-
Die
Erfindung bezieht sich auf ein Wahlverfahren mit Abgabe und Kontrolle
der Stimmzettel von geografisch verteilten Computern aus, die durch
ein allgemein zugängliches
Netz wie das Internet mit einer elektronischen Wahlurne und einer
elektronischen Stimmzettelbox verbunden werden können. Insbesondere bezieht
sich die Erfindung auf ein sicheres Wahlsystem das
- • geschützt ist
vor der Stimmabgabe von nicht wahlberechtigten Personen;
- • die
mehrfache Stimmabgabe des gleichen Wählers verhindert;
- • die
Anonymität
der Wähler
gewährleistet
- • und
die Fernkontrolle der zur Auszählung
gelangten Stimmzettel durch die Wähler und andere Interessierte
ermöglicht.
-
Die
häufig
geringe Beteiligung an nationalen und lokalen Wahlen ist zum Teil
durch die Unbequemlichkeit oder Unmöglichkeit verursacht, sich
an einem vorgegebenen Tag zu einem bestimmten Wahllokal zu begeben.
Deshalb wird zunehmend von der Möglichkeit
der Briefwahl Gebrauch gemacht. Eine noch größere Bequemlichkeit würde die
elektronische Stimmabgabe von einem beliebigen Computer her bieten.
Eine solche Ergänzung
der Präsenz- und
Briefwahl könnte
zu einer wünschenswerten
Erhöhung
der Wahlbeteiligung beitragen.
-
Verschiedene
Verfahren wurden bereits für eine
solche Stimmabgabe vorgeschlagen, beispielsweise die postalische
Zusendung eines Geheimcodes an den Internetwähler, mit dem dieser seine Wahlberechtigung
bei der elektronischen Stimmabgabe nachweist, oder die Identifizierung
des Internetwählers
mit einer asymmetrischen digitalen Signatur des Stimmzettels, oder
aber seine Identifizierung durch biometrische Merkmale.
-
Alle
diese Vorschläge
weisen neben verschiedenen anderen Schwächen den Hauptnachteil einer
fehlenden Transparenz auf: Der Internetwähler kann die einzelnen Schritte
von seiner Stimmabgabe bis zur Stimmauszählung nicht genau überblicken und
muss sich auf die Aussagen von Fachleuten verlassen, dass sein Stimmzettel
und alle anderen Stimmzettel korrekt bei der Auswertung berücksichtigt
wurden, denn niemand ist bei der elektronischen Stimmauszählung persönlich anwesend.
-
Die
Erfindung hat die Aufgabe, Wahlen über das Internet zu ermöglichen,
die von diesen Schwächen
und Nachteilen frei sind und jedem Internetwähler die Möglichkeit eröffnen, bequem
von einem beliebigen Computer aus zu wählen und jedem Interessierten
gestatten, die ordnungsgemäße Verbuchung aller
Stimmzettel selbst vom Computer aus zu überprüfen. Sie löst diese Aufgabe mit den in
den Patentansprüchen
offenbarten Vorkehrungen.
-
Zum
besseren Verständnis
der Erfindung und der sprachlichen Kürze halber werden folgende Definitionen
verwendet:
Dreiteilige elektronische Signatur: Besteht nach
DE 100 10 365 A1 aus
drei Zahlen, beispielsweise:
72085 33172
04381 80478
42866
39105
-
Sie
ist, im Gegensatz zur herkömmlichen asymmetrischen
elektronischen Signatur, leicht wahrnehmbar, so dass man sie zweckmäßigerweise zusammen
mit dem Text auf dem Bildschirm zeigt und auf Papier ausdruckt.
-
Die
erste Zahl (Unterzeichnerkennung K) kennzeichnet die Identität des Unterzeichners
und ist für
verschiedene Personen unterschiedlich. Sie berechnet sich aus den
persönlichen
Daten des Unterzeichners wie Name, Geburtstag, Geburtsort, oder wird
als Zufallszahl erzeugt. Die zweite Zahl (Textsiegel S) kennzeichnet
die Identität
eines Textes und ist für
verschiedene Texte unterschiedlich. Sie berechnet sich mit einem öffentlichen
Einwegalgorithmus als Hashwert aus allen Schriftzeichen des Textes
und ihrer Anordnung. Die dritte Zahl (Unterschriftsbeweis U) kennzeichnet
die Tatsache, dass der Unterzeichner den Text aktiv gebilligt hat
und ist für
verschiedene Texte und für
verschiedene Unterzeichner auch bei gleichem Text unterschiedlich.
Sie berechnet sich als Transformation aus dem Textsiegel S mit einem geheimen
Einwegalgorithmus, der vorzugsweise durch eine Geheimzahl G definiert
ist, unter alleiniger Kontrolle des Unterzeichners.
-
Der
Unterzeichner erzeugt die dreiteilige elektronische Signatur auf
seinem Computer durch einen Klick mit einer aus Software und Hardware
bestehenden Signaturerstellungseinheit, nachdem er sich an seinem
Computer authentisiert hat. Die dreiteilige elektronische Signatur
wird mit einer aus Software und Hardware bestehenden Signaturprüfeinheit verifiziert.
-
Signaturerstellungseinheit:
Nach der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates
vom 13. Dezember 1999 ist eine Signaturerstellungseinheit eine konfigurierte
Software oder Hardware, die zur Implementierung der Signaturerstellungsdaten
verwendet wird. Bei der vorliegenden Erfindung ist unter Hardware
vorzugsweise zu verstehen ein Datenträger in Form einer Signierdiskette, Signaturchipkarte,
eines Signier-Speicherstifts usw., auf dem neben der Unterzeichnerkennung
K sowie der zur Authentisierung benötigten Daten eine Geheimzahl
G verschlüsselt
gespeichert ist, die nur vom Eigentümer der Signaturerstellungseinheit
durch Authentisieren verfügbar
gemacht werden kann (vgl.
DE 199
46 004 A1 , insbesondere Spalte 16, Anspruch 10). Signaturdisketten,
Signaturchipkarten usw. werden unter der Aufsicht einer vertrauenswürdigen Instanz
mit der Systemsoftware in Zusammenwirken mit einem autonomen Modul
hergestellt (vgl.
DE
199 46 004 A1 , insbesondere Spalte 7, Anspruch 1).
-
Signaturprüfeinheit:
Nach der genannten Europäischen
Richtlinie ist eine Signaturprüfeinheit
eine konfigurierte Software oder Hardware, die zur Implementierung
der Signaturprüfdaten
verwendet wird. Bei der vorliegenden Erfindung ist unter Hardware vorzugsweise
zu verstehen das bereits genannte autonome Modul und ein Datenträger in Form
einer Prüfdiskette,
Prüfchipkarte,
eines Prüfspeicherstifts usw.,
auf dem neben der Kennung K des Wahlleiters und den zu seiner Authentisierung
benötigten
Daten eine Geheimzahl G verschlüsselt
gespeichert ist, die nur vom Wahlleiter selbst durch Authentisieren
verfügbar
gemacht werden kann
-
Anonymsignatur-Erstellungseinheit:
Ist insbesondere eine Signierdiskette, deren Unterzeichnerkennung
K nur dem Eigentümer
bekannt ist (Wahldiskette).
-
Anonyme
Signatur: Ist eine dreiteilige elektronische Signatur, deren Kennung
K nur dem Unterzeichner bekannt ist.
-
Intergramm:
Ist eine vom Verfasser mit Hilfe einer Signaturerstellungseinheit,
insbesondere einer Signierdiskette oder -Chipkarte in Form einer
dreiteiligen elektronischen Signatur unterschriebene und verschlüsselt über das
Internet gesendete Mitteilung (vgl.
DE 100 10 365 A1 , insbesondere Spalten 3
und 4, Anspruch 4), die nur vom Empfänger selbst entschlüsselt werden
kann. Die Echtheit der Signatur und die Unversehrtheit der Mitteilung
werden durch einen Klick geprüft.
-
Elektronische
Wahlurne: Ist eine an das autonome Modul angeschlossene Datenbank,
in der alle an den Wahlleiter adressierten verschlüsselten Intergramme
gesammelt werden.
-
Elektronische
Stimmzettelbox: Ist eine Datenbank, in der alle im Wahllokal eingegangenen
gültigen
elektronischen Stimmzettel unverschlüsselt gesammelt werden.
-
Elektronischer
Stimmzettel: Ist eine in der Abbildung auf dem Computerbildschirm
und bei deren Ausdruck auf Paper den realen papiergebundenen Stimmzetteln
entsprechende Datei, die aus dem Internet auf den Computer geladen,
dort am Bildschirm durch Eingeben der Wahlpräferenzen vervollständigt und
als Intergramm mit anonymer Signatur verschlüsselt in die elektronische
Wahlurne gesendet wird.
-
Wahlcomputer
der Gemeinde: Ist ein im Terminal oder Computer mit Anschluss an
das autonome Modul unter Überwachung
der für
die Organisation der Wahl zuständigen
Gemeinde, die als vertrauenswürdige
Instanz bei der Herstellung von Signier- und Wahldisketten fungiert.
-
Wahlleiter-Computer:
Ist ein im Wahllokal aufgestellter und mit dem Netz verbindbarer
Computer, von dem aus der Wahlleiter nach Wahlschluss und nachdem
er sich mit seiner Prüfdiskette
authentisiert hat, die elektronischen Stimmzettel aus der Wahlurne
herunter lädt,
entschlüsselt,
prüft und
in die elektronische Datenbank eingibt oder eingeben lässt.
-
In
der Abbildung sind die für
das erfindungsgemäße Wahlverfahren
erforderlichen Hauptkomponenten und Netz-Verbindungen beispielsweise
und schematisch dargestellt. Mit dem Wahlcomputer der Gemeinde werden
die Signier- und Wahldisketten für die
Internetwähler
durch Rückgriff
auf das autonome Modul hergestellt. Was die Wahldisketten angeht,
so erzeugt der Wahlcomputer der Gemeinde tatsächlich nur die Signaturerstellungsdaten,
die dem Wähler über das
Internet zugestellt werden und mit denen er selbst seine Wahldiskette
herstellt.
-
Das
erfindungsgemäße Wahlverfahren
läuft beispielsweise
in seinen Hauptzügen
folgendermaßen
ab:
- • Der
zukünftige
Internetwähler
lädt sich
die Intergramm-Software auf seinen Computer und besorgt sich bei
seiner Gemeinde eine Signierdiskette.
- • Vor
der Wahl beantragt er die Stimmabgabe über das Internet. Die Gemeinde
prüft,
ob der Antragsteller im Wählerverzeichnis
vermerkt ist und vermerkt dies.
- • Der
Internetwähler
erhält
von der Gemeinde eine Wahldiskette, mit der er Intergramme mit anonymer
Signatur erzeugen kann. Diese Wahldiskette kann er sich aus Daten
selbst herstellen, die ihm per Intergramm und Email über das
Internet zugeschickt werden.
- • Am
Wahltag lädt
sich der Internetwähler
den elektronischen Stimmzettel auf seinen Computer, füllt am Bildschirm
den Stimmzettel aus, authentisiert sich mit seiner Wahldiskette,
versieht den Stimmzettel durch einen Klick mit einer anonymen Signatur
und sendet ihn durch einen weiteren Klick verschlüsselt über das
Internet und das autonome Modul an die elektronische Wahlurne
- • Nach
Wahlende authentisiert sich der Wahlleiter mit einer für ihn angefertigten
Prüfdiskette
am Wahlleiter-Computer und lädt
durch einen Klick die elektronischen Stimmzettel aus der Wahlurne auf
den Wahlleiter-Computer, wobei sie automatisch entschlüsselt werden.
- • Die
anonyme Signatur jedes Stimmzettels wird durch einen Klick verifiziert.
- • Ungültig unterzeichnete
Stimmzettel und solche mit Signaturen, die von demselben anonymen
Unterzeichner stammen, werden vor der Auszählung der Stimmen ausgesondert.
- • Die
elektronischen Stimmzettel werden ausgewertet und in die elektronische
Stimmzettelbox eingegeben.
- • Der
Internetwähler
und jeder andere Interessierte verbindet sich mit der elektronischen
Stimmzettelbox, um die elektronischen Stimmzettel anhand ihrer anonymen
Signatur auf Echtheit zu überprüfen.
- • Außerdem werden
die elektronischen Stimmzettel auf Papier gedruckt, eventuell noch
einmal zusammen mit den auf Papier ausgefüllten Stimmzetteln ausgewertet
und für
Kontrollzwecke in dieser Form aufbewahrt.
-
Das
normale Intergramm-Verfahren zum Austausch verschlüsselt über das
Internet gesendeter Mitteilungen, die mit einer dreiteiligen elektronischen
Signatur unterschrieben sind und auf dem das erfindungsgemäße Internet-Wahlverfahren
aufbaut, funktioniert folgendermaßen (vgl.
DE 100 10 365 A1 ): Die
Daten zum Erzeugen der Signierdiskette jedes neuen Teilnehmers werden
unter der Aufsicht einer vertrauenswürdigen Instanz vom System hergestellt, nachdem
die Instanz sich von der Identität
des neuen Teilnehmers überzeugt
hat. Nach dem Startbefehl erzeugt das System automatisch und von
außen
her nicht wahrnehmbar für
den neuen Teilnehmer K- und G-Werte, die als Wertepaar K-G verschlüsselt in
die Datenbank eines gegen äußere Einflüsse und
Wahrnehmungen abgeschirmten autonomen Moduls (Internetservers) gelangen.
Im gleichen Zug stellt das System eine zunächst noch nicht aktivierbare
personalisierte Datei her, welche ebenfalls die K- und G-Werte enthält. Außerdem wird
vom System ein Code zum Aktivieren dieser Datei erzeugt.
-
Wenn
der neue Teilnehmer sich persönlich bei
der vertrauenswürdigen
Instanz vorstellt, kann er dort unmittelbar vom System den Code
und die noch nicht aktivierbare personalisierte Datei auf einer
Diskette erhalten. Wenn sich die vertrauenswürdige Instanz ohne die persönliche Anwesenheit
des Teilnehmers durch Zusendung beweiskräftiger Unterlagen von dessen
Identität überzeugt,
erhält
der Teilnehmer den Code und die noch nicht aktivierbare personalisierte
Datei auf getrennten Wegen, worauf er sich die Datei auf eine Diskette
kopiert. Nach Eingabe des Codes verfügt der Teilnehmer über eine
individuelle Signierdiskette zum Unterschreiben seiner Intergramme.
-
Die
entscheidende Änderung
dieses konventionellen Intergramm-Verfahrens in Hinsicht auf seine Nutzung
für Internetwahlen
liegt darin, die Unterzeichnerkennung K der dreiteiligen elektronischen Signatur
nicht für
jeden sichtbar mit der Person des Unterzeichners zu verknüpfen, sondern
K als Zufallszahl zu erzeugen und vor jedermann geheim zu halten,
abgesehen natürlich
vom Eigentümer
der Signierdiskette selbst. Die Authentizität von Intergrammen, deren Unterschrift
einen solchermaßen anonymen
K-Wert enthält,
lässt sich
durch Verifizieren genau so wie die eines Intergramms mit normaler
Unterzeichnerkennung K sicher nachweisen.
-
Das
erfindungsgemäße Wahlverfahren
kann vom heimischen Computer aus einfach, transparent, kostengünstig, zeitsparend
und sicher organisiert werden. Als vertrauenswürdige Instanz, unter deren Aufsicht
das System die Daten zur Herstellung der Signierdisketten erzeugt,
fungiert die für
den Stimmbezirk zuständige
Wahlbehörde
bzw. Gemeinde. Das autonome Modul in Form eines gegen äußere Einflüsse und
Wahrnehmungen abgeschirmten Internetservers kann dabei für viele
Stimmbezirke gemeinschaftlich eingerichtet werden.
-
Das
erfindungsgemäße Verfahren
läuft im Detail
folgendermaßen
ab: Rechtzeitig vor der Wahl lädt
sich der zukünftige
Internetwähler
die Intergramm-Software aus dem Internet auf seinen Computer und
besorgt sich bei seiner Gemeinde, welche sich von der Identität des potenziellen
Internetwählers überzeugt,
persönlich
oder über
das Internet den Code und die noch nicht aktivierbare Datei zur
Herstellung seiner Signierdiskette, Mit dieser kann er jederzeit
Intergramme mit normaler Unterzeichnerkennung K in der Signatur
erzeugen und empfangen.
-
Bei
passender Gelegenheit beantragt der zukünftige Internetwähler per
Intergramm bei seiner Gemeinde seine Teilnahme an der Internetwahl.
Er versichert dabei an Eides statt, dass er seine Stimme persönlich und
unbeeinflusst abgeben wird. Nachdem ein Beauftragter der Gemeinde
geprüft
hat, ob der Wähler
im Wählerverzeichnis
aufgeführt
ist, stellt er für
ihn eine noch nicht aktivierbare Wahldisketten-Datei zur Erzeugung
von anonymen dreiteiligen elektronischen Signaturen her und übermittelt
sie ihm per Email. Gesondert erhält
er per Intergramm den Code zur Aktivierung der Wahldiskette. Die
Datei kopiert sich der Internetwähler
auf eine Diskette und aktiviert diese mit dem Code. Damit verfügt er über eine Wahldiskette,
mit der er aus dem Internet herunterladbare elektronische Stimmzettel
anonym unterzeichnen kann.
-
Vor
der Stimmabgabe besorgt sich der Internetwähler einen elektronischen Stimmzettel,
füllt diesen
am Computer-Bildschirm aus, authentisiert sich mit seiner Wahldiskette,
unterzeichnet den Stimmzettel mit einer anonymen dreiteiligen elektronischen
Signatur durch einen Klick und sendet ihn als Intergramm durch einen
weiteren Klick verschlüsselt über das
autonome Modul an die elektronische Wahlurne des Wahllokals.
-
Nach
Wahlende authentisiert sich der Wahlleiter am Wahlleiter-Computer
mit einer für
ihn angefertigten Prüfdiskette
und öffnet
hierdurch die elektronische Wahlurne, in der alle eingegangenen
Internetstimmzettel in verschlüsselter
Form gesammelt sind. Durch einen Klick werden die Stimmzettel von
der elektronischen Wahlurne über
das Internet zum Wahlleiter-Computer gesendet und dort automatisch entschlüsselt. Durch
je einen Klick wird die elektronische Signatur aller Stimmzettel
verifiziert.
-
Stimmzettel
mit ungültiger
Signatur oder solche mit gleichem K-Wert werden ausgesondert. Hiermit
wird sichergestellt, dass jeder Internetwähler nur einen Stimmzettel
einreichen kann. Auch ist ausgeschlossen, dass ein Internetwähler noch
zusätzlich persönlich im
Wahllokal seine Stimme abgibt, denn sein Antrag auf Teilnahme an
der Internetwahl wurde in der Wählerliste
vermerkt.
-
Die
elektronischen Stimmzettel werden nach ihrer Verifizierung ausgewertet
und in die elektronische Stimmzettelbox eingegeben, damit sich jeder Internetwähler anhand
seiner individuellen anonymen Signatur davon überzeugen kann, dass sein Votum
korrekt berücksichtigt
wurde. Jeder Interessierte kann die Echtheit der Stimmzettel und
das Wahlergebnis mit entsprechender Software durch Verbindung mit
der Stimmzettelbox prüfen
Außerdem
werden die elektronisch übermittelten
Stimmzettel ausgedruckt, eventuell noch einmal zusammen mit den persönlich im
Wahllokal ausgefüllten
oder per Brief eingereichten papiergebundenen Stimmzetteln ausgezählt und
für eventuelle
Kontrollen aufbewahrt. Zur Sicherheit können die wesentlichen Komponenten des
Wahlverfahrens doppelt ausgelegt werden, damit man bei Ausfall einer
Komponente auf das entsprechende Duplikat übergehen kann.
-
Die
erfindungsgemäßen Wahlen
sind wählerfreundlich,
transparent, sicher und preiswert, denn:
- • Der Internetwähler muss
zur Vorbereitung der Wahl nicht persönlich bei seiner Gemeinde vorbeikommen,
sondern kann die Wahlunterlagen per Internet einreichen und erhalten.
- • Der
Wähler
gibt seine Stimme am eigenen Computer ab.
- • Kostenaufwändige und
störanfällige Einrichtungen
wie etwa Chipkarten und Chipkarten-Leser werden bei der Verwendung
von Signierdisketten nicht benötigt.
- • Der
Wahlvorgang ist einfach und bequem: Der Wähler füllt seinen elektronischen Stimmzettel aus,
authentisiert sich mit seiner Wahldiskette, erzeugt eine anonyme
Signatur mit einem Klick und sendet seinen verschlüsselten
Stimmzettel mit einem zweiten Klick über das Internet zur elektronischen
Wahlurne.
- • Die
Wahlauswertung ist ebenfalls einfach und bequem: Nach Wahlende authentisiert
sich der Wahlleiter am Wahlleiter-Computer mit seiner Prüfdiskette, öffnet die
elektronische Wahlurne, entschlüsselt
die Stimmzettel und prüft
deren Echtheit mit je einem Klick. Danach werden sie ausgewertet
und in die elektronische Stimmzettelbox eingegeben.
- • Jeder
Internetwähler
und sonstig Interessierter kann die Stimmzettelbox von seinem Computer aus
einsehen und kontrollieren.
- • Die
anonyme Signatur eines Stimmzettels kann nur der Wähler selbst
mit dem Unterzeichner in Verbindung bringen, denn die Internetspuren
lassen sich höchstens
bis zum autonomen Modul zurückverfolgen.
- • Bei
Ausdruck auf Papier können
die elektronisch übermittelten
Stimmzettel wie die übrigen
Stimmzettel verwaltet werden.
- • Die
Hardware-Ausstattung zur Organisation der Internetwahl ist denkbar
unaufwändig.