FI86486C - Foerfarande foer att arrangera teleroestningen pao ett saekert saett. - Google Patents

Description

1 86436

Menetelmä teleäänestyksen turvalliseksi järjestämiseksi. -Förfarande för att arrangera teleröstningen pä ett säkert sätt.

Teleäänestys tarkoittaa sellaista äänestysmenettelyä, jossa äänestäjille tarjotaan mahdollisuus käyttää äänioikeuttaan esimerkiksi tietoliikenneyhteyttä hyväksikäyttäen.

Teleäänestyksen periaatteellinen luonne on sellainen, että tietoliikennemediana käytettävän tietoliikenneverkon on täytettävä eräitä vaatimuksia, jotta se yleensäkään voisi tulla kysymykseen teleäänestyksissä. Tärkein vaatimus on se seikka, että verkon on oltava maantieteellisesti kattava, eli äänestäjien on päästävä mahdollisimman helposti käsiksi siihen. Tietoliikennemediat, jotka parhaiten tulevat kysymykseen teleäänestyksissä ovat esimerkiksi yleinen valintainen puhelinverkko, yleiset piirikytkentäiset datasiirtoverkot tai julkiset pakettikytkentäiset tiedonsiirtoverkot.

Tietoliikennemediana käytettävän verkon suuri maantieteellinen kattavuus aiheuttaa kuitenkin ongelman äänestyksen suorittamiselle ja erityisesti vaalisalaisuuden säilyttämiselle. Helppo käsiksipääsy näihin verkkoihin tekee ne tietosuojamielessä haavoittuviksi.

Perinteinen käsitys on ollut, että teleäänestys järjestelmien käyttöönoton eräs suurimmista esteistä on ollut nimenomaan se, että vaalisalaisuutta ei voida taata näissä menettelyissä.

Tämän keksinnön kohteena olevalla menetelmällä voidaan turvata vaalisalaisuus teleäänestyksissä.

Vaalisalaisuus äänestyksissä on usean eri tekijän summa. Tär-keimpänä asiana pidetään yleensä äänestystietojen salaisena ... pysymistä. Siis sitä, että yksityisen äänestäjän äänestysvalin-ta ei missään tilanteessa joudu muiden kuin äänestäjän itsensä käsiin.

2 86486 Tärkeä asia vaalisalaisuuden kannalta äänestysjärjestelmissä on myös molemminpuolisen luotettavan tunnistuksen varmistaminen. Jotta järjestelmää voitaisiin pitää turvallisena, on äänestäjän saatava varmuus siitä, että hän todellakin on yhteydessä siihen äänestyskoneeseen kuin mitä oli tarkoituskin eikä esimerkiksi äänestyskoneen toimintaa jäljittelevään salakuuntelijaan. Vastaavasti on tärkeää, että äänestyskoneella on mahdollisuus varmistaa äänestäjän identiteetti. Tämä siksi, että äänestäjällä olisi mahdollisuus käyttää vain omaa äänioikeuttaan.

Vaalisalaisuuden kannalta ehkä hieman vähemmän merkittäväksi asiaksi yleensä koetaan sen seikan suojaamista, että onko tietty äänestäjä käyttänyt äänestysoikeuttaan tietyssä äänestyksessä. Tämä turvallisuusvaatimus ei esimerkiksi toteudu perinteisellä tavalla suoritetuissa vaaleissa. Se, onko tietty henkilö käynyt äänestämässä vai ei on aina periaatteessa julkista tietoa.

Vaalisalaisuuden kannalta, siihen liittyvien yleisten periaatteiden mukaan, olisi kuitenkin olennaista, että se tieto onko äänestäjä äänestänyt tietyssä äänestyksessä vai ei voitaisiin suojata. Tästä asiasta on jopa esiintynyt runsaasti arvioita julkisuudessa. Näissä arvioidaan, että on moraalisesti arveluttavaa paljastaa, onko äänestäjä käyttänyt äänioikeuttaan vai ei.

Merkittävä uhka kaikille äänestysjärjestelmille on myös sellainen hyökkäys järjestelmää vastaan, jolla pyritään manipuloimaan vaalin varsinaista lopputulosta.

Menetelmän toiminta ia sovellutusalueet

Keksinnön mukaisella menetelmällä voidaan toteuttaa teleäänes-tysjärjestelmä, jossa voidaan turvata kaikki edellämainitut vaalisalaisuuden elementit.

3 8 6 4 8 6

Kuvassa 1. on esitetty erään tämän keksinnön mukaisen menetelmän toiminnallinen lohkokaavio. Siinä voidaan erottaa seuraavat osat: 1. Äänestäjän tietokone (VC), jolla äänioikeutettu suorittaa äänestyksen.

2. Fyysisesti suojattu äänestystietokone (PPVC), joka käsittelee äänestystiedon tallennusta varten sellaiseen muotoon, että se voidaan tallettaa erilliseen äänestystiedostoon (VF). Fyysisesti suojattu tietokone toteutetaan niin, että asiaankuulumattomat eivät pääse käsiksi talletettuihin salaisiin avaimiin tai muuhun luottamukselliseen tietoon. Myöskään ei ole mahdollista millään tavoin puuttua mainitun fyysisesti suojatun tietojenkä-sittelyelimen suorittamiin toimintoihin, toimintavuohon ym.

3. Äänestystiedosto (VF), jossa säilytetään äänestystulokset sellaisena kuin ne on äänestäjiltä vastaanotettu. On huomattava, että tiedosto säilytetään fyysisesti suojatun tietojenkä-sittelyelimen ulkopuolella, mutta sen käsittely on kuitenkin suojattu käyttäen kryptologisia menetelmiä. Tiedosto on suojattu sekä tiedon paljastumista (salakirjoittamalla) sekä muutosyrityksiä (sinetöimällä) vastaan. Tiedoston sinetti lasketaan siten, että se riippuu jokaisesta mainitun tiedoston informaatiobitistä niin, että yhdenkin bitin muutos aiheuttaa keskimäärin 50 % sinetin bittien muuttumisen, sinetin laskemi- :/·· seen käytetään fyysisesti suojatun tietojenkäsittelyelimen ·: sisällä olevaa master-avainta (Km), joka on ainoastaan mainitun äänestystietokoneen (PPVC) tiedossa. Sinetti on riippuvainen paitsi edellämainituista äänestystiedoista ja master-avaimesta (Km) niin myös fyysisesti suojatun tietojenkäsittelyelimen itse • luomasta satunnaisvektorista (RV). Tämä sen vuoksi, että voidaan suojautua mahdollisia kopiointityyppisiä hyökkäyksiä vastaan. Nämä hyökkäykset ovat sellaisia, että niissä pyritään käyttämään aikaisemmin haltuun saatua sinetöityä tai salakir- 4 864G6 joitettua tietoa korvaamalla se senhetkisen tiedon kanssa.

4. Äänestystulostiedosto (VRF), johon äänestystietokone (PPVC) laskee talletetusta äänestystiedostosta (VF) vaalin varsinaisen lopputuloksen.

5. Julkisavaintiedosto (PKF), johon on talletettu jokaista äänestäjää vastaava julkinen avain.

Keksinnön mukainen järjestelmä sopii käytettäväksi esim. mielipideilmaston jatkuvaan seurantaan, päätösten tekemiseen, neuvoa-antavan tai sitovan kansanäänestyksen järjestämiseen esimerkiksi: - kokonaista valtiota koskevissa kysymyksissä - kunnallisissa kysymyksissä - yhteisöjen ja järjestöjen (esim. puolueet) päätöksenteossa - mielipidetiedusteluyritysten (gallup) toimintaan

Keksinnön mukaista menetelmää voidaan soveltaa lukuisiin muihinkin sovellutuksiin. Näitä sovellutuksia, joihin menetelmä soveltuu ovat esimerkiksi pörssi- ym toimeksiantojen välitysjärjestelmät ja elektroniset maksuliikennejärjestelmät.

Järjestelmän toiminnan kannalta keskeinen on fyysisesti suojat-. .·. tu äänestystietokone (PPVC), johon äänestäjä on yhteydessä omalla äänestäjän tietokoneellaan (VC).

' Järjestelmä voidaan toteuttaa myös hajautetusti (kuva 2), esim. ·;;; koko valtakunnan kattava järjestelmä voidaan hajauttaa alajärj-'-·· estelmiksi lääneihin, jotka puolestaan voidaan hajauttaa ala-järjestelmiksi kuntiin. Näin syntyy hierarkinen järjestelmä, jossa alimmalla hierarkiatasolla, kunnissa, on äänestäjien tietokoneiden (VC) ja paikallisten äänestystietokoneiden (LPPVC) muodostamia alijärjestelmiä tarvittava määrä. Seuraa-‘. valla hierarkiatasolla ovat esim. läänitason äänestystietoko- 5 864 86 neet (RPPVC), joihin nähden paikallisen tason äänestystietoko-neet ovat äänestäjän asemassa. Vastaavasti ylimmällä hierarkiatasolla läänitason äänestystietokoneet (RPPVC) on kytketty valtakunnalliseen fyysisesti suojattuun äänestystietokoneeseen (CPPVC), joka laskee valtakuntatason tuloksia.

Menetelmän saavutettavia etuja ovat esimerkiksi: 1. Teleäänestyksen toteuttaminen vaikkapa reaaliaikaisesti suojaamalla samalla yksityisen äänestäjän vaalisalaisuus. Reaaliaikaisuus on merkittävä etu verrattuna perinteisiin äänestys-järjestelmiin. Perinteisesti vaikutusmahdollisuus annetaan äänestäjille esimerkiksi kerran neljässä vuodessa. Tämän keksinnön mukaisella menetelmällä äänestystulokset (VRF) saadaan päivittäin ja jopa vieläkin nopeammin.

2. Äänestystietojen tallennus, salaus ja sinetöinti siten, että tietojen manipulointi on estetty.

3. Se, onko äänestäjä käyttänyt äänioikeuttaan voidaan suojata. Tämä on lisäetu tämän menetelmän mukaisissa järjestelmissä verrattuna perinteisiin vaalijärjestelmiin.

Keksinnön perustavoitteena on antaa äänestäjälle tietosuojamie-lessa turvallinen reitti äänestystietojen kuljettamiseen äänes-täjäitä äänestäjän tietokoneen (VC) kautta äänestystietokonee-: seen (PPVC) ja sieltä edelleen äänestystietokantaan (VF).

;:· Kyseinen äänestystietokanta on tiedosto, jossa kaikkien äänes-täjien antamat äänestystiedot säilytetään keskitetysti. Toisena vähintään yhtä tärkeänä tavoitteena on antaa äänestäjille luotettavaa tietoa äänestystuloksista. Tämä on tarpeen siksi, että äänestysten järjestäjille ei jää mahdollisuutta manipuloida lopullisia äänestystuloksia.

6 8 6 4 G 6

Edellämainitun tavoitteen saavuttamisen edellytyksenä on seu-raavien seikkojen varmistaminen: 1. Äänestäjän on saatava varmuus siitä, että hän keskustelee nimenomaan äänestäjän tietokoneen (VC) eikä esimerkiksi tämän toimintaa matkivan salakuuntelijän kanssa.

2. Äänestäjän tietokoneen (VC) on saatava varmuus äänestäjän identiteetistä.

3. Äänestäjän tietokoneen (VC) on pystyttävä autentisoimaan äänestystietokone (PPVC) eli on oltava mekanismit, joilla äänestäjän tietokone (VC) voi varmistua äänestystietokoneen (PPVC) identiteetistä.

4. Äänestystietokoneessa (PPVC) ja äänestäjän tietokoneessa (VC) suoritettava tietojenkäsittely ja tietojen säilytys on oltava järjestetty tietosuojamielessä turvallisesti. Tämä koskee ensisijaisesti vaalisalaisuuden kannalta tärkeitä tietoja kuten esimerkiksi yksittäisten äänestäjien äänestystie-toja.

5. Äänestystulosten (VRF) laskenta äänestystietokoneessa (PPVC) on suoritettava tietosuojamielessä turvallisesti. Äänestystie- ···' toja ei siis missään olosuhteissa saa vuotaa selväkielisinä • äänestystietokoneen (PPVC) fyysisesti suojatun osan ulkopuolelle. Tämä tarkoittaa sitä, että mikäli äänestystietoja ei ole suojattu fyysisesti, niille on järjestettävä suojaus esimerkiksi kryptologisia menetelmiä käyttäen (salakirjoitus, sinetöin-- f; ti). 1 Äänestystulosten (VRF) laskenta-algoritmien on oltava sel-... laisia, että lasketuista äänestystuloksista (VRF) ei saa olla mahdollista päätellä yksittäisen äänestäjän antamia äänestys-tietoja. Tämä koskee myös niin sanottuja yhdistelmähyökkäyksiä, 7 86426 joissa useilla tietokantahauilla, joista yksikään sellaisenaan ei paljasta luottamuksellista informaatiota, mutta tällaisten tietokantahakujen sopiva yhdistelmä näin kuitenkin tekee. Äänestystietokoneen (PPVC) äänestystulosten (VRF) laskenta-algoritmeissa on siis oltava tarkistukset tällaisten hyökkäysten paljastamiseksi.

7. Äänestystietokoneessa (PPVC) ja äänestäjän tietokoneessa (VC) säilytettävän salakirjoituksiin ja autentisointeihin liittyvän julkisen informaation (esim. julkisavainjärjestelmien julkiset avaimet) säilytys on järjestettävä siten, että ulkopuolisten ei ole mahdollista muuttaa näitä tietoja ilman, että äänestystietokone (PPVC) nämä muutokset havaitsisi.

8. On olemassa turvallinen tapa siirtää äänestystulokset äänestäjän tietoon ilman, että kenelläkään on mahdollisuutta manipuloida tätä tietoa välillä.

Kuvassa 1. esitetyn erään tämän keksinnön mukaisen menetelmän realisaatiossa äänestäjän tunnistus perustuu tämän hallussa olevaan magneettikorttin ja ainoastaan kyseisen äänestäjän tiedossa olevaan salasanaan.

Äänestystietokoneen (PPVC) ja äänestäjän tietokoneen (VC) välinen autentisointi suoritetaan kyseisessä järjestelmässä ns. julkisen avaimen menetelmiä soveltaen. Kullakin äänestäjän tietokoneella (VC) on hallussaan oma salainen avain, joka on j' vain ja ainoastaan mainitun tietokoneen hallussa. Tämä avain samoinkuin kaikki muu luottamuksellinen informaatio äänestäjän ;·1: tietokoneessa (VC) säilytetään fyysisesti suojatussa paikassa.

Äänestystietokoneella (PPVC) on vastaavasti oma salainen avai-mensa, joka samalla tavoin on vain ja ainoastaa mainitun tieto-... koneen hallussa sekä suojattu fyysisesti.

a 86486

Tarkempia tietoja julkisten avainten menetelmistä, niiden toimintaperiaatteista ja luotettavuudesta ei tässä esitetä vaan viitataan alla oleviin kirjallisuusviitteisiin.

1. Beker H., Piper F., Cipher Systems, The protection of Communications, Edindburgh and London, Northwood Publications, 1982.

2. Seberry, Pieprzyk, Cryptrography, An Introduction to Computer Security, New York, Prentice Hall, 1989.

3. Davies D. W., Price W. L., Security for Computer Networks,

An Introduction to Data Security in Teleprocessing and Electronics Funds Transfer, Chichester, John Wiley & Sons, 1984.

* · · 1 « · · · 9 8 6 4 86 ESIMERKKI:

Alla on esitetty yksityiskohtainen kuvaus yksittäisestä äänestystapahtumasta.

Äänestäjä Äänestäjän tietokone (VC) Äänestystietokone (PPVC) 1. Autentisointipyyntö <----------------------------- 2. Autentisointitieto (Magneetti kortti tieto ja PIN-koodi) ----------------------........> 3. Autentisoinnin kuittaus <------------------------------ 4. EtKp^OD^ID,,, O,,»-,» ------------------------------------------> 5 - E(Kpi, E(Ksk, aov, ID„, c,, Rt , c2, r2» <------------------------------------------ 6. E(Kpk, E(Ksi ,«DV/10„, Ct , Rt , c2, R2» ------------------------------------------- 7. Äänestystiedon kysely <----------------------.......- 8. Äänestystiedon lähetys (VOTE) ...........................— > 9. E(Kpk/ E(Ksi,tIDv/ IDb/ Ct ,Rt , C2, R2») --------------- — -----------------------> 10. E(Kpi,E(Ksk,«Ov,IOni,Ci,RT,C2,R2/VOTE» <------------------------------------------ ; : 11. Äänestyksen onnistumisen kuittaus ................................

12. Äänestystuloksen kysely ................................> 13. E(Kpk/E(KS^,{I0V,IDb,Ct,Rt/C2,R2,RESULT_REQ>)) . ' ------------------------------------------> 14. E(Kpi/E(Ksk,aDv(,XD|,/CT,RT,C2,R2/VOTING_RESULT») <------------------------------------------ 15. Äänestystuloksen välitys • <...............................

----: 16. YHTEYOEN KATKAISU

<...................<>....................> 10 864ο 6 Äänestysoperaatio askel askeleelta kuvattuna on seuraavanlainen: 1. Äänestäjän tietokone (VC) pyytää tunnistuksen suorittamista.

2. Äänestäjä toimittaa autentisointi-informaation, PIN-koodin ja magneettijuovakortin juovatiedon.

3. Äänestäjän tietokone (VC) tarkistaa äänestäjän autentisoin-titiedon ja antaa äänestäjälle myönteisen kuittauksen mikäli tunnistus onnistui.

4. Äänestäjän tietokone (VC) lähettää autentisointipyynnön äänestystietokoneelle (PPVC). Tämä sanoma on salakirjoitettu äänestystietokoneen (PPVC) julkisella avaimella, joten ainoastaan äänestystietokone (PPVC) pystyy sen tulkitsemaan. Tämä seikka on samalla puolittainen autentisointi. Mikäli nimittäin äänestäjän tietokone (VC) voi varmistua myöhemmin, että vasta-pään laite on osannut tulkita tämän lähettämän viestin oikein, voi äänestäjän tietokone (VC) varmistua äänestystietokoneen (PPVC) identiteetistä. Sanoma sisältää äänestäjän yksikäsitteisen identifikaationumeron IDV, äänestäjän tietokoneen identifikaation IDm, vakiokentän Cl ja satunnaisluvun Rl. Vakio Cl sisällytetään sanomaan siksi, että äänestystietokone (PPVC) -* tulkitessaan sanomaa voi tehdä päätöksen siitä onko vastaanotettu sanoma todella sanoma, joka oletetaan vastaanotetuksi ts. järkevä. Satunnaisluku, joka on äänestystietokoneen (PPVC) itse luoma sisällytetään viestiin sen varmistamiseksi, että mainitut autentisointisekvenssit näyttäisivät joka kerta eri-laisilta. Tämä on tarpeen eliminoimaan ns. uudelleensoitto (replay) hyökkäyksiä.

• »··» · ... 5. Äänestystietokone (PPVC) vastaanotettuaan äänestäjän tieto koneen (VC) lähettämän sanoman, jossa äänestäjän ja äänestäjän tietokoneen identiteetti selviää äänestystietokoneelle (PPVC), li 8 6 4 S 6 tarkistaa sanoman vakiokentän. Mikäli vakiokenttä on se mikä sen tuleekin olla, siis sen mikä on järjestelmätasolla sovittu asianomaiseksi vakiokentäksi, äänestystietokone hakee asianomaista äänestystietokonetta vastaavan julkisen avaimen sinetöidystä julkisavaintiedostosta (PKF), tarkistaa sinetin ja lähettää autentisoinnin kuittaussanoman takaisin äänestäjän tietokoneelle (VC). Sanoma sisältää äänestäjän tietokoneen (VC) lähettämät äänestäjän identifikaation IDV, äänestäjän tietokoneen identifikaation IDm, vakion Cl ja satunnaiskentän Rl sekä vastaavan toisen vakiokentän C2 ja satunnaiskentän R2. Näiden kahden jälkimmäisen kentän merkitys on sama kuin äänestäjän tietokoneen (VC) lähettämien vastaavien kenttien. Sanoma on salakirjoitettu siten, että päällimmäisenä salakirjoituksena on äänestäjän tietokoneen (VC) julkisella avaimella suoritettu salakirjoitus ja sisempi salaus suoritetaan äänestystietokoneen (PPVC) salaisella avaimella. Ulommaisen salakirjoituksen tarkoituksena on tiedon paljastumisen estäminen. Tämä varmistuu sillä, että kukaan muu kuin äänestäjän tietokone (VC) ei pysty ko. sanomaa purkamaan sillä tähän tarvitaan äänestäjän tietokoneen (VC) salainen avain, joka on ainoastaan äänestäjän tietokoneen (VC) hallussa. Sisemmän salakirjoituksen tarkoituksena on autentisoida äänestystietokone (PPVC) äänestäjän tietokoneelle (VC). Tämä varmistuu vastaavasti sillä, että ainoastaan äänestystietokone (PPVC) on voinut mainitun salakirjoituksen suorittaa, sillä vain sillä on hallussaan mainittu salainen avain.

;:· On huomattava, että vaiheen 5. jälkeen äänestystietokone (PPVC) on autentisoinut itsensä äänestäjän tietokoneelle (VC), mutta äänestäjän samoinkuin äänestäjän tietokoneen (VC) autenttisuudesta ei ole vielä mitään varmuutta, sillä kuka tahansa olisi voinut lähettää vaiheessa 4. mainitun sanoman. 1 Äänestäjän tietokone (VC) lähettää vastaavanlaisen sanoman kuin edellisessä vaiheessa. Ulommaisena salakirjoituksen i2 86 4 86 tehtävän on estää sanoman informaatiosisällön paljastuminen. Salakirjoitusavaimena tässä käytetään äänestystietokoneen (PPVC) julkista avainta. Tämän salakirjoituksen pystyy ainoastaan äänestystietokone (PPVC) purkamaan, sillä vain sillä on hallussaan tätä vastaava salainen avain. Sisempi salakirjoitus on vastaavasti suoritettu käyttämällä äänestäjän tietokoneen salaista avainta, joten tämä tuo mukanaan äänestäjän tietokoneen (VC) autentisoinnin. Tämä siksi, että vain äänestäjän tietokone (VC) on voinut mainitun operaation suorittaa, sillä vain sillä on hallussaan tämä salainen avain.

On huomattava, että vaiheen 6. jälkeen autentisointi on suoritettu molemmin puolin. Äänestäjän tietokone (VC) on saanut varmuuden siitä, että vastapäässä on todella se äänestystietokone (PPVC), joka pitääkin. Vastaavasti äänestystietokone (PPVC) on saanut varmuuden äänestäjän tietokoneen (VC) sekä äänestäjän identiteetistä.

7. Vaiheen 6. jälkeen, kun kaikinpuoliset autentisoinnit on saatu suoritetuksi, on samalla myöskin muodostettu turvallinen tiedonsiirtoyhteys äänestäjän ja äänestystietokoneen (PPVC) välille. Äänestystietoja voidaan siis nyt alkaa siirtää äänestäjältä äänestystietokoneelle (PPVC). Tämä tapahtuu kahdessa vaiheessa. Ensin äänestystietokone (PPVC) pyytää äänestäjältä *:·' äänestystietoa.

8. Äänestäjä vastaa haluamallaan äänestystiedolla. Tämä tieto voi sisältää varsin monipuolista informaatiota. Se voi sisältää tiedon äänestyksestä mihin halutaan ottaa osaa, halutaanko mahdollisesti peruuttaa tai muuttaa aikaisemmin annettuja ääniä, otetaanko osaa uuteen äänestykseen ja varsinaisen äänestystiedon.

9. Äänestäjän antama äänestystieto lähetetään äänestäjän tieto-koneen (VC) toimesta äänestystietokoneelle (PPVC). Sanomaan i3 86486 sisällytetään samanlaiset vakio- ja satunnaiskentät kuin aikaisemmissakin sanomissa. Nämä on lisätty samasta syystä, eli tuomaan sanomaan satunnaisuutta toisto- ym. hyökkäyksiä vastaan. Salakirjoitukset suoritetaan myös samalla tavalla kuin aikaisemmin; ulommainen salakirjoitus on jälleen informaation peittämistä varten kun taas sisin salakirjoitustaso on sanoman autentisointia varten.

10. Äänestystietokone (PPVC) tarkistaa vastaanotetun sanoman oikeellisuuden vakio- ja satunnaiskenttiä hyväksikäyttäen ja tallettaa äänestystiedon äänestystietokantaan. Tässä yhteydessä äänestystietokannan eheys myös tarkistetaan avaamalla äänestys-tietokannan sinetti käyttämällä fyysisesti suojatun tietojenkä-sittelyelimen (PPVC) sisällä sijaitsevaa satunnaisvektoria (RV) sekä master-avainta (Km). Uusi äänestystieto lisätään äänestys-tietokantaan luomalla satunnaisvektorille (RV) uusi arvo ja käyttämällä tätä ja master-avainta (Km) äänestystiedon salakirjoittamiseen ja sinetöimiseen tietokantaan. Tämän jälkeen annetaan kuittaus äänestäjän tietokoneelle (VC). Tämän kuittauksen muodostamisessa käytetään samanlaisia periaatteita kuin aikaisemmissakin sanomissa varmistamaan informaation salaaminen ja sanoman autentisointi.

11. Äänestystietokone (PPVC) vastaanottaa kuittaussanoman äänestäjän tietokoneelta (VC), tarkistaa sen oikeellisuuden ja, mikäli sanoma oli autenttinen ja virheetön, ilmoittaa äänestäjälle, että tämän antama äänestystieto on nyt toimitettu äänestystietokantaan. Tämän jälkeen äänestäjän tietokone (VC) sulkee yhteyden.

12. Äänestäjä pyytää äänestystuloksia järjestelmältä.

13. Äänestäjän tietokone (VC) esittää äänestäjän äänestystulos-pyynnön äänestystietokoneelle (PPVC). Tässä käytetään vastaavia . salakirjoitus- ja autentisointimekanismeja kuin aikaisemmissa • · 14 fi .< ,< r < Ο ο Η υ 0 vaiheissa.

14. Äänestystietokone (PPVC) lähettää laskemansa äänestystuloksen äänestäjän tietokoneelle (VC). Tämä lähetys on myös asianmukaisesti suojattu mahdolliselta manipuloinnilta. Tässä siirrettävän tiedon salaaminen ei enää ole kovin tärkeää, koska yleensä äänestystulokset ovat julkista tietoa.

15. Äänestäjän tietokone (VC) lähettää saamansa äänestystulos-tiedon äänestäjälle.

16. Äänestystietokoneen (PPVC) ja äänestäjän tietokoneen (VC) yhteys katkaistaan.

Claims (6)

15 8 6 486

1. Menetelmä teleäänestyksen turvalliseksi toteuttamiseksi, tunnettu siitä, että kaikki äänestystietojen käsittely tehdään fyysisesti suojatun tietojenkäsittelyelimen (PPVC) sisällä siten, että missään vaiheessa mitään yksittäisten äänestäjien antamaa äänestystietoa ei esiinny mainitun fyysisesti suojatun tietojenkäsittelyelimen (PPVC) ulkopuolella selväkielisenä tai sellaisessa muodossa, että se olisi jonkun muun kuin fyysisesti suojatun tietojenkäsittelyelimen (PPVC) tulkittavissa.

2. Patenttivaatimuksen 1 mukainen menetelmä, jolla äänestäjän identiteetti voidaan varmistaa niin että äänestäjän on mahdollista käyttää ainoastaan omaa äänestysoikeuttaan, tunnet-t u siitä, että tämä seikka varmistetaan sillä, että vain äänestäjän tietokoneen (VC) hallussa on salainen avain tai muu salainen tieto, jonka hallussapitämisen äänestystietokone (PPVC) tarkistaa, ja että vastaavasti, koska äänestäjän tietokone (VC) on tunnistanut äänestäjän, saadaan aikaiseksi auten-tisointiketju äänestystietokoneelta (PPVC) äänestäjään asti, joka varmistaa äänestäjän identiteetin.

3. Patenttivaatimuksen 1 mukainen menetelmä, jolla äänestäjä --- voi varmistua äänestyskoneen autenttisuudesta, ts. siitä että äänestäjä on yhteydessä nimenomaan siihen äänestyskoneeseen, johon on tarkoituskin, tunnettu siitä, että tämä seikka varmistetaan sillä, että että vain äänestystietokoneen (PPVC) hallussa on salainen avain tai muu salainen tieto, jonka hallussapitämisen äänestäjän tietokone (VC) tarkistaa.

4. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu ... siitä, että äänestäjien julkiset avaimet voidaan säilyttää fyysisesti suojatun tietojenkäsittelyelimen ulkopuolella kuitenkin siten, että avaimet on sinetöity siten, että mainitun i6 86 466 sinetin arvo riippuu paitsi mainituista julkisista avaimista niin myös fyysisesti suojatun tietojenkäsittelyelimen itse luomastaan satunnaisluvusta (RV) ja kiinteästä avaimesta (Km), joka ominaisuus varmistaa sen, että ei ole mahdollista muuttaa avaintietoja tai esim. käyttää vanhentuneita tietoja uudelleen.

5. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että äänestäjien antamat äänestystiedot voidaan säilyttää fyysisesti suojatun tietojenkäsittelyelimen ulkopuolella kuitenkin siten, että äänestystiedot on sinetöity ja salakirjoitettu vain fyysisesti suojatun tietojenkäsittelyelimen sisällä sijaitsevalla avaimella siten, että mainitun sinetin arvo riippuu paitsi mainituista äänestystiedoista niin myös fyysisesti suojatun tietojenkäsittelyelimen itse luomastaan satunnaisluvusta (RV) ja kiinteästä avaimesta (Km), joka ominaisuus varmistaa sen, että ei ole mahdollista muuttaa äänes-tystietoja tai esim. käyttää vanhentuneita tietoja uudelleen. 1 Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että äänestystulokset voidaan siirtää äänestäjille siten, että äänestäjä voi varmistua näiden autenttisuudesta ts. siitä, että mainitut äänestystulokset on laskettu annetuista äänestystiedoista (VF) ja että äänestystuloksia ei ole manipu- • loitu niiden laskennan tai siirron aikana. i7 8 6 4C 6