. In diesem Fall können
die Daten vom Client z. B. von einem Sprachcomputer (d. h. von einem
Programm das Spracheingaben elektronisch auswertet, wie beim Telefon-Banking)
oder durch menschliche Bearbeiter angenommen werden und an das (die)
Server-Systeme weitergeleitet werden.
-
Prozeß der
Abstimmung aus der Sicht einer Server-Einheit
-
Um
die Zugangsberechtigung eines Abstimmungsberechtigten prüfen zu können, speichert
jeder Server-Rechner gemäss
Anspruch 14 die Zugangsdaten bzw. hat auf die Zugangsdaten Zugriff und
kann sie somit mit den Zugangsdaten, die er von der Client-Einheit
bekommt, vergleichen.
-
Zeitlicher Ablauf des Wahlprozesses
-
Der
grobe zeitliche Ablauf des Wahlprozesses ist dabei gemäss Anspruch
16 so, dass es zunächst
eine festgelegte Zeitperiode gibt, wo Stimmabgaben möglich sind
und die Server- Rechner
von den Client-Einheiten aus erreicht werden können. Anschliessend werden
die Wahlergebnisse (elektronisch) zusammengetragen, ausgewertet
und bekanntgegeben.
-
Absicherung des Wahlprozesses, Realisierung
von Kontrollfunktionen
-
Das
oben beschriebene Verfahren birgt offenbar viele Risiken und Manipulationsmöglichkeiten. Manipulationen
in der Verbindung zwischen Client-Einheit und Server-Rechner können dabei
gemäss
Anspruch 17 einfach und effizient durch Verwendung bekannter verschlüsselter
Verbindungen (z. B. SSL, HTTPS) vermieden werden. Relevante Angriffspunkte
sind im Wesentlichen die Client-Einheiten und der bzw. die Server-Rechner.
-
Vermeidung von Manipulationen einer Client-Einheit
-
Die
Wahl bzw. Abstimmung soll dadurch dem Abstimmungsberechtigten erleichtert
werden, dass er sie gemäss
Anspruch 6 von einer beliebigen Client-Einheit, also z. B. von einen
beliebigen Rechner mit Internetanschluss oder von einem Handy aus durchführen kann.
Obwohl diese Geräte,
z. B. durch Virenscanner-Software, gemäss Anspruch 4 so gut wie möglich gegen
Manipulationen von aussen abgesichert sein sollten, ist es durch
die Vielfalt der infragekommenden Client-Einheiten fast unmöglich, Manipulationen,
z. B. durch 'Trojaner'-Programme o. ä., hundert-prozentig zu vermeiden.
Der wesentliche Ansatz bei dem hier vorgestellten System, Manipulationen
dieser Art zu vermeiden, ist gemäss
Anspruch 18, 19 und 20 durch die Möglichkeit gegeben, eine Stimmabgabe
zu überprüfen, d.
h. die Version, die auf dem (bzw. einem) Server liegt zu kontrollieren und
die Stimme gegebenenfalls gemäss
Anspruch 21 zu entwerten. Ein Abstimmungsberechtigter kann über verschiedene
Client-Einheiten
mittels seiner Zugangsberechtigung zu einer Server-Einheit Kontakt aufnehmen.
Er sollte nach der Stimmenabgabe möglichst eine andere Client-Einheit
(d. h. z. B. einen anderen Computer oder das Telefon) verwenden,
um die abgegebene Stimme zu überprüfen. Wenn
eine Stimme, wie unten beschrieben, zunächst verschlüsselt vorliegt,
kann eine Veröffentlichung
der Stimmen auch 'öffentlich' nach dem Broadcasting-Modell
erfolgen', z. B. über TV oder
das Internet (1). Im letzteren Fall ist es
notwendig, dass ein Wähler seine
eigene Stimme, bzw. seinen (eventuell verschlüsselten) Stimmzettel, in der
Menge der veröffentlichten Stimmen
lokalisieren kann, z. B. mittels einer ihm zugeteilten 'Koordinate'. Es wird gemäss Anspruch
21 eine 'Einspruchsfrist' eingeführt, in
der der Abstimmungsberechtigte im Anschluss an die Abstimmungsphase
seine eigene Stimme kontrollieren und gegebenenfalls entwerten kann.
Diese Einspruchsfrist beginnt im Anschluss an den Abstimmungszeitraum
(2). In der Einspruchsfrist darf nicht mehr gewählt und
Stimmen nicht mehr modifiziert werden. Die abgegebenen Stimmen liegen
somit fest. Dadurch, dass die Stimme in diesem Zeitraum nicht mehr
verändert
werden darf, kann der Client sicher sein, dass eine Manipulation
der Stimme in diesem Zeitfenster von Client-Seite nicht mehr möglich ist. Hat
ein Abstimmungsberechtigter geprüft,
dass die eigene Stimme korrekt ist (d. h. korrekt auf dem Server
liegt), hat er die Gewähr,
dass seine Stimme auf allen Servern korrekt eingetragen und nicht
manipuliert wurde. Ein manipulierter Computer kann dabei jedoch
eine falsche 'Tatsache' vorspiegeln, dadurch dass
er dem Client eine falsche Stimme auf dem Server anzeigt. Eine Überprüfung der
Stimme mittels unterschiedlicher Clienteinheiten und Kanäle bietet Schutz
vor solch einer Täuschung.
-
Ein
Abstimmungsberechtigter kann, wie oben beschrieben, seine eigene
abgegebene Stimme kontrollieren. Er kann sie gegebenenfalls gemäss Anspruch
21 und 23 in der Einspruchsphase mit einer Markierung versehen,
dass die Stimme ungültig
sein soll, sofern er den Verdacht hat, dass eine Manipulation aufgetreten
ist. 2 zeigt die zeitliche Abfolge der verschiedenen
Phasen der Wahl. Im 'Abstimmungszeitraum' dürfen Abstimmungsberechtigte
abstimmen. In der 'Einspruchsfrist' dürfen Abstimmungsberechtigte
ihre abgegebene Stimme kontrollieren und eventuell ungültig machen.
Die Auszählung
beginnt erst, wenn der Anteil der ungültigen Stimmen bekannt ist.
Es kann dann gemäss
Anspruch 25 geprüft
werden, ob die ungültigen
Stimmen das Ergebnis der Wahl hätten
verändern
können. Wenn
dieses der Fall ist, sollte die Wahl eventuell erneut durchgeführt werden.
Wenn die ungültigen
Stimmen keinen Einfluss haben, kann das Wahlergebnis übernommen
werden.
-
Vermeidung von Manipulationen einer Server-Einheit
-
Zunächst kann
die Sicherheit und ein Schutz vor Manipulation der Server-Einheiten
gemäss
Anspruch 31 (graduell) durch erreicht werden, indem nicht ein, sondern
mehrere Server-Einheiten
verwendet werden. Es gibt bei einer Wahl meist verschiedene Interessengruppen.
-
Sinnvoll
wäre es,
die verschiedenen Servercomputer so zu verteilen, dass sie jeweils
nur für
Vertreter einer Interessengruppe zugänglich sind (z. B. ein Server-Rechner
bei Sozialdemokraten, ein Serverrechner bei Christdemokraten und
weitere Serverrechner bei anderen Institutionen). Der Abstimmungsberechtigte
kann sich dadurch einen Serverrechner bei einer Institution, der
er vertraut, aussuchen, um die Abstimmung durchzuführen. Eine
Manipulation der Stimme auf der Server-Seite ist dadurch sehr unwahrscheinlich,
da der Abstimmungsberechtigte sich den Server aussuchen kann, der
im Kontrollbereich z. B. seiner bevorzugten 'Partei' ist.
-
Es
sollten Inkonsistenzen vermieden werden, die z. B. dadurch entstehen
können,
dass ein Abstimmungsberechtigter verschiedene Stimmenvergaben bei
verschiedenen Servern durchführt.
Die Information, dass ein Abstimmungsberechtigter (d. h. der Inhaber
eines Zugangscodes) gewählt
hat, wird deshalb gemäss
Anspruch 32 auf die verschiedenen Server übertragen. In diesem Schritt
kann auch in einer Ausführung
des Systems das Abstimmungsergebnis, d. h. die elektronischen Stimmzettel
(eventuell verschlüsselt) übertragen
werden. Der Abstimmungsberechtigte kann dadurch bei verschiedenen Servern
nachprüfen,
dass seine Stimme richtig bei den Servern vorliegt und nicht manipuliert
wurde, was die Sicherheit vor Manipulationen zusätzlich erhöht.
-
Konsistenz-Prüfung der
Abstimmungsergebnisse auf Servern (Spätestens) in dem Moment, wo die
Einspruchsfrist beginnt, sollte gemäss Anspruch 35 und 36 auf allen
Servern die gleiche Datenbasis der abgegebenen elektronischen Stimmenzettel
bzw. durchgeführten
Abstimmungen vorliegen. Es ist also ein Konsistenztest erforderlich
und eine Möglichkeit, spätere Änderungen
an abgegebenen (elektronischen) Stimmzetteln nachzuweisen. Die besondere Situation
ist in diesem Szenario dabei, dass die einzelnen Server nicht unbedingt
kooperativ zusammenarbeiten, sondern sich möglicherweise gegenseitig 'misstrauen', da sie im Kontrollbereich
verschiedener Interessengruppen liegen. Die Aufgabe ist also die
Realisierung eines Synchronisationsmechanismus, der auch dann funktioniert,
wenn die Interessengruppen sich gegenseitig misstrauen bzw. gegeneinander
arbeiten.
-
Es
sollte (später)
nachprüfbar
sein, dass die Datenbasis (auf jedem einzelnen Server) nicht nachträglich (eventuell
in Anbetracht der dann vorliegenden Hochrechnungen) verändert wurde,
um Stimmen zu fälschen.
Wenn die Daten nachträglich
geändert wurden,
sollte diese Manipulation 'beweisbar' sein.
-
Der
Konsistenztest kann gemäss
Anspruch 36 fortlaufend während
des Abstimmungszeitraumes geschehen oder gemäss Anspruch 35 spätestens
in einer Konsistenzphase vor Beginn der Einspruchsfrist (Konsistenzphase
1 in 3). In dieser Konsistenzphase ist keine Abstimmung
mehr gestattet (bzw. möglich).
Die Konsistenzprüfung
kann dadurch erreicht werden, dass die Server die Datenbasis (also die
abgegebenen Stimmen) untereinander austauschen. Die Server müssen dabei
die von anderen Servern erhaltene Datenbasis mit ihrer eigenen Datenbasis
vergleichen. Sie geben dann (öffentlich)
bekannt, ob die Datenbasis jeweils identisch ist, bzw. welche Ungleichheiten
vorliegen.
-
Ein
Schutz vor nachträglicher Änderung kann
durch Signieren und durch wechselseitiges Austauschen von Datenbasen
erreicht werden:
Abgesicherte Daten-Synchronisation 1 Bei diesem Verfahren,
das durch die Software auf den Server-Einheiten realisiert ist,
wird gemäss
Anspruch 38 auf den beteiligten Servern jeweils ein Private/Public-Key-Paar
erzeugt, wie es von der asymmeterischen Verschlüsselung bekannt ist. Der Public-Key wird
den anderen Servern und eventuell der Öffentlichkeit bzw. unparteiischen
Organisationen bekannt gegeben. Der (eigene) Private-Key wird jeweils
auf jedem Server sicher gespeichert.
-
Bei
der Konstistenz-Phase 1 empfängt
ein Server die Datenbasis von den (jedem) anderen Servern (z. B. über eine
gesicherte Internet-Verbindung). Er vergleicht sie mit der eigenen
Datenbasis. Falls bei dem Vergleich noch neue Stimmzettel erkannt werden,
die vorher noch nicht weitergeleitet wurden, werden diese ergänzt. Falls
bei dem Vergleich der Datenbasen Inkonsistenzen (Mismatches) auftreten, d.
h. unterschiedliche Stimmzettel zu bestimmten Zugangscodes, werden
diese Stimmen als 'ungültig' markiert. Der Server
gibt bekannt, dass (bzw. ob und inwieweit) die Daten (also die einzelnen
elektronischen Stimmzettel) identisch sind und signiert die Daten,
die er von jedem anderen Server erhalten hatte und eventuell die
Mismatches (dieses Signieren kann z. B. durch Verschlüsseln der
Datenbasis oder einer geeigneten Checksum mit dem eigenen Private-Key
realisiert werden), und schickt sie jeweils zurück an die Server, von denen
er sie erhalten hat. Mithilfe des Public-Keys können diese Server jeweils diese
Daten entschlüsseln
und prüfen,
dass der Server von ihnen die korrekten Daten erhalten hatte. Sie können dann
den Public-Key und das signierte Datenfile als Nachweis verwenden,
wenn ein Server Daten zu seinen Gunsten nach der Konsistenz-Phase ändert. Die 'Kontrolldaten', also der Public-Key
eines jeden Servers und die betreffenden signierten Datenbasen können nicht
nur an die anderen Server verschickt werden, sondern zusätzlich auch
(z. B. im Internet) veröffentlicht
werden, damit dieser Synchronisationsprozess auch für die Abstimmungsberechtigten
selbst transparent wird.
-
Am
Ende der Konsistenzphase 1 (3) ist also
auf diese Weise gewährleistet,
dass alle Server die gleiche Datenbasis (d. h. abgegebene (eventuell verschlüsselte)
Stimmen und aufgetretene Unstimmigkeiten) haben. Alle Server haben
zugestimmt, dass (bzw. inwieweit) die Daten identisch sind. Nachträgliche Veränderungen
dieser Datenbasis sind nicht möglich. 4 zeigt
den Datenbestand auf den verschiedenen (im Beispiel drei) Server
nach der Datensynchronisation, d. h. nach der Konsistenzphase 1.
Seine eigene Datenbasis A1 hatte Server 1 an die Server S2 und S3
verschickt und dort signieren lassen (realisiert z. B. durch Verschlüsseln mit
dem jeweiligen Private Key der Server S2 und S3, 'Priv-S2' und 'Priv-S3'). Server S1 hat
die betreffenden verschlüsselten
Datenbasen 'A1-S2' und 'A1-S3' zurückerhalten
und speichert sie zusammen mit den öffentlichen Schlüsseln der
Server ('Pub-S2' und 'Pub-S3') für den Nachweis
einer nachträglichen
Manipulation. Der gleiche Ablauf wird für die anderen Server durchgeführt und
die entsprechenden Daten gespeichert.
-
Abgesicherte
Daten-Synchronisation 2 In einer etwas vereinfachten Ausführung des
Systems signiert eine Server-Einheit gemäss Anspruch 37 jeweils nur
die eigene Datenbasis und schickt sie zu (jeder bzw. einer Auswahl
von) Server-Einheiten. Diese signierte Datenbasis kann dort jeweils
mit dem Public-Key des Herkunfts-Servers entschlüsselt und mit der eigenen Datenbasis
verglichen werden. Die signierten Daten-Basen werden gespeichert
und können
später
als Nachweis im Falle nachträglicher Manipulationen
verwendet werden. Anhand des Vergleiches der Datenbasen werden eventuell
fehlende Stimmzettel in der eigenen Datenbasis ergänzt, Mismatches
werden erfasst und bekanntgegeben. Auf diese Weise kann ebenfalls
ein konsistenter Datenbestand auf allen Server-Einheiten hergestellt
werden, bei denen die Datenbasen und eventuelle Unstimmigkeiten
auf allen Server-Einheiten gleich vorliegen und später nicht
mehr geändert
werden können.
-
Einspruchsfrist
-
In
der sich anschliessenden Einspruchsphase kann (bzw. sollte) ein
Abstimmungsberechtigter gemäss
Anspruch 21 seine eigene Stimme überprüfen und
jeweils auf einem der Server entwerten, wenn eine Manipulation aufgetreten
ist (3). Dieser Schritt sollte auch dann durchgeführt werden, wenn
sich ein Abstimmungsberechtigter enthalten will, weil es sonst zu
Manipulation bei den nicht verwendeten Stimmen (Enthaltungen) kommen
kann. Diese Ergebnisse (d. h. die entwerteten Stimmen) werden gemäss Anspruch
43 in einer zweiten Konsistenzphase im Anschluss an die Einspruchsphase technisch
wie bei der ersten Konsistenzphase ausgetauscht, so dass alle Server
einen synchronen Datenbestand haben und nachträgliche Änderungen auf einem der Server
nicht möglich
sind (3). Die Herstellung einer Konsistenz betrifft
in der zweiten Konsistenzphase gemäss Anspruch 43 nur mögliche Entwertungen
von Stimmen; die (eventuell verschlüsselten) Stimmzettel selbst
dürfen
seit der Konsistenzphase 1 nicht mehr geändert werden.
-
Veröffentlichung
der Stimmenabgaben am Ende der Abstimmung
-
Am
Ende werden gemäss
Anspruch 16 die gültigen
Stimmen ausgezählt
und es wird gemäss Anspruch
25 und 39 geprüft,
ob die ungültigen
Stimmen das Wahlergebnis beeinträchtigt
hätten.
Gegebenenfalls kann eine Neuwahl veranlasst werden (Auszahlungsphase
in 2 bzw. 3).
-
Zu
diesem Zeitpunkt können
gemäss
Anspruch 26 und 27 ebenfalls die Zugangscodes bzw. charakterisierende
Teile davon zusammen mit den Stimmen veröffentlicht werden. Dadurch,
dass die Codes anonym vergeben wurden, bleibt dabei die Anonymität der Wahl
gewährleistet.
Spätestens
zu diesem Zeitpunkt kann also ein Abstimmungsberechtigter nachprüfen, ob
seine Stimme gefälscht
wurde. Er muss dazu seine eigene Stimme in der Menge der veröffentlichen
Stimmen z. B. mittels seines Zugangscodes orten. Ferner kann jeder
die Stimmen anhand der veröffentlichten
Listen selbst nachzählen und
so die Auszählung überprüfen. Eine
Wahlfälschung
(seiner eigenen Stimme) ist spätestens
zu diesen Zeitpunkt für
einen Abstimmungsberechtigten transparent.
-
Vermeidung von Früh-Hochrechnungen
-
Das
System muss abgesichert werden gegen Manipulation auf der Seite
der Server und ferner gegen verfrühte Hochrechnungen, die für eine 'Partei' Anlass zu einer
Wahlfälschung
geben könnten.
Um das zu erreichen, sollten gemäss
Anspruch 44 die Stimmen in der Abstimmungsphase nicht offen im Klartext,
sondern verschlüsselt
von einer Client-Einheit an einen Server übergeben werden. Dafür bietet sich
technisch z. B. gemäss
Anspruch 45 ein symmetrisches Verschlüsselungsverfahren an. Der Ablauf ist
dabei so, dass ein Abstimmungsberechtigter mittels eines Verschlüsselungsverfahrens
an einer Client-Einheit seine Stimme (genauer: seinen digitalen Stimmzettel)
verschlüsselt.
Dabei muss er auch das betreffende Verschlüsselungsverfahren mit angeben, bzw.
es muss bei der Abstimmung ein bestimmtes Verfahren allgemein festgelegt
werden. Er muss dabei den Code bzw. Key zum Entschlüsseln der
Stimme sicher aufbewahren. Er schickt nur die verschlüsselte Stimme
zum Server. Eine Wahlmanipulation auf der Serverseite ist dadurch
zunächst
nicht sinnvoll bzw. wahrscheinlich, da der Server nicht weiss, welche
Stimmenabgabe er fälschen
würde.
Der weitere Ablauf ist gemäss
Anspruch 46 zunächst
wie oben beschrieben. Der Konsistenztest in Konsistenzphase 1 kann
unverändert
wie oben beschrieben durchgeführt
werden. Stimmenmanipulationen auf der Serverseite sind unwahrscheinlich,
da nur verschlüsselte Simmen
vorliegen. in der Einspruchsphase überprüft ein Abstimmungsberechtigter
nicht seine Stimme direkt, sondern er prüft, ob die codierte Nachricht
korrekt auf den Servern vorliegt. Der Einfachheit halber kann er
dazu die Versionen seiner verschlüsselten Stimmenabgabe von einigen
Servern (und möglichst unterschiedlichen
Client-Einheiten) herunterladen und dann mit seinem Schlüssel testweise
entschlüsseln
und die Richtigkeit der Stimme so überprüfen. Er kann seine Stimme in
der Einspruchsphase gegebenenfalls entwerten, wenn eine Manipulation
aufgetreten ist. Konsistenzphase 2 wird wie oben durchgeführt. Im
Anschluss daran schliesst sich gemäss Anspruch 47 eine Aufdeckungsphase
an, in der die Abstimmungsberechtigten die Entschlüsselungscodes für ihre Stimmen
bekanntgeben (3).
-
Die
Aufdeckungsphase ist gemäss
Anspruch 48 und 49 auf verschiedene Weisen realisierbar. Zunächst kann
das Aufdecken dadurch realisiert werden, dass Abstimmungsberechtigte
ihren Entschlüsselungscode
an einen oder mehrere der Server schicken. Falls ein Server die
Annahme des Entschlüsselungscodes
ablehnt, kann ein beliebiger anderer Server mit der Speicherung
und eventuell Veröffentlichung
des Entschlüsselungscodes
beauftragt werden.
-
In
dieser Phase oder danach in der Veröffentlichungsphase können die
Entschlüsselungscodes
gemäss
Anspruch 53 zusammen mit den einzelnen (verschlüsselten) Stimmzetteln veröffentlicht werden.
Die Stimmen sind also jetzt (für
jedermann) 'lesbar' und können wie
oben beschrieben ausgezählt
und ferner zusammen mit einem charakteristischen Teil der Zugangscodes
(bzw. einer Wahlkoordinate, siehe unten) veröffentlicht werden, damit ein einzelner
Abstimmungsberechtigter seine Stimme in der Menge veröffentlichter
Stimmen orten und nachprüfen
kann.
-
Die
Aufdeckungsphase kann dadurch für
einen Nutzer vereinfacht werden, dass ihn die Möglichkeit gegeben wird, den
Entschlüsselungscode
direkt zu einer Server-Einheit zu schicken ohne Einloggen mittels
des Zugangscodes. Die Server-Einheit kann dann die Richtigkeit des
Zugangscodes durch einfaches Anwenden des Entschlüsselungscodes
auf den verschlüsselten
Stimmzettel nachprüfen.
In einer weiteren Ausführung
kann das Veröffentlichen
der Zugangscodes auch ohne Verbindung mit einer Server-Einheit erfolgen,
sondern mittels 'externer', öffentlicher
Server. Die Gültigkeit
der Entschlüsselungscodes
kann dabei jeweils einfach durch Anwenden auf die verschlüsselten
Stimmzettel nachgeprüft werden.
-
Ein
Abstimmungsberechtigter wird sich bei der Stimmenabgabe meist für einen
Server entscheiden der im Zugangsbereich einer 'Partei' steht, der er vertraut. Beim Abgleich
der Daten zwischen den Servern kann ein einzelner Server aus der
Herkunft der Datenabgleichungen eventuell Rückschlüsse darauf ziehen, wie sich
die Wähler 'im Mittel' entschieden haben.
Er kann daraus also Hochrechnungen für das Wahlergebnis ableiten,
die zu einem frühen
Zeitpunkt meist nicht erwünscht
sind. Eventuell kann er bei Unzufriedenheit mit dem voraussichtlichen
Wahlergebnis versuchen, den Wahlprozess zu behindern und durch Einbringen
von Inkonsistenzen die Wahl ungültig
zu machen. Verfrühte
Hochrechnungen bergen also ein Risiko. Eine Hochrechnung auf Basis
der Herkunft von Stimmenabgleichungen kann gemäss Anspruch 50 verhindert bzw.
erschwert werden, indem zwischen die einzelnen Server während der Synchronisationsprozesse 'Proxy-Server' geschaltet werden,
die die Herkunft von Synchronisations-Aufträgen jeweils vor den Ziel-Servern
verbergen (5). Solche Verfahren sind z.
B. von Anonymisierungsdiensten aus dem Internet bekannt.
-
Zugangscode-lose Entwertung der eigenen
Stimme
-
Zugangscodes
können
mitunter gestohlen werden oder verlorengehen. Um die daraus resultierende
Möglichkeit
von Manipulationen zu vermeiden, sollte ein Abstimmungsberechtigter
gemäss
Anspruch 51 in der Einspruchsphase die Möglichkeit haben, eine 'beliebige' Stimme zu entwerden.
Dazu sollte er sich, wie bei herkömmlichen Wahlen üblich, ausweisen.
Dieser Prozess kann z. B. in einem herkömmlichen Wahlblokal durchgeführt werden.
Später kann
dann bei der Auszählung
geprüft
werden, ob diese Stimme Einfluss auf das Wahlergebniss gehabt hätte und
gegebenenfalls eventuell eine Neuwahl veranlasst werden. Die entwertete
Stimme kann, wie im Folgenden genauer beschrieben, ebenfalls einer 'Wahlkoordinate' zugeordnet werden,
damit der Wähler
sie später
im gesamten Wahlergebnis nachprüfen kann.
-
Vereinfachung der Stimmenveröffentlichung
-
Für die Stimmenveröffentlichung
am Ende des Wahlvorganges und eventuell auch für eine Kontrolle der (verschlüsselten)
Stimme in der Einspruchsphase sollte eine einfache und effiziente
Methode der Veröffentlichung
einer (eventuell verschlüsselten) Stimme
realisiert sein. Dabei kann gemäss
Anspruch 26 und 27 z. B. ein charakteristischer Teil des Zugangscodes
verwendet werden, um eine 'Position' der Stimme in einer
Liste von abgegebenen Stimmen zu charakterisieren. Es kann auch
so realisiert sein, dass ein Abstimmungsberechtigter gemäss Anspruch
28 beim ersten Zugang zu einem Server-Rechner von einer Client-Einheit
aus, sich eine charakteristische 'Positionsangabe' auswählt bzw. zugeteilt bekommt,
die dann mit seiner Stimme verknüpft
wird. Wir bezeichnen eine charakterisierende Positionsangabe für eine Stimme
bzw. solch eine Koordinate im Folgenden als 'Wahlkoordinate'. Der Wahlprozess wird (in einer Ausführung, wo
die Wahlkoordinate nicht direkt Teil des Zugangscodes ist,) so abgeändert, dass
in der Abstimmungsphase ein Abstimmungsberechtigter nach der Verbindung
zum Server ein freies 'Wahlfeld' für sich beanspruchen kann,
wenn es noch frei ist und nicht vorher schon belegt wurde. Es gibt
mindesten so viel Wahlfelder wie es Abstimmungsberechtigte gibt.
Die Wahlkoordinate kann gemäss
Anspruch 30 z. B. ein Feld einer Matrix sein, wobei ein Feld der
Matrix einer bestimmten abgegebenen Stimme entspricht. Ein Abstimmungsberechtigter
kann so seine abgegebenen Stimme schnell wiederfinden und überprüfen. Sowohl
in der Einspruchsphase als auch später bei der endgültigen Veröffentlichung
der Stimmen, kann so eine übersichtliche
Kontrolle der eigenen Stimme eines Abstimmungsberechtigten erfolgen.
-
In
der Einspruchsphase sowie in der Veröffentlichungsphase am Schluss
der Wahl kann eine Veröffentlichung
der (verschlüsselten)
Stimmen auch erfolgen, ohne dass ein Abstimmungsberechtigter sich
erneut einloggen, d. h. mit seinen Zugangsdaten zu einer Server-Einheit
verbinden muss. Dieses kann gemäss
Anspruch 20 dadurch realisiert sein, dass die (eventuell verschlüsselten)
Stimmen nach dem Broadcasting-Modell z. B. per TV oder Internet
veröffentlicht
werden. Ein Wähler
muss dazu seine eigene Stimme in der Menge der veröffentlichten
Stimmen 'orten' können (z.
B. mittels einer Wahlkoordinate).
-
Die 6, 7 und 8 zeigen
die Veröffentlichungen
von Stimmen in einer Wahlmatrix bei einer Anzahl von 109 Abstimmungsberechtigten (3
Felder rechts unten werden nicht verwendet). In 6 wird
die Wahlmatrix bei Veröffentlichung
in der Einspruchsphase dargestellt. Die Stimme jedes Abstimmungsberechtigten
wird durch ein Feld der Matrix repräsentiert. Die Koordinaten dieses
Feldes (markiert durch Zeichenreihen am oberen und linken Rand der
Wahlmatrix) sind dem Anstimmungsberechtigten bekannt, sodass es 'sein' Feld leicht findet. Die
Einträge
der Matrix, z. B. S(8, 9) stellen die verschlüsselten Stimmzettel dar. Der
Abstimmungsberechtigte kann so seinen verschlüsselten Stimmzettel einfach überprüfen. Dadurch,
dass die Stimmzettel verschlüsselt
sind, kann die Wahlmatrix in der Einspruchsphase öffentlich
gemacht werden, ohne dass dadurch Hochrechnungen möglich sind.
Diese Veröffentlichung
kann über
verschiedene Kanäle
(Internet, Fernsehen, Telefonabfrage etc.) durchgeführt werden,
sodass bei Manipulation eines Informations-Kanals eine Überprüfung durch
andere Kanäle
möglich ist.
Dadurch ist die Zuverlässigkeit
der Stimmenüberprüfung in
der Einspruchsphase zusätzlich
gewährleistet.
-
In 8 wird
die Wahlmatrix am Ende der Wahl dargestellt mit sichtbaren Stimmen
bzw. Wahlzetteln, Enthaltungen und ungültigen Stimmen. Die Wahlzettel
konnten dabei mittels der verschlüsselten Stimmen und den jetzt
vorliegenden Entschlüsselungscodes
der Abstimmungsberechtigten gewonnen werden. Dieser Schritt kann
durch die Veröffentlichung
der verschlüsselten
Wahlzettel wie in der Einspruchsphase und die Veröffentlichung
der zugehörigen
Entschlüsselungscodes
transparent gemacht werden. In den 7 und 8 wird
das Beispiel einer Wahl zwischen 2 Parteien betrachtet. Die Felder
in der Matrix in 7 zeigen gemäss Anspruch 53 und 54 die verschlüsselten
Stimmzettel (z. B. S(5, 9)) und die dazugehörigen Entschlüsselungscodes, mit
denen sie entschlüsselt
werden können
(z. B. C(5, 9)). Die Felder in der Matrix in 8 zeigen
die entschlüsselten
Stimmzettel, hier dargestellt durch verschiedene Farben (blau/rot)
bzw. Grautöne
für die beiden
Parteien. Entwertete Stimmen werden besonders gekennzeichnet (in
dem Beispiel durch Kreise in der Abstimmungsmatrix). '='-Symbole in 8 kennzeichnen
Enthaltungen. In diesem Falle liegen bei den Enthaltungen keine
Codes in der Wahlmatrix vor (7, 8).
Die Enthaltungen wurden in diesen Fällen also nicht von den betreffenden
Abstimmungsberechtigten als solche markiert.
-
Ein
Abstimmungsberechtigter kann spätestend
beim Überprüfen der
Wahlmatrix feststellen, ob sein Stimme manipuliert worden ist.
-
Recycling der Zugangscodes
-
Der
aufwändige
Schritt bei dem oben beschriebenen System, der nicht elektronisch
durchgeführt
werden kann, ist die initiale Verteilung der Zugangscodes an die
Abstimmungsberechtigten. Durch den Aufwand macht es Sinn, dass Abstimmungsberechtigte
denselben Code gleich für
eine grössere Anzahl
von Abstimmungen verwenden (Anspruch 55). Es ist allerdings so,
dass anhand des Abstimmungscodes und einer durchgeführten Wahl
im Prinzip ein '(Wahl-)Profil' erstellt werden
kann, das dem Prinzip einer völlig
anonymen Wahl widerspricht. Die Gefahr besteht, dass dann ein Angriff
erfolgt, bei dem Abstimmungscodes mit einem bestimmten Profil (d. h.
einer bestimmten 'Partei'-Präferenz)
ungültig
gemacht werden.
-
Man
kann jedoch den Aufwand für
die Vergabe der Abstimmungscodes dadurch lindern, dass ein Abstimmungsberechtigter
bei der Vergabe der Zugangscodes gleich mehrere Codes für eine Reihe von
Abstimmungsprozessen erhält.
-
Integration in bisheriges Wahlsystem
-
Das
beschriebene Wahlsystem kann gemäss
Anspruch 56, 57 und 58 leicht in ein bisheriges Wahlsystem eingebunden
bzw. zunächst
als Ergänzung
angeboten werden. Bei einer herkömmlichen Wahl
müssen
sich Wähler
kurz vor der anonymen Stimmabgabe (im Wahllokal) ausweisen. Bei
der hier beschriebenen elektronischen 'Erweiterung' muss bei dieser Ausweis-Kontrolle zusätzlich geprüft werden,
ob ein Abstimmungsberechtigter bereits einen Zugangscode erhalten
hatte und dadurch nicht mehr an der 'normalen' Abstimmung teilnehmen darf. Auf diese
Weise muss sich ein Abstimmungsberechtigter also entscheiden, ob
er an der 'regulären' Wahl teilnimmt ohne
Abstimmungscode, oder an dem elektonischen Wahlverfahren.
-
Spezielle Erweiterungen
-
Es
ist bei Wahlen üblich,
die Ergebnisse der Wahl zu 'lokalisieren', indem man die Wahlergebnisse
für einen
gewissen Bereich (Wahlkreis bzw. Wahlbezirk) angibt. Mit dem beschriebenen
System ist das gemäss
Anspruch 59 dadurch realisierbar, dass die Zugangscodes den Wahlkreisen
bzw. Wahlbezirken zugeordnet werden. Ein Abstimmungsberechtigter bekommt
dann einen von den Zugangscodes, die zu seinem Wahlkreis bzw. Bezirk 'gehören'. Elektronisch kann
dann sehr einfach eine Zuordnung der Stimmzettel zu den Wahlkreisen
bzw. Wahlbezirken realisiert werden. Die Veröffentlichung der Wahlmatrix kann
auf diese Weise auch wesentlich übersichtlicher gestaltet
werden, indem die gesamte Wahlmatrix für alle Wähler aufgeteilt wird in die
Wahlmatrizen für einzelne
Wahlkreise bzw. Bezirke oder sogar kleinere Bereiche.
-
Erreichte Vorteile
-
- • Das
elektronische Wahlverfahren ermöglicht
einem Abstimmungsberechtigten eine einfache Durchführung der
Wahl z. B. mittels eines Computers oder Handies. Dadurch ist der
Wähler
insbesondere flexibel und nicht gebunden an einen bestimmten Ort.
- • Bei
jeder Wahl ist der schlimmsten Fall, der eintreten kann, dass Stimmen
gefälscht
werden. Bei dem hier vorgestellten System weiss der Abstimmungsberechtigte
nach der Wahl, ob seine Stimme gefälscht worden ist, was bei einer
herkömmlichen
Wahl nicht der Fall ist.
- • Verschiedene
Sicherheitsmechanismen wurden entwickelt, um das Fälschen einer
Stimme fast unmöglich
zu machen. Genauer gesagt wird die Möglichkeit gegeben, Stim men,
bei denen ein Verdacht auf Fälschung
besteht, zu entwerten. Anhand einer Zählung der entwerteten Stimmen kann
am Ende der Wahl geprüft
werden, ob diese fehlenden Stimmen einen Einfluss auf das Wahlergebnis
gehabt hätten.
Gegebenenfalls kann eine Neuwahl veranlasst bzw. das Wahlverfahren überprüft werden.
- • Ein
weiterer Schutzmechanismus vor gezielter Manipulation ist die Abgabe
zunächst
verschlüsselter
Stimmen. Auf diese Weise werden gezielte Manipulationen im Netzwerk
und auf der Server-Seite vermieden, da der Inhalt eines Stimmzettels
dort zunächst
nicht bekannt ist.
- • Die
verschlüsselte
Abgabe von Stimmzetteln vermeidet zusätzlich die Möglichkeit
verfrühter Hochrechnungen.
Solche Hochrechnungen könnten
eine Partei dazu veranlassen, z. B. durch massive Manipulationen
und infolge dessen Entwertungen von Stimmen, die Notwendigkeit einer Neuwahl
zu provozieren.
- • Der
Abstimmungsberechtigte kann eine Vielfalt von Client-Einheiten dazu
verwenden, die Wahl durchzuführen
und insbesondere seinen Stimmezettel auf verschiedenen Servern zu überprüfen. Zusammen
mit der Einführung
einer Einspruchsfrist, in der die Stimmzettel nicht mehr geändert, sondern
gegebenenfalls nur noch entwertet werden können, ist eine client-seitige
Manipulation eines Stimmzettels fast ausgeschlossen.
- • Durch
Veröffentlichung
der Stimmen am Ende der Wahl, z. B. in Form einer 'Wahlmatrix', ist der Prozess
des Auszählen
der Stimmen für
jedermann transparent und nachvollziehbar.
- • Das
neue Abstimmungsverfahren kann einfach in bisherige Wahlverfahren
integriert werden.
-
Ausführungsbeispiele
-
Ausführungsbeispiel
1
-
System-Aufbau,
Komponenten In diesem Ausführungsbeispiel
gibt es auf der 'Server-Seite' zwei Server-Einheiten.
Jede Server-Einheit ist ein Computer, der an das Internet ange schlossen
ist und auf dem die Software läuft,
die für
die Durchführung der
Wahl notwendig ist und im Folgenden näher beschrieben wird. Bei der
Beschreibung dieses Ausführungsbeispiels
gehen wir zur Vereinfachung davon aus, dass es zwei Parteien gibt.
Die 2 Server-Einheiten
stehen an 2 unterschiedlichen Standorten. Der Standort der ersten
Server-Einheit ist im Einzugsbereich der ersten Partei, der Standort
der zweiten Server-Einheit ist im Einzugsbereich der zweiten Partei (z.
B. in der Parteizentrale). Ferner betrachten wir zur Vereinfachung
eine Gesamtmenge von drei Wahlberechtigten, die zunächst über einen
Zugang zu drei unterschiedlichen Client-Einheiten verfügen.
-
Die
3 Wähler
erhalten im Vorfeld Zugangscodes, indem sie diese einige Tage vor
der Wahl z. B. im Rathaus unter Vorlage des Personalausweises aus
einer Urne zufällig
(und zusätzlich
anonym) zugeteilt bekommen. Dabei wird notiert, das die Wahlberechtigten
einen Zugangscode erhalten haben, jedoch nicht welchen sie bekommen
haben. Ferner wurden im Vorfeld alle Zugangscodes registriert und an
die beiden Server-Einheiten geschickt. Die Zugangscodes setzen sich
aus einem Login-String und einem Passwort-String zusammen. In diesem
Ausführungsbeispiel
hat der Login-String eine besondere Struktur. Er beinhaltet die
Koordinaten für
die Wahlmatrix. Der Login-String für den Wähler 1 ist also z. B. 'z1s1', wird also später das
Feld der Wahlmatrix in Zeile 1 und Spalte 1 adressieren, der Login-String
für Wähler 2 ist 'z1s2' und entsprechend
ist der Login-String für
den dritten Wähler 'z1s3'.
-
Wir
gehen zur Veranschaulichung davon aus, dass am Wahltag Wähler 1 Zugriff
auf einen Computer mit Internetanschluss hat mit der üblichen Internetsoftware,
wie z. B. einen Web-Browser.
Wähler
2 hat Zugriff auf ein mobiles Telefon (ebenfalls mit Internetzugang
und einem Browser) und Wähler
3 hat Zugriff auf ein normales Telefon. Es gibt im Gesamtsystem
zusätzlich
eine 'Broadcasting-Unit'. Hierbei handelt
es sich ebenfalls um einen Computer mit Internetanschluss und einen
Anschluss an eine TV-Sendestation. Zusätzlich gibt es im Gesamtsystem
ein Operator-System, d. h. einen Computer, der automatisch Telefongespräche annehmen
kann und auf dem ein Sprachauswertungsprogramm (Sprachsoftware)
läuft.
Er hat ebenfalls einen Kontakt zum Internet.
-
Um
die Software auf Client- und Server-Einheiten zu beschreiben wird
im Folgenden der chronologische Ablauf am Wahltag wiedergegeben.
Die verwendeten Programm, die auf den einzelnen Komponenten laufen,
haben entsprechende Funktionalitäten,
die diesen Ablauf realisieren.
-
Der
Wahltag beginnt zunächst
mit denn Abstimmungszeitraum von 8 h bis 13 h. In diesem Zeitraum
erwarten die Programme auf den Server-Einheiten Anfragen aus dem
Internet, d. h. konkret von Client-Einheiten und eine Stimmenabgabe
ist möglich.
Die Operator-Einheit ist ebenfalls im Empfangsmodus und wartet auf
ankommende Telefonanrufe.
-
Wähler 1 verbindet
sich mit seinem Computer mit dem Internet und fragt dann von Server-Einheit 1 das Web-Formular
zum Abgeben seiner Stimme ab. Die Verbindung ist dabei verschlüsselt. Nach einer
Authentifizierung mit seinen Zugangsdaten erhält Wähler 1 das Wahlformular in
Form einer HTML-Seite, die im Browser angezeigt wird. Wähler 1 füllt dieses
Formular im Web-Browser aus. Ferner verschlüsselt er das Formular mittels
eines Browser-Plugins,
das er im Vorfeld im Browser installiert hat. Er speichert sich
dabei den zugehörigen
Entschlüsselungscode
ab bzw. schreibt ihn auf. Er schickt daraufhin den verschlüsselten
Stimmzettel an die Server-Einheit zurück. Auf der Server-Einheit wird
der (verschlüsselte)
Stimmzettel in einer Datenbank gespeichert, wobei er mit dem zugehörigen Zugangs-Login-Code verknüft (d. h.
zusammen gespeichert) wird. Ferner wird der abgegebene Stimmzettel (mit
dem Zugangs-Login-Code) über
eine gesicherte Internet-Verbindung zu der anderen Server-Einheit geschickt.
Beide Server-Einheiten haben also zusätzlich Empfangsmodule (d. h.
entsprechende Programmteile) für
diese Art von Anfragen bzw. (Speicher-)Aufträgen von anderen Server-Einheiten.
-
Wähler 2 realisiert
die Abgabe des Stimmzettels ähnlich
wie Wähler
1, allerdings verwendet er hierfür
sein Handy, auf dem jedoch ähnliche
Software (Browser, Verschlüsselungstool)
läuft.
Wähler
3 ruft von seinem Telefon aus den Operator-Computer an. Mittels
der Sprach-Erkennungs-Software
auf dem Operator gibt er nach Authentifizierung mit seinen Zugangsdaten
seine (eventuell ebenfalls verschlüsselte) Wahlentscheidung bekannt.
Der Operator sendet diese Daten in Form eines elektronischen Stimmzettels
weiter an eine Server-Einheit, wo diese Daten ebenfalls gespeichert
werden.
-
Um
13 h beginnt die Konsistenzphase 1. Sie dauert von 13 h bis 14 h.
In dieser Phase schalten die Programme auf den Server-Einheiten
um und die Abgabe von Stimmen ist nicht mehr möglich. Die Daten auf den Server-Einheiten
werden synchronisiert, wir in der Beschreibung im Detail näher ausgeführt wurde.
-
In
diesem Beispiel gehen wir davon aus, dass es keine Unstimmigkeiten
zwischen den Versionen der abgegebenen Stimmen auf den verschiedene
Server-Einheiten gibt. Durch Spei cherung der signierten Daten-Basen
der jeweils anderen Server können
nachträgliche
Manipulationen der Stimmen später
gegebenenfalls nachgewiesen werden.
-
Im
Anschluss an die Konsistenzphase 1 schalten die Programme auf den
Server-Einheiten wiederum um und es beginnt die Einspruchsphase, die
von 14 h bis 16 h dauert. Die Server-Einheiten erwarten hier Anfragen von
Client-Einheiten aus dem Internet. Mittels seiner Zugangsdaten kann
dabei ein Wähler
den Inhalt seiner eigenen (eventuell verschlüsselten) Stimme von einer Server-Einheit
erfragen.
-
Zusätzlich dazu
werden hier Wahlmatrizen über
das Fernsehen bzw. Videotext veröffentlicht. Dieses
funktioniert so, dass eine Server-Einheit die Datenbasis der abgegebenen
Stimmen über
eine gesicherte Verbindung an die Broadcast-Unit verschickt. Dort
wird aus der Datenbasis eine Wahlmatrix erstellt und dann über das
Fernsehen als Standbild (bzw. Videotext) ausgestrahlt. Die Wahlmatrix enthält als Koordinaten
die verschiedenen Zugangscode-Login-Strings.
Der Login-String 'z1s2' entspricht z. B.
der ersten Zeile und zweiten Spalte der Wahlmatrix. Er enthält die (verschlüsselte)
Stimme von Wähler
2. Zusätzlich
dazu erfolgt eine Veröffentlichung
der Datenbasen über
spezielle Web-Server im Internet.
-
Die
Wähler
können
so auf verschiedene Weisen, entweder durch Verbindung mit einer
Server-Einheit von
einer Client-Einheit aus, oder durch Empfangen des Fernsehbildes
ihre Stimmen auf den Server-Einheiten überprüfen. In diesem Beispiel gehen
wir davon aus, dass Wähler
1 und 2 zufrieden sind, während
Wähler
3 eine Unstimmigkeit feststellt zwischen seiner Wahlentscheidung
und der Stimme, die er im Fernsehen empfangt. Daraufhin verbindet er
sich mit seinen Zugangsdaten und einem Computer (d. h. einer Client-Einheit)
mit einer Server-Einheit und entwertet dort seine Stimme. Der Entwertungsprozess
ist realisiert ähnlich
wie bei der Durchführung der
Wahl. Allerdings gibt es hier nur die Möglichkeit, im Web-Formular
die Entwertung der Stimme zu markieren. Wähler 3 hätte dieses auch mit der Operator-Einheit
durchführen
können.
Die Entwertung wird an die anderen Server-Einheiten weitergeleitet
und ebenfalls 'ge-broadcasted'. Wähler 3 kann
so seine Entwertung kontrollieren.
-
In
der sich anschliessenden Konsistenzphase 2 von 16 h bis 17 h synchronisieren
die Server-Einheiten
die Entwertungen, technisch realisiert wie bei der Konsistenzphase
1.
-
Es
folgt die Aufdeckungsphase von 17 h bis 18 h. In dieser Phase schalten
die (Programme auf den) Server-Einheiten wieder 'auf Empfang' und erwarten Anfragen aus dem Internet
von Client-Einheiten, bei denen Wähler ihre Entschlüsselungscodes bekanntgeben
wollen. Die Wähler
verbinden sich dabei mit ihren Zugangsdaten zu einer Server-Einheit und
senden ihre Entschlüsselungscodes
zu den Server-Einheiten, die sie speichern.
-
Es
folgt um 18 Uhr die Veröffentlichungsphase.
Hier werden die Wahlmatrizen von den Server-Einheiten veröffentlicht
im Internet und auch über das
Fernsehen. Die Einträge
der Wahlmatrix sind dabei jweils die verschlüsselten Stimmen und die Entschlüsselungscodes.
Ebenfalls wird eine Wahlmatrix mit entschlüsselten Stimmzetteln veröffentlicht,
bei der die abgegebenen Stimmen sofort sichtbar sind. Ferner werden
anhand dieser Daten automatisch die Stimmen ausgezählt, die
Wahlergebnisse berechnet und Statistiken erstellt. Die Wähler können in
dieser Phase ihre abgegebenen Stimmen noch einmal überprüfen und
mit geeigneter Software den Auszählungsprozess
nachvollziehen.
-
Im
Beipiel gehen wir davon aus, dass sich Wähler 1 und 2 für Partei
1 entschieden haben. Obwohl die Stimme von Wähler 3 ungültig ist, wird keine Neuwahl
veranlasst, da die Mehrkeit der Partei 1 in diesem Fall feststeht.
-
Die
Software, die auf den einzelnen Server-Einheiten läuft, ist
also dadurch gekennzeichnet, dass sie in verschiedenen Phasen des
Wahlprozesses (Abstimmnungsphase, Konsistenzphase 1, Einspruchsphase,
Konsistenzsphase 2, Aufdeckungsphase und Veröffentlichungsphase) jeweils 'umschaltet' bzw. ihren Modus ändert und
unterschiedliche Aufgaben übernimmt.
Unterschiedliche Zugangsarten (Wahl, Überprüfung der Stimme, Entwertung
etc.) sind jeweils nur in bestimmten Phasen möglich, wodurch ein transparenter
und kontrollierte Ablauf einer Wahl ermöglicht wird.