DE69613409T2 - Verfahren und Vorrichtung zur gesicherten anonymen Nachrichtenübertragung und zum elektronischen Abstimmen - Google Patents

Verfahren und Vorrichtung zur gesicherten anonymen Nachrichtenübertragung und zum elektronischen Abstimmen

Info

Publication number
DE69613409T2
DE69613409T2 DE69613409T DE69613409T DE69613409T2 DE 69613409 T2 DE69613409 T2 DE 69613409T2 DE 69613409 T DE69613409 T DE 69613409T DE 69613409 T DE69613409 T DE 69613409T DE 69613409 T2 DE69613409 T2 DE 69613409T2
Authority
DE
Germany
Prior art keywords
message transmission
transmission according
messages
center
secure anonymous
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69613409T
Other languages
English (en)
Other versions
DE69613409D1 (de
Inventor
Joseph J. Kilian
Kazue Sako
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of DE69613409D1 publication Critical patent/DE69613409D1/de
Application granted granted Critical
Publication of DE69613409T2 publication Critical patent/DE69613409T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C13/00Voting apparatus
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/46Secure multiparty computation, e.g. millionaire problem
    • H04L2209/463Electronic voting

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Description

  • Die Erfindung betrifft die sichere anonyme Nachrichtenübertragung und insbesondere zahlentheoretische Verfahren und Vorrichtungen zur sicheren elektronischen Abstimmung.
  • Die sichere elektronische Abstimmung ist eine der wichtigsten Anwendungen von mehrere Beteiligte einbeziehenden Berechnungen. Trotz umfangreicher Arbeiten zu diesem Thema fand man bisher auf theoretischem oder praktischem Gebiet keine vollständige Lösung dafür. Selbst die allgemeinen Lösungen für sichere Mehrteilnehmerprotokolle weisen nicht alle gewünschten Sicherheitseigenschaften von Wahlen auf.
  • Eine Reihe eher praktischer Abstimmungsprotokolle wurde mit stark unterschiedlichen Sicherheitseigenschaften vorgeschlagen. Ansätze auf der Grundlage von anonymen Kanälen/Mischern sind infolge ihrer überlegenen Effizienz und der beliebigen Art der zulässigen Stimmen stark verbreitet.
  • Zuerst wurden anonyme Mischnetzkanäle von D. Chaum in einem Beitrag mit dem Titel "Untraceable Electronic Mail, Return Address, and Digital Pseudonyms" in "Communication of the ACM", ACM, 1981, Seiten 84 bis 88 vorgeschlagen. Später wurden zahlreiche auf dieser Grundtechnik basierende Abstimmungsansätze vorgeschlagen, z. B. in einem Beitrag von A. Fujioka et al. mit dem Titel "A Practical Secret Voting Scheme for Large Scale Elections" in "Advances in Cryptology - Auscrypt '92", 1992, Seiten 244 bis 251 sowie in einem Beitrag von C. Park et al. mit dem Titel "All/Nothing Election Scheme and Anonymous Channel" in "Advances in Cryptology, Eurocrypt '93", 1993, Seiten 248 bis 259.
  • Diese Ansätze sind effizient, haben aber die folgenden Mängel: Der einfachste dieser Ansätze ermöglicht es einem Wähler nicht, sicher gegen die Auslassung einer Stimme Einspruch zu erheben, ohne es einem böswilligen Wähler zu ermöglichen, die Wahl zu blockieren. Nach der Wahl ist jeder Wähler normalerweise dafür verantwortlich zu prüfen, daß seine Stimme richtig gezählt wurde. Für einen Beobachter von außen besteht gewöhnlich keine Möglichkeit, im Nachhinein zu überprüfen, daß sie Wahl ordnungsgemäß durchgeführt wurde. Zudem sind einige anonyme Kanäle anfällig für einen Angriff, was in einem Beitrag von B. Pfitzmann mit dem Titel. "Breaking an efficient anonymous channel" in "Eurocrypt '94 Proceedings", 1994, Seiten 339 bis 348 beschrieben wurde.
  • Gemäß den Lehren der vorliegenden Erfindung werden ein sicherer anonymer Kanal und ein Abstimmungsansatz beschrieben, wobei ein Beobachter von außen überprüfen kann, daß die Wahl tatsächlich korrekt durchgeführt wurde. Daher läßt sich die Auslassung einer Stimme von jedem feststellen, ohne zu befürchten, daß ein böswilliger Wähler die Wahl blockiert. Ferner trägt die Erfindung dazu bei, einen Angriff gemäß dem o. g. Vorschlag von B. Pfitzmann abzuwehren.
  • Beschrieben wird ein sicherer anonymer Kanal, wobei mehrere Nachrichten zu einem gleichen Ziel über mehrere Mischzentren sicher übertragen werden. Sind die zu sendenden Nachrichten Stimmen, wobei das Ziel ein Stimmenzählzentrum ist und das erste Mischzentrum Nachrichten gültiger Wähler akzeptiert, wird dieser Ansatz zu einem sicheren Abstimmungsansatz. Allgemein betrifft die Erfindung einen Ansatz zur anonymen Nachrichtenübertragung, wobei die sichere elektronische Abstimmung eine praktische Anwendung der allgemeineren Erfindung ist.
  • Bei diesem Ansatz werden verschlüsselte Nachrichten von den Sendern nacheinander durch die Mischzentren verarbeitet, bis das letzte Zentrum eine zufällig nicht zurückverfolgbar geordnete Menge unverschlüsselter Nachrichten ausgibt. Das heißt, die für den anonymen Kanal verwendeten Verschlüsselungen wurden entfernt oder entschlüsselt. Auf hoher Ebene versenden die Sender zunächst ihre verschlüsselten Nachrichten. Ein Mischzentrum i verarbeitet jede durch ein Mischzentrum i-1 (oder von den Sendern, wenn i = 1) versendete Nachricht und versendet die Ergebnisse in permutierter Reihenfolge.
  • Durch jedes Mischzentrum i wird ein Verfahrensablauf in drei Schritten eingehalten. Der erste Schritt ist das Versenden entschlüsselter Ergebnisse jeder eingegebenen Nachricht. Der zweite Schritt ist das Mischen der Ergebnisse und ihr Versenden in permutierter Reihenfolge. Der dritte Schritt ist das Beweisen, daß die Zentren den ersten und zweiten Schritt richtig durchführten. Die Fiat-Shamir-Technik gemäß der Diskussion in einem Beitrag mit dem Titel "How to Prove Yourself: Practical solutions to identification and signature problems" in "Advances in Cryptology - Crypto '86", Springer Verlag, 1986, Seiten 186 bis 199 kann verwendet werden, um diese Beweise nicht interaktiv zu machen.
  • Am Schluß des Drei-Schritt-Verfahrens oder zu einem späteren Zeitpunkt kann jeder interessierte Beteiligte die resultierenden Beweise prüfen, um zu bestätigen, daß die Nachrichten alle richtig gehandhabt wurden. Bei diesem Verfahren zur Realisierung universeller Verifizierbarkeit besteht keine Notwendigkeit, den Nachrichten Redundanz zuzufügen.
  • Außerdem ergibt die Erfindung ein Verfahren, das die Kommunikations- und Berechnungsmenge reduziert, die zum Erzeugen, Übertragen und Prüfen der Beweise notwendig ist, indem mehrere Beweise zu einem Einzelbeweis kombiniert werden.
  • Anhand eines Beispiels offenbaren die nachfolgende Beschreibung und die Zeichnungen die Erfindung, die in den beigefügten Ansprüchen gekennzeichnet ist, deren Festlegungen den hier angestrebten Schutzumfang bestimmen. Es zeigen:
  • Fig. 1 eine schematische Darstellung einer bevorzugten Ausführungsform zur praktischen Umsetzung der Erfindung;
  • Fig. 2 eine schematische Darstellung eines Nachrichtenflusses;
  • Fig. 3 eine schematische Darstellung eines Kanalprüfglieds; und
  • Fig. 4 eine schematische Darstellung eines Nachrichtenaufbauglieds.
  • Im folgenden wird ein Ansatz zur anonymen Nachrichtenübertragung als Veranschaulichung der Erfindung anhand von Fig. 1 und 2 beschrieben. Ansatzgemäß werden verschlüsselte Nachrichten von Sendern 10(1), 10(2), 10(3), ..., 10(1) nacheinander durch die Mischzentren 11(1), 11(2), 11(3), ..., 11(n) verarbeitet, bis das letzte Zentrum als seine Ausgabe eine zufällig nicht zurückverfolgbar geordnete Menge unverschlüsselter Nachrichten liefert. Wähler geben ihre Stimme mit Hilfe eines Senders ab, der eine Berechnungseinrichtung aufweist, vorzugsweise einen Personalcomputer, bei der es sich aber auch um eine Arbeitsstation o. ä. handeln kann. Ähnlich weist jedes Mischzentrum eine Berechnungseinrichtung auf, vorzugsweise einen Personalcomputer, eine Arbeitsstation o. ä. Zunächst versenden die Sender ihre verschlüsselten Nachrichten vorzugsweise an ein elektronisches Anschlagbrett oder eine andere öffentlich verfügbare Nachrichtenübermittlungseinrichtung. Ein Mischzentrum 11(i) verarbeitet jede vom vorherigen Mischzentrum 11(i-1) (oder von den Sendern 10, wenn i = 1) versendete Nachricht und versendet die Ergebnisse in permutierter Reihenfolge, bis das letzte Mischzentrum 11(n) das Ergebnis oder die Stimmenzählung versendet. Nachdem eine Übersicht über den Ansatz gegeben wurde, folgt nunmehr eine nähere Beschreibung der Einzelheiten, wie eine Nachricht m durch einen Sender anfangs verschlüsselt wird und wie ein Mischzentrum 11(i) jede Nachricht verarbeitet.
  • Zunächst müssen sich Abstimmungsteilnehmer, d. h. die Sender und die Mischzentren, auf die Verwendung von Primzahlen p und q einigen, wobei die folgende Beziehung für eine bestimmte Ganzzahl k vorliegt:
  • p = kq + 1.
  • Der Wert g' ist ein Generator mod p, und g ist gleich
  • g = (g')k mod p.
  • Angenommen sei, daß n Mischzentren vorhanden sind. Jedes Mischzentrum 11(i) erzeugt eine Ganzzahl xi Z und veröffentlicht
  • yi = gxi mod p
  • als seinen öffentlichen Schlüssel und behält xi als seinen geheimen Schlüssel. Zur Vereinfachung stellt wi das Produkt yi+1yi+2 ... yn dar und wn = 1.
  • Die Nachricht von einem Sender 10 lautet m. Der Sender erzeugt eine Zufallszahl r&sub0; und versendet
  • (G&sub1;, M&sub1;) = (gr0 mod p, (w&sub0;)r0·m mod p)
  • zur Verwendung durch das Mischzentrum 11(1).
  • Zur vereinfachten Erläuterung werden die drei Schritte Entschlüsseln, Umordnen und Beweisen der Zentren in dieser Reihenfolge beschrieben. Bei der Implementierung ist es aber nicht unbedingt erforderlich, die Schritte in dieser Reihenfolge durchzuführen.
  • Als Reaktion auf eine Eingabe (Gi, Mi) erzeugt ein Mischzentrum 11 i(i = 1, ..., n-1) eine Zufallszahl ri (unabhängig für jedes Nachrichtenpaar), berechnet die folgenden Werte unter Verwendung des geheimen Schlüssels xi:
  • Gi+1 = Gi·gri mod p = gr0+...+ri mod p
  • Hi+1 = G mod p
  • Mi+1 = Mi·w /Hi+i mod p = w ·m mod p
  • und versendet (Hi+1), was (Gi, Mi) entspricht. Der Wert (Gi+1, Mi+1) wird versendet, permutiert mit den anderen verarbeiteten Nachrichten zur Verwendung durch das Mischzentrum 11(i+1).
  • Das Mischzentrum 11(i) führt einen Algorithmus ENTSCHLÜSSELUNGSBEWEIS für Eingaben (Gi, g, yi, Hi+1) aus. Die Beschreibung des Algorithmus ENTSCHLÜSSELUNGSBEWEIS folgt später. Die Ausführung dieses Algorithmus beweist, daß das Mischzentrum 11(i) Hi+1 richtig erzeugte. Danach führt das Mischzentrum 11(i) einen Algorithmus UMORDNUNGSBEWEIS aus, der später beschrieben wird. Die Ausführung dieses Algorithmus beweist, daß das Mischzentrum ehrlich umgeordnet hat.
  • Das Mischzentrum 11(n) gewinnt m aus der Eingabe (Gi, Mi) zurück, indem es berechnet:
  • m = Mn/G mod p.
  • Danach führt das Mischzentrum 11(n) den Algorithmus ENTSCHLÜSSELUNGSBEWEIS für Eingabe (Gn, g, yi, Mn/m) aus.
  • Nachstehend werden die Algorithmen ENTSCHLÜSSELUNGSBEWEIS und UMORDNUNGSBEWEIS beschrieben. Die Algorithmen beinhalten ein Beweisglied und ein Verifizierglied. Das Verifizierglied kann eine Zufallsbake oder eine Ausgabe einer geeigneten Hashfunktion sein, was später beschrieben wird.
  • Zur Beschreibung des Algorithmus ENTSCHLÜSSELUNGSBEWEIS wird die erste Phase des Protokolls wie folgt abstrahiert: Ist G gegeben, weist der erste Schritt die Durchführung der Verschlüsselung auf, um H = Gz mod p zu erzeugen. Ist (G, g, y = gz mod p, H) gegeben, beinhaltet der Beweis, daß H auf diese Weise aus G erzeugt wird. Der Algorithmus ist folgender:
    • ENTSCHLÜSSELUNGSBEWEIS
  • 1. Das Beweisglied wählt einheitlich r Zp-1.
  • Es seien y' = gr mod p
  • G' = Gr mod p.
  • Das Beweisglied sendet (y', G').
  • 2a. Mit der Wahrscheinlichkeit 1/2 fordert das Verifizierglied das Beweisglied auf, r offenzulegen. Das Verifizierglied prüft, daß y' und G' mit r konsistent sind.
  • 2b. Mit der Wahrscheinlichkeit 1/2 fordert das Verifizierglied das Beweisglied auf, r' = r - x offenzulegen. Das Verifizierglied prüft, daß
  • y' = gr'·y mod p und
  • G' = H·Gr' mod p.
  • Ende des Algorithmus
  • Zur Beschreibung des Algorithmus UMORDNUNGSBEWEIS wird der zweite Schritt wie folgt abstrahiert.
  • Sind Konstanten g, w sowie
  • gegeben, weist der zweite Schritt die Erzeugung von r&sub1;, r&sub2;, ... und einer Permutation π sowie die Erzeugung einer Menge von Paaren
  • auf. Hierin bezeichnet ai(1) G's, und ai(2) bezeichnet M/H' s im ersten Schritt. Sind (A, B, g, w) gegeben, beinhaltet der Beweis, daß B auf diese Weise aus A erzeugt werden konnte. Der Algorithmus ist wie folgt:
    • UMORDNUNGSBEWEIS
  • 1. Das Beweisglied wählt einheitlich t Zp-1, eine Zufallspermutation λ und
  • Das Beweisglied sendet C.
  • 2a. Mit der Wahrscheinlichkeit 1/2 fordert das Verifizierglied das Beweisglied auf, λ und ti offenzulegen. Das Verifizierglied prüft auf diese Weise, daß C mit A, λ, ti konsistent ist.
  • 2b. Mit der Wahrscheinlichkeit 1/2 fordert das Verifizierglied das Beweisglied auf, λ' = λ o π&supmin;¹ und t'i = ti - r'i offenzulegen. Das Verifizierglied prüft, daß C aus B auf folgende Weise erzeugt werden kann:
  • Ende des Algorithmus.
  • Jede Ausführung des Algorithmus ENTSCHLÜSSELUNGSBEWEIS oder UMORDNUNGSBEWEIS stellt ein betrügerisches Beweisglied mit der Wahrscheinlichkeit 1/2 fest. Um diese Wahrscheinlichkeit näher an 1 anzuheben, sind unabhängige Ausführungen notwendig.
  • Während diese Algorithmen für ein Verifizierglied gegeben sind, besteht eine effizientere Lösung in der Verwendung der Fiat-Shamir-Methode zur Interaktionsbeseitigung. Zunächst wird das Protokoll vielmals durchlaufen (in der Größenordnung von 40 bis 60 mal), um die Wahrscheinlichkeit, allen Anfechtungen zu widerstehen, äußerst klein zu machen. Danach wird das Verifizierglied durch eine zweckmäßig "zufällig aussehende" Hashfunktion ersetzt, die die Anfechtungen anhand des Versendens der Algorithmen ENTSCHLÜSSELUNGSBEWEIS oder UMORDNUNGSBEWEIS durch das Beweisglied im Schritt 1 erzeugt. Beschrieben ist diese Heuristik der Fiat-Shamir-Methode in einem Beitrag mit dem Titel "How to Prove Yourself: Practical solutions to identification and signature problems" in "Advances in Cryptology - Crypto '86", Springer Verlag, 1986, Seiten 186 bis 199. Auf diese Weise kann das Beweisglied alle Nachrichten zum Verifizierglied in einer Einzelnachricht senden. Diese Nachricht wird zum öffentlichen Zugang versendet.
  • Der Großteil der Berechnung und Kommunikation, die zur Ausführung des Algorithmus ENTSCHLÜSSELUNGSBEWEIS für jede der Nachrichten von vorherigen Zentren erforderlich ist, läßt sich reduzieren. Durch Kombinieren vieler dieser Beweise zu einem Einzelbeweis können die Zentren effizient nachweisen, daß sie alle Eingaben richtig verschlüsselt haben.
  • Notwendig ist aufzuzeigen, daß die folgende Gleichung für jedes Paar (G(j), H(j)) gilt:
  • H(j) = (G(j))x mod p.
  • Die vorstehenden Gleichungen werden unter Verwendung zufällig ausgewählter Koeffizienten cj zur folgenden Einzelgleichung reduziert:
  • G = Πi(G(j))cj und H = Πi(H(j))cj
  • Ein Zentrum kann das vorgenannte Protokoll ausführen, wobei G = Πi(G(j))cj und H = Πi(H(j))cj gilt. Vorteilhaft wird die Tatsache genutzt, daß bei einer oder mehreren falschen Ausgangsgleichungen im Fall von Zufallsauswahl der Koeffizienten die Endgleichung mit hoher Wahrscheinlichkeit auch falsch sein wird. Diese Zufallskoeffizienten dürfen nicht durch das Beweisglied ausgewählt werden, sondern sollten durch ein Verifizierglied, eine Bake oder als Ausgabe einer geeigneten Hashfunktion bereitgestellt werden.
  • Ähnlich läßt sich als Abwandlung dieses Ansatzes der folgende anonyme Zweirundenkanal aufbauen. Im anonymen Zweirundenkanal ordnet zunächst jedes Mischzentrum 11(i) bei Eingaben (Gi, Mi) die Eingaben zu (Gi·gri mod p, Mi·w mod p) um und leitet die umgeordneten Werte in einer Zufallsreihenfolge zum nächsten Zentrum weiter. Jedes Zentrum für den Algorithmus UMORDNUNGSBEWEIS aus (mit einigen für diesen Ansatz festgelegten Konstanten), um die Richtigkeit der Informationen nachzuweisen. Werden die umgeordneten Nachrichten abschließend zum Mischzentrum 11(n) geführt, veröffentlicht das Mischzentrum 11 (n) Gn+1 und Mn+1 für jede Nachricht. Anschließend veröffentlicht jedes Mischzentrum Hi = G . Das Mischzentrum 11(i) führt den Algorithmus ENTSCHLÜSSELUNGSBEWEIS mit der Eingabe (Gn+1, g, Hi) aus, um die Richtigkeit nachzuweisen. Die Nachricht m kann durch Mn+1/ΠHi zurückgewonnen werden.
  • Um einen Angriff mit Stimmenduplizierung abzuwenden, kann jeder Sender die zu versendende Nachricht signieren und verschlüsseln. Das heißt, der Sender kann die Ausgabe einer zu versendenden Nachricht signieren. Durch Signieren der Ausgabe eines Nachrichtenaufbauglieds (später beschrieben) und anschließendes Verschlüsseln der Nachricht mit dem öffentlichen Schlüssel des ersten Zentrums 11(1) kann ein böswilliger Sender nicht die Nachricht eines weiteren Senders kopieren, da die kopierte Nachricht nicht die korrekte Signatur hätte. Außerdem ist die Nachricht so verschlüsselt, daß die Nachricht nicht entschlüsselt werden kann, und auch keine andere Signatur kann an die verschlüsselte Nachricht angefügt werden.
  • Alternativ kann das erste Zentrum alle Nachrichten von den Sendern verbergen, bis jeder Sender eine Mitteilung oder Nachricht versendet hat.
  • Um zu verhindern, daß das erste Zentrum 11(1) und ein böswilliger Sender konspirieren, ist es möglich, einen herkömmlichen sicheren Festschreibungsansatz zu verwenden, z. B. den gemäß der Diskussion in einem Beitrag von M. Naor mit dem Titel "Bit commitment using pseudo-randommess" in "Advances in Cryptology - CRYPTO '89", 1989, Seiten 128 bis 136.
  • Nach der Beschreibung eines bevorzugten Verfahrens zur praktischen Umsetzung der Erfindung werden im folgenden bevorzugte Ausführungsformen beschrieben, die zum Praktizieren der Erfindung von Nutzen sind.
  • Fig. 1 zeigt schematisch eine bevorzugte Ausführungsform zur praktischen Realisierung der Erfindung. Die Sender 10(1), 10(2), 10(3), ..., 10(1) und Mischzentren 11(1), 11(2), 11(3), ..., 11(n) verwenden Personalcomputer oder Arbeitsstationen, die mit einem herkömmlichen elektronischen Anschlagbrett 12 verbunden sind. Alle Teilnehmer (Sender, Verifizierglieder, Zentren u. ä.) am Nachrichtenübertragungsverfahren interagieren, indem sie Nachrichten an das Anschlagbrett versenden und Nachrichten von ihm empfangen. Sender können auch als Zentren dienen. Die Personalcomputer enthalten entweder Software zur Durchführung des zuvor beschriebenen Verfahrens, oder sie enthalten alternativ in Hardware oder Software Ausführungsformen der in Fig. 2 beschriebenen Elemente.
  • Fig. 2 veranschaulicht, wie Nachrichten anonym übertragen werden. Jedes Nachrichtenaufbauglied 14(1), 14(2), 14(3), ..., 14(1) des Nachrichtensenders 10(1), 10(2), 10(3), ..., 10(1) erzeugt eine verschlüsselte Nachricht 16(1), 16(2), 16(3), ..., 16(1) unter Verwendung von Konstanten 15 gemäß der vorstehenden Beschreibung. Die verschlüsselten Nachrichten 16 werden an das elektronische Anschlagbrett 12 versendet. Danach liest jedes Mischzentrum 11(i) als seine Eingabe eine Nachricht 17(i-1) vom Anschlagbrett 12. (Das Mischzentrum 11(1) liest die verschlüsselte Nachricht 16.) Anschließend folgt das Mischzentrum der Verarbeitungsfolge Entschlüsseln 19, Umordnen 20, ENTSCHLÜSSELUNGSBEWEIS 21, UMORDNUNGSBEWEIS 22 unter Verwendung seines geheimen Schlüssels 23(i) wie zuvor beschrieben. Die verarbeiteten Nachrichten und Beweise 17(i) werden an das elektronische Anschlagbrett versendet. (Das Mischzentrum 11(n) versendet verschlüsselte Nachrichten 18.) Bei einer elektronischen Abstimmung versendet das Mischzentrum 11(n) eine Stimmenzählung.
  • Fig. 3 veranschaulicht schematisch ein Kanalprüfglied 24. Das Kanalprüfglied 24 empfängt Konstanten 15, verschlüsselte Nachrichten 16, eine Menge verarbeiteter Nachrichten und Beweise 17(1), 17(2) ... und entschlüsselte Nachrichten 18 und bestimmt, ob die Nachrichtenübertragung gemäß der vorstehenden Festlegung verarbeitet wurde, woraus ein gültiger oder ungültiger Kanal hervorgeht. Das heißt, das Kanalprüfglied weist ein Verifizierglied für die durch die Mischzentren gelieferten Beweise auf.
  • Fig. 4 zeigt ein Nachrichtenaufbauglied 14. Das Nachrichtenaufbauglied 14 erzeugt eine verschlüsselte Nachricht 16 für die Nachricht 25 unter Verwendung der zuvor beschriebenen Konstanten 15.
  • Wenngleich ein bevorzugtes Verfahren und eine bevorzugte Vorrichtung zur sicheren anonymen Nachrichtenübertragung und elektronischen Abstimmung beschrieben und dargestellt wurden, wird dem Fachmann deutlich sein, daß Änderungen und Abwandlungen daran sowie andere Ausführungsformen möglich sind, ohne von der hier dargestellten allgemeinen Lehre abzuweichen, und daß der angestrebte Schutzumfang allein durch die beigefügten Ansprüche festgelegt ist.

Claims (26)

1. Verfahren zur sicheren anonymen Nachrichtenübertragung von mehreren Sendern (10) durch Verwendung mehrerer Mischzentren (11), wobei das Verfahren die folgenden Schritte aufweist:
(a) Auswählen von Konstanten, die für Sender S&sub1;, S&sub2;, ..., S&sub1; (10) und Mischzentren C&sub1;, C&sub2;, ..., Cn (11) versendet werden,
(b) Aufbauen einer verschlüsselten Nachricht, die an jedem Sender Sk (10) versendet wird,
(c) Entschlüsseln und/oder Umordnen der versendeten Nachrichten von jedem Sender Sk (10) an einem ersten Mischzentrum Ci (11), wobei die resultierenden Nachrichten danach zur Verwendung durch das nächste Zentrum (11) versendet werden,
(d) nacheinander erfolgendes Entschlüsseln und/oder Umordnen der Nachrichten vom vorherigen Zentrum (11) an jedem Mischzentrum C&sub2; bis Cn-1 (11), wobei die resultierenden Nachrichten danach zur Verwendung durch das nächste Zentrum (11) versendet werden,
(e) Entschlüsseln und/oder Umordnen der Nachrichten vom vorherigen Zentrum Cn-1 (11) am letzten Mischzentrum Cn (11) und Versenden des Ergebnisses, dadurch gekennzeichnet, daß das Verfahren ferner die folgenden Schritte aufweist:
(f) an jedem Mischzentrum (11) erfolgendes Beweisen der Gültigkeit der Schritte des Entschlüsselns und/oder Umordnens sowie Versenden des Beweises, und
(g) Verifizieren der Richtigkeit der Schritte des Entschlüsselns und/oder Umordnens anhand der versendeten Nachrichten, des Ergebnisses und des Beweises bei Bedarf an einem Kanalprüfglied (24).
2. Verfahren zur sicheren anonymen Nachrichtenübertragung nach Anspruch 1, wobei die Schritte (c), (d) und (e) ferner den folgenden Schritt aufweisen:
(h) Versehen jedes Mischzentrums (11) mit einem geheimen Schlüssel (23), und
(i) den Sehritt des Entschlüsselns unter Verwendung des geheimen Schlüssels (23) eines jeweiligen Mischzentrums (11).
3. Verfahren zur sicheren anonymen Nachrichtenübertragung nach Anspruch 1, wobei ein Beweisschritt den Schritt des Ausführens eines Algorithmus ENTSCHLÜSSELUNGSBEWEIS aufweist.
4. Verfahren zur sicheren anonymen Nachrichtenübertragung nach Anspruch 1, wobei ein Beweisschritt den Schritt des Ausführens eines Algorithmus UMORDNUNGSBEWEIS aufweist.
5. Verfahren zur sicheren anonymen Nachrichtenübertragung nach Anspruch 3, wobei der Algorithmus ENTSCHLÜSSELUNGSBEWEIS für mehrere Nachrichten gemeinsam ausgeführt wird.
6. Verfahren zur sicheren anonymen Nachrichtenübertragung nach Anspruch 3, wobei der Algorithmus ENTSCHLÜSSELUNGSBEWEIS die Fiat-Shamir-Methode verwendet.
7. Verfahren zur sicheren anonymen Nachrichtenübertragung nach Anspruch 3, wobei nach dem letzten Mischzentrum Cn (11) das Ergebnis versendet wird und jedes Mischzentrum (11) den Algorithmus ENTSCHLÜSSELUNGSBEWEIS unter Verwendung des Ergebnisses ausführt.
8. Verfahren zur sicheren anonymen Nachrichtenübertragung nach Anspruch 1 mit dem Schritt des Versehens jedes Mischzentrums (11) mit einem geheimen Schlüssel (23), und wobei nach dem letzten Mischzentrum Cn das Ergebnis versendet wird und jedes Mischzentrum (11) das Entschlüsseln und/oder Umordnen unter Verwendung seines jeweiligen geheimen Schlüssels (23) und des Ergebnisses durchführt.
9. Verfahren zur sicheren anonymen Nachrichtenübertragung nach Anspruch 1, wobei im Schritt (b) jeder Sender Sk (10) seine verschlüsselte Nachricht im wesentlichen gleichzeitig versendet.
10. Verfahren zur sicheren anonymen Nachrichtenübertragung nach Anspruch 1, wobei im Schritt (b) jeder Sender Sk (10) seine verschlüsselte Nachricht unter Verwendung eines Schlüssels (23) für das erste Mischzentrum C&sub1; (11) aufbaut und die verschlüsselte Nachricht eine Signatur eines jeweiligen Senders Sk (10) aufweist.
11. Verfahren zur sicheren anonymen Nachrichtenübertragung nach Anspruch 1, wobei im Schritt (b) jeder Sender Sk (10) eine verschlüsselte Nachricht aufbaut, die offengelegt wird, nachdem das erste Mischzentrum C&sub1; (11) eine jeweilige verschlüsselte Nachricht empfangen hat.
12. Verfahren zur sicheren anonymen Nachrichtenübertragung nach Anspruch 1, wobei das erste Mischzentrum C&sub1; (11) nur legitime Nachrichten entschlüsselt und/oder umordnet und nur eine Nachricht von jedem Sender (10) entschlüsselt und/oder umordnet.
13. Verfahren zur sicheren anonymen Nachrichtenübertragung nach Anspruch 12, wobei die Sender (10) Wähler und die Nachrichten Stimmen sind.
14. Verfahren zur sicheren anonymen Nachrichtenübertragung nach Anspruch 13, wobei der Schritt des Entschlüsselns und/oder Umordnens am letzten Mischzentrum Cn (11) das Berechnen einer Stimmenzählung aufweist.
15. Vorrichtung zur sicheren anonymen Nachrichtenübertragung mit einem zeitweilig Nachrichten speichernden Anschlagbrett (12), mehreren Sendern S&sub1;, S&sub2;, ..., Si (10 (1), 10(2) usw.), wobei jeder Sender Sk eine verschlüsselte Nachricht (16(1), 16(2) usw.) unter Verwendung von Konstanten aufbaut und die verschlüsselte Nachricht (16) an das Anschlagbrett (12) versendet, mehreren Mischzentren C&sub1;, C&sub2;, ..., Cn (11(1), 11(2) usw.), wobei ein erstes Mischzentrum C&sub1; (11) die versendeten Nachrichten (16) von jedem Sender (10) unter Verwendung der Konstanten entschlüsselt und/oder umordnet und die resultierende Nachricht an das Anschlagbrett (12) zur Verwendung durch das nächste Mischzentrum (11) versendet, jedes Mischzentrum C&sub2; bis Cn-1, die Nachricht (16) vom vorherigen Mischzentrum (11) unter Verwendung der Konstanten nacheinander entschlüsselt und/oder umordnet und die resultierende Nachricht an das Anschlagbrett (12) zur Verwendung durch das nächste Mischzentrum (11) versendet, und das letzte Mischzentrum Cn Nachrichten vom vorherigen Zentrum Cn-1 unter Verwendung der Konstanten entschlüsselt und/oder umordnet und das Ergebnis an das Anschlagbrett (12) versendet, dadurch gekennzeichnet, daß die Vorrichtung aufweist: eine jedem jeweiligen Mischzentrum (11) zugeordnete Beweiseinrichtung (21) (22) zum Beweisen der Gültigkeit des Entschlüsselns und/oder Umordnens des jeweiligen Mischzentrums, wobei der Beweis an das Anschlagbrett (12) versendet wird, und eine Kanalprüfeinrichtung (24) zum Verifizieren der Richtigkeit des Entschlüsselns und/oder Umordnens anhand der versendeten Nachrichten (16), des Ergebnisses und des Beweises.
16. Vorrichtung zur sicheren anonymen Nachrichtenübertragung nach Anspruch 15 mit einer jedem jeweiligen Mischzentrum (11) zugeordneten Geheimschlüsseleinrichtung (23) zum Bereitstellen eines geheimen Schlüssels für das jeweilige Mischzentrum zum Entschlüsseln von Nachrichten.
17. Vorrichtung zur sicheren anonymen Nachrichtenübertragung nach Anspruch 15, wobei die Beweiseinrichtung (21) (22) einen Algorithmus ENTSCHLÜSSELUNGSBEWEIS zum Beweisen der Gültigkeit des Entschlüsselns verwendet.
18. Vorrichtung zur sicheren anonymen Nachrichtenübertragung nach Anspruch 17, wobei die Beweiseinrichtung (21) (22) den Algorithmus ENTSCHLÜSSELUNGSBEWEIS für mehrere Nachrichten ausführt.
19. Vorrichtung zur sicheren anonymen Nachrichtenübertragung nach Anspruch 15, wobei die Beweiseinrichtung (21) (22) einen Algorithmus UMORDNUNGSBEWEIS zum Beweisen der Gültigkeit des Umordnens verwendet.
20. Vorrichtung zur sicheren anonymen Nachrichtenübertragung nach Anspruch 15, wobei jeder Sender Sk (10) seine verschlüsselten Nachricht (16) im wesentlichen gleichzeitig an das Anschlagbrett (12) versendet.
21. Vorrichtung zur sicheren anonymen Nachrichtenübertragung nach Anspruch 16, wobei jeder Sender Sk (10) seine verschlüsselte Nachricht (16) unter Verwendung des geheimen Schlüssels (23) des ersten Mischzentrum C&sub1; (11) und mit einer Signatur des jeweiligen Senders Sk (10) aufbaut.
22. Vorrichtung zur sicheren anonymen Nachrichtenübertragung nach Anspruch 15, wobei die durch jeden Sender (10) aufgebaute verschlüsselte Nachricht (16) über das erste Mischzentrum (11) an das Anschlagbrett (12) versendet wird.
23. Vorrichtung zur sicheren anonymen Nachrichtenübertragung nach Anspruch 15, wobei das erste Mischzentrum C&sub1; (11) nur legitime Nachrichten (16) entschlüsselt und/oder umordnet und nur eine Nachricht (16) von jedem Sender (10) entschlüsselt und/oder umordnet.
24. Vorrichtung zur sicheren anonymen Nachrichtenübertragung nach Anspruch 23, wobei die Sender (10) Wähler und die Nachrichten (16) Stimmen sind.
25. Vorrichtung zur sicheren anonymen Nachrichtenübertragung nach Anspruch 24, wobei das Ergebnis eine Stimmenzählung aufweist.
26. Verfahren zur sicheren anonymen Nachrichtenübertragung nach Anspruch 4, wobei der Algorithmus ENTSCHLÜSSELUNGSBEWEIS die Fiat-Shamir-Methode verwendet.
DE69613409T 1995-01-23 1996-01-18 Verfahren und Vorrichtung zur gesicherten anonymen Nachrichtenübertragung und zum elektronischen Abstimmen Expired - Lifetime DE69613409T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US08/376,568 US5682430A (en) 1995-01-23 1995-01-23 Secure anonymous message transfer and voting scheme

Publications (2)

Publication Number Publication Date
DE69613409D1 DE69613409D1 (de) 2001-07-26
DE69613409T2 true DE69613409T2 (de) 2002-05-16

Family

ID=23485528

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69613409T Expired - Lifetime DE69613409T2 (de) 1995-01-23 1996-01-18 Verfahren und Vorrichtung zur gesicherten anonymen Nachrichtenübertragung und zum elektronischen Abstimmen

Country Status (5)

Country Link
US (1) US5682430A (de)
EP (1) EP0723349B1 (de)
JP (1) JP3003771B2 (de)
DE (1) DE69613409T2 (de)
ES (1) ES2158241T3 (de)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6092051A (en) * 1995-05-19 2000-07-18 Nec Research Institute, Inc. Secure receipt-free electronic voting
FR2738934B1 (fr) * 1995-09-15 1997-11-28 Thomson Multimedia Sa Systeme de comptabilisation anonyme d'informations a des fins statistiques, notamment pour des operations de vote electronique ou de releves periodiques de consommation
US5923846A (en) * 1995-11-06 1999-07-13 Microsoft Corporation Method of uploading a message containing a file reference to a server and downloading a file from the server using the file reference
JPH10301491A (ja) * 1997-04-28 1998-11-13 Ibm Japan Ltd 暗号通信方法とシステム
US6081793A (en) * 1997-12-30 2000-06-27 International Business Machines Corporation Method and system for secure computer moderated voting
US20050049082A1 (en) * 1998-03-18 2005-03-03 Callaway Golf Company Golf ball
JP2001202013A (ja) * 2000-01-21 2001-07-27 Nec Corp 匿名参加権限管理システム
WO2000021041A1 (en) 1998-10-06 2000-04-13 Chavez Robert M Digital elections network system with online voting and polling
US6317833B1 (en) * 1998-11-23 2001-11-13 Lucent Technologies, Inc. Practical mix-based election scheme
WO2001020562A2 (en) 1999-03-25 2001-03-22 Votehere, Inc. Multiway election method and apparatus
US6937728B1 (en) * 1999-05-19 2005-08-30 Nippon Telegraph And Telephone Corporation Verifiable anonymous channel
US20040133782A1 (en) * 1999-08-11 2004-07-08 International Computer Science Institute, A California Corporation Anonymous electronic transactions using auditable membership proofs
US20020078358A1 (en) * 1999-08-16 2002-06-20 Neff C. Andrew Electronic voting system
US6959281B1 (en) * 1999-12-06 2005-10-25 Freeling Kenneth A Digital computer system and methods for conducting a poll to produce a demographic profile corresponding to an accumulation of response data from encrypted identities
JP4181724B2 (ja) * 2000-03-03 2008-11-19 日本電気株式会社 証明付再暗号シャッフル方法と装置、再暗号シャッフル検証方法と装置、入力文列生成方法と装置及び記録媒体
US7389250B2 (en) 2000-03-24 2008-06-17 Demoxi, Inc. Coercion-free voting scheme
US7099471B2 (en) * 2000-03-24 2006-08-29 Dategrity Corporation Detecting compromised ballots
US20060085647A1 (en) * 2000-03-24 2006-04-20 Neff C A Detecting compromised ballots
WO2001073694A2 (en) * 2000-03-24 2001-10-04 Votehere, Inc. Verifiable, secret shuffles of encrypted data, such as elgamal encrypted data for secure multi-authority elections
US20030028423A1 (en) * 2000-03-24 2003-02-06 Neff C. Andrew Detecting compromised ballots
JP3788246B2 (ja) 2001-02-13 2006-06-21 日本電気株式会社 匿名復号システム及び匿名復号方法
US7729991B2 (en) * 2001-03-20 2010-06-01 Booz-Allen & Hamilton Inc. Method and system for electronic voter registration and electronic voting over a network
CA2441304C (en) * 2001-03-24 2005-05-31 Votehere, Inc. Verifiable secret shuffles and their application to electronic voting
US20050211778A1 (en) * 2001-05-10 2005-09-29 Biddulph David L Voting system and method for secure voting with increased voter confidence
JP3901471B2 (ja) * 2001-05-18 2007-04-04 日本電気株式会社 証明付シャッフル復号システムと証明付シャッフル復号方法、シャッフル復号検証方法
EP1469429B1 (de) * 2001-12-12 2009-03-04 Scytl Secure Electronic Voting, S.A. Verfahren zum sicheren elektronischen wählen und kryptographische protokolle und computerprogramme dafür
US7107447B2 (en) * 2003-04-17 2006-09-12 America Online, Inc. Use of pseudonyms vs. real names
US20050076089A1 (en) * 2003-09-18 2005-04-07 Fonseca Arnoldo Medeiros Method and system for communication from anonymous sender(s) to known recipient(s) for feedback applications
US7290278B2 (en) 2003-10-02 2007-10-30 Aol Llc, A Delaware Limited Liability Company Identity based service system
JP3890398B2 (ja) * 2004-02-19 2007-03-07 海 西田 ピアツーピア型匿名プロキシにおける安全性の高い匿名通信路の検証及び構築する方法
US8005211B2 (en) 2005-02-28 2011-08-23 Nec Corporation Shuffle-decrypting legitimacy certifying apparatus and method, shuffle-decrypting verifying apparatus and method, program, and recording medium
JP4771053B2 (ja) * 2005-05-27 2011-09-14 日本電気株式会社 統合シャッフル正当性証明装置、証明統合装置、統合シャッフル正当性検証装置及びミックスネットシステム

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NL9301348A (nl) * 1993-08-02 1995-03-01 Stefanus Alfonsus Brands Elektronisch betalingssysteem.
US5495532A (en) * 1994-08-19 1996-02-27 Nec Research Institute, Inc. Secure electronic voting using partially compatible homomorphisms

Also Published As

Publication number Publication date
DE69613409D1 (de) 2001-07-26
JPH08263575A (ja) 1996-10-11
US5682430A (en) 1997-10-28
JP3003771B2 (ja) 2000-01-31
ES2158241T3 (es) 2001-09-01
EP0723349B1 (de) 2001-06-20
EP0723349A2 (de) 1996-07-24
EP0723349A3 (de) 1999-06-16

Similar Documents

Publication Publication Date Title
DE69613409T2 (de) Verfahren und Vorrichtung zur gesicherten anonymen Nachrichtenübertragung und zum elektronischen Abstimmen
DE69520714T2 (de) Verfahren und Vorrichtung zum sicheren elektronischen Abstimmen
EP0384475B1 (de) Verfahren zur Identifikation von Teilnehmern sowie zur Generierung und Verifikation von elektronischen Unterschriften in einem Datenaustauschsystem
DE69636886T2 (de) Gesichertes elektronisches Abstimmen ohne Empfangsbestätigung
DE60114833T2 (de) Überprüfbare, geheime mischung von verschlüsselten daten wie z. b. elgamal-verschlüsselte daten für gesicherte mehrinstanzwahlen
DE102012206341B4 (de) Gemeinsame Verschlüsselung von Daten
DE68911935T2 (de) Varianten des Fiat-Shamir-Verfahrens zum Identifizieren und Unterschreiben.
DE69534192T2 (de) Verfahren zur gemeinsamen Nutzung einer geheimen Information, zur Erzeugung einer digitalen Unterschrift und zur Ausführung einer Beglaubigung in einem Kommunikationssystem mit mehreren Informationsverarbeitungseinrichtungen und Kommunikationssystem zur Anwendung dieses Verfahrens
DE69633590T2 (de) Verfahren zur Unterschrift und zur Sitzungsschlüsselerzeugung
DE69133502T2 (de) Geheimübertragungsverfahren und -gerät
DE69331183T2 (de) Verfahren und Vorrichtung zur Authentifizierung unter Verwendung eines Null-Kenntnis-Protokolls
DE19924986B4 (de) Verschlüsselungs-Konversionsvorrichtung, Entschlüsselungs-Konversionsvorrichtung, kryptografisches Kommunikationssystem und elektronische Gebühren-Sammelvorrichtung
CH660822A5 (de) Zufallsprimzahlen-erzeugungsmittel in einer mit oeffentlichem schluessel arbeitenden daten-verschluesselungsanlage.
Smith New cryptographic election protocol with best-known theoretical properties
DE69838258T2 (de) Public-Key-Datenübertragungssysteme
DE69911815T2 (de) Selbstkorrigierendes zufallsverschlüsselungssystem und -verfahren
EP1368929B1 (de) Verfahren zur authentikation
DE112012000971B4 (de) Datenverschlüsselung
DE69729297T2 (de) Verschlüsselungsvorrichtung für binärkodierte nachrichten
DE10248004A1 (de) Verfahren und Vorrichtung zum Verschlüsseln von Daten
DE69735290T2 (de) Verfahren zur unsymmetrischen kryptographischen kommunikation und zugehöriger tragbarer gegenstand
DE602004006373T2 (de) Verfahren und Vorrichtungen zur Erstellung fairer Blindunterschriften
DE60000649T2 (de) Authentifizierungs- oder unterschriftsverfahren mit verringter zahl an berechnungen
DE69505703T2 (de) Verfahren zur digitalen Unterschrift und Authentifizierung von Nachrichten unter Verwendung eines diskreten Logarithmus mit verringerter Anzahl von modularen Multiplikationen
DE10309817A1 (de) Verfahren zum sicheren Datenaustausch

Legal Events

Date Code Title Description
8364 No opposition during term of opposition