NL1021632C2 - Electronic voting system, involves removing selected candidate from plus list and sending resulting minus list to computer for identity removal before minus lists are deducted from plus lists - Google Patents

Electronic voting system, involves removing selected candidate from plus list and sending resulting minus list to computer for identity removal before minus lists are deducted from plus lists Download PDF

Info

Publication number
NL1021632C2
NL1021632C2 NL1021632A NL1021632A NL1021632C2 NL 1021632 C2 NL1021632 C2 NL 1021632C2 NL 1021632 A NL1021632 A NL 1021632A NL 1021632 A NL1021632 A NL 1021632A NL 1021632 C2 NL1021632 C2 NL 1021632C2
Authority
NL
Netherlands
Prior art keywords
voter
computer
election
list
plus
Prior art date
Application number
NL1021632A
Other languages
Dutch (nl)
Inventor
Vincent Hakvoort
Johannes Harm Lukas Hogen Esch
Original Assignee
Nedap Nv
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nedap Nv filed Critical Nedap Nv
Priority to NL1021632A priority Critical patent/NL1021632C2/en
Application granted granted Critical
Publication of NL1021632C2 publication Critical patent/NL1021632C2/en

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C13/00Voting apparatus

Abstract

The voter uses a voting card to compile a plus-list with a desired number of candidates, including the candidate they have voted for. A first computer digitally authenticates the candidates on the voting card and a second computer is then used to digitally authenticate the candidates on the plus-list. The vote removes the authenticated candidates to be voted for from the plus-list and sends this minus-list to the first computer. The two computers check and remove the identity of the voter before sending the minus-list to a third computer and optionally a fourth computer which count the votes by subtracting the minus-lists from the votes cast via the plus-lists.

Description

-1- 5-1-5

Systeem voor het kiezen op afstand met stemmaskering.Remote dialing system with voice masking.

De uitvinding betreft een systeem voor het kiezen op afstand waarbij de uitgebrachte stemmen zodanig gemaskeerd 10 worden dat het onmogelijk is een verband te leggen tussen de kiezer en de door deze kiezer uitgebrachte stem of stemmen. Het verkiezingssysteem volgens de uitvinding kan worden gebruikt voor bijvoorbeeld landelijke, provinciale of gemeentelijke verkiezingen, waarbij de stemmen op afstand 15 dus bijvoorbeeld via internet, via een point to point modemverbinding, via een telefoonlijn of met behulp van stemzuilen op openbare locaties kunnen worden uitgebracht.The invention relates to a system for remote selection in which the votes cast are masked in such a way that it is impossible to establish a connection between the voter and the vote or votes cast by this voter. The election system according to the invention can be used for, for example, national, provincial or municipal elections, whereby the remote votes can therefore be cast, for example via the internet, via a point to point modem connection, via a telephone line or with the aid of voting columns at public locations.

Een van de belangrijkste eisen die gesteld worden aan verkiezingssystemen is waarborging van het stemgeheim.One of the most important demands placed on election systems is the safeguarding of voting secrecy.

20 Dit wil zeggen dat het onmogelijk moet zijn om een verband te leggen tussen de kiezer en een uitgebrachte stem. Bij het kiezen op afstand via bijvoorbeeld internet is dit een lastig probleem, omdat tezamen met de uitgebrachte stem ook de identiteit van de betreffende kiezer moet worden overge-25 bracht om te kunnen vaststellen dat deze kiezer gerechtigd is en dat slechts één stem door deze kiezer wordt uitgebracht. Dit laatste wordt ook wel uniciteit genoemd. Verder moet het verkiezingssysteem integer zijn, waarbij de uitslag niet door de beheerders van de verschillende deelsystemen 30 kan worden beïnvloed en uitsluitend wordt bepaald door rechtmatig uitgebrachte stemmen afkomstig van kiezers. Het gehele systeem moet ook controleerbaar zijn zonder dat het stemgeheim in gevaar komt. Tenslotte moet de kiezer het stemproces kunnen begrijpen en vertrouwen.20 This means that it must be impossible to make a connection between the voter and a vote cast. When choosing remotely via, for example, the internet, this is a difficult problem because, together with the vote cast, the identity of the voter in question must also be transferred in order to be able to determine that this voter is entitled and that only one vote by this voter is released. The latter is also called uniqueness. Furthermore, the election system must be ethical, whereby the result cannot be influenced by the managers of the various subsystems 30 and is only determined by votes cast by voters. The entire system must also be controllable without compromising voting secrecy. Finally, the voter must be able to understand and trust the voting process.

35 De onderhavige uitvinding voldoet aan al deze eisen en zal aan de hand van vijf figuren van proces- en data-diagrammen in het vervolg worden verduidelijkt.The present invention satisfies all these requirements and will be elucidated hereinbelow on the basis of five figures of process and data diagrams.

10?1 R 3? -2-10? 1 R 3? -2-

Figuur 1 toont globaal het totale proces- en data-flowdiagram van het verkiezingssysteem volgens de uitvinding.Figure 1 shows globally the total process and data flow diagram of the election system according to the invention.

Figuur 2 toont het proces- en dataflowdiagram 5 betreffende de informatie van en naar de kiezer en de verwerking van deze informatie door de computer (PC) van de kiezer.Figure 2 shows the process and data flow diagram 5 concerning the information from and to the voter and the processing of this information by the computer (PC) of the voter.

Figuur 3 toont het proces- en dataflowdiagram en de verwerking van de informatie door een eerste centrale 10 computer 1.Figure 3 shows the process and data flow diagram and the processing of the information by a first central computer 1.

Figuur 4 toont het proces- en dataflowdiagram en de verwerking van de informatie door een tweede centrale computer 2.Figure 4 shows the process and data flow diagram and the processing of the information by a second central computer 2.

Figuur 5 toont het proces- en dataflowdiagram en de 15 verwerking van de informatie door een derde en eventueel een vierde computer 3 en 4.Figure 5 shows the process and data flow diagram and the processing of the information by a third and optionally a fourth computer 3 and 4.

Aangezien de steminformatie die via een netwerk, zoals bijvoorbeeld internet, wordt verzonden ten behoeve van uniciteit gekoppeld moet worden aan informatie betreffende 20 de identiteit van de kiezer is in het verkiezingssysteem volgens de uitvinding gekozen voor het gebruik van minimaal drie onafhankelijke centrale computers (servers) 1-3, eventueel aangevuld met een vierde computer 4 om de telling te controleren waarbij, zoals aangegeven in figuur 1, compu-25 ter 1 en computer 2 via het voornoemde netwerk (internet) zijn verbonden met de computer van de kiezer en waarbij alle centrale computers onderling zijn verbonden via een beschermd netwerk zoals bijvoorbeeld intranet. In de beschrijving zal in het vervolg worden uitgegaan van vier 30 centrale computers, omdat dit de beste bescherming tegen frauduleus handelen biedt.Since the voting information sent via a network, such as, for example, the Internet, must be linked for the sake of uniqueness to information concerning the identity of the voter, the election system according to the invention has opted for the use of at least three independent central computers (servers). 1-3, optionally supplemented with a fourth computer 4 to check the count, whereby, as indicated in figure 1, computer 1 and computer 2 are connected to the voter's computer via the aforementioned network (internet) and all central computers are interconnected via a protected network such as, for example, the intranet. The description will in future be based on four 30 central computers, because this offers the best protection against fraud.

De vier centrale computers worden in het verkiezingssysteem volgens de uitvinding beheerd door vier onafhankelijke partijen, die niet met elkaar over de informatie 35 in de door deze partijen beheerde computers zullen communiceren. Één of enkele van deze partijen zou bijvoorbeeld kunnen worden aangevuld met een internationale waarnemers- / ” -3- groep. Het systeem is verder zodanig ingericht dat het, met gebruikmaking van alle informatie die, met uitzondering van de computer (PC) van de kiezer, per computer beschikbaar is, onmogelijk is om te bepalen op wie een willekeurige kiezer 5 heeft gestemd. Ook worden malversaties bij zowel de kiezer als bij één van de partijen die de computers beheren opgemerkt door één of meer van de andere partijen.In the election system according to the invention, the four central computers are managed by four independent parties, who will not communicate with each other about the information in the computers managed by these parties. For example, one or a few of these parties could be supplemented by an international observer group. The system is further arranged such that, using all information that is available per computer, with the exception of the computer (PC) of the voter, it is impossible to determine to whom a random voter 5 has voted. Malversations by both the voter and one of the parties who manage the computers are also noticed by one or more of the other parties.

Een belangrijk kenmerk van het systeem volgens de uitvinding is dat encryptietechnieken worden toegepast om de 10 communicatielijnen te beveiligen en om digitale waarmerken aan te brengen op de informatie tussen de kiezer en de vier computers. De verzonden informatie blijft echter in alle gevallen zowel voor de zendende als voor de ontvangende partij leesbaar, hetgeen de controleerbaarheid en de trans-15 parantie vergroot.An important feature of the system according to the invention is that encryption techniques are applied to secure the communication lines and to affix digital authentication to the information between the voter and the four computers. The transmitted information, however, remains legible in both cases for both the sending and the receiving party, which increases controllability and transparency.

Een ander belangrijk kenmerk van de uitvinding is, dat de uitgebrachte stem van iedere kiezer wordt gemaskeerd door een relatief groot aantal stemmen op kandidaten die niet door de betreffende kiezer worden gekozen maar wel 20 voorkomen op het stembiljet van de betreffende kiezer. De kiezer zendt twee lijsten met willekeurige kandidaten in, waarbij de ene lijst één kandidaat meer bevat dan de andere lijst. Deze lijsten zijn volkomen identiek op de ene extra kandidaat na die door de betreffende kiezer gekozen wordt.Another important feature of the invention is that the vote cast by each voter is masked by a relatively large number of votes for candidates who are not elected by the voter in question but who do appear on the ballot paper of the voter concerned. The voter submits two lists of random candidates, one list containing one more candidate than the other. These lists are completely identical except for the one additional candidate chosen by the relevant voter.

25 De lijst met de extra kandidaat wordt in het vervolg de plus-lijst genoemd en de andere lijst de min-lijst. Door bij de verwerking alle min-lijsten af te trekken van alle plus-lijsten blijven de gekozen kandidaten over. De plus-lijsten worden tezamen met de identiteiten van de kiezers verwerkt 30 door computer 2, de min-lijsten worden tezamen met de identiteiten van de kiezers verwerkt door computer 1 en de computers 3 en 4 verrichten de telling zonder te beschikken over de identiteit van de kiezers en genereren onafhankelijk van elkaar dezelfde einduitslag van de verkiezing, die op 35 deze wijze ook controleerbaar is.25 The list with the additional candidate is hereinafter referred to as the plus list and the other list as the minus list. By subtracting all minus lists from all plus lists during processing, the selected candidates remain. The plus lists are processed by computer 2 together with the identities of the voters, the minus lists are processed by computer 1 together with the identities of the voters and the computers 3 and 4 perform the counting without having the identity of the voters and independently generate the same final result of the election, which is also verifiable in this way.

Bij het systeem volgens de uitvinding beschikt de kiezer over een geheime code, die uit twee delen bes-taat, te -4- weten, één persoonlijk deel dat de kiezer, voorafgaande aan de verkiezingsdag heeft gegenereerd en aan de verkiezings-instantie heeft bekend gemaakt en een tweede deel in de vorm van een stemcode die aan de kiezer wordt toegezonden en 5 alleen aan de betreffende kiezer bekend is. Deze stemcode kan bijvoorbeeld op de oproepkaart onzichtbaar onder een kraslak worden aangebracht, waarbij de kiezer bij beschadiging van deze laklaag om een andere stemcode kan verzoeken.In the system according to the invention, the voter has a secret code which consists of two parts, that is to say, one personal part that the voter has generated and announced to the election body prior to election day and a second part in the form of a voting code that is sent to the voter and is known only to the voter concerned. This voting code can, for example, be invisibly applied to the calling card under a scratch varnish, whereby the voter can request a different voting code if this lacquer layer is damaged.

10 De eerste stap die de kiezer moet doen om via inter net te kunnen stemmen is het laden van de verkiezings-applicatie die op de PC van de kiezer kan draaien. Alle informatie van en naar de kiezer wordt uitgewisseld via een standaard SSL (Secure Sockets Layer) protocol verbinding 15 waarmee de authenticiteit van de verbindingen via internet wordt gewaarborgd. De verkiezingsapplicatie kan bijvoorbeeld bestaan uit een zogenaamde JAVA-applet die kan draaien onder standaard internet browsersoftware, maar kan ook een applicatie zijn die wordt gedownload via internet of die 20 vooraf aan de kiezer wordt verstrekt via een digitaal medium.10 The first step the voter must take to be able to vote via the internet is to load the election application that can run on the voter's PC. All information from and to the voter is exchanged via a standard SSL (Secure Sockets Layer) protocol connection 15 which guarantees the authenticity of the connections via the internet. The election application can for instance consist of a so-called JAVA applet that can run under standard internet browser software, but can also be an application that is downloaded via the internet or that is provided to the voter in advance via a digital medium.

Nadat de kiezer de voornoemde applicatie gestart heeft, wordt deze kiezer verzocht zijn of haar persoonlijke identiteit bekend te maken, bijvoorbeeld aan de hand van 25 naam en adresgegevens of aan de hand van een oproepnummer en de twee delen van de geheim code in te toetsen. Tezamen vormt dit de informatie (ID) omtrent de identiteit en de authenticiteit van de kiezer.After the voter has started the aforementioned application, this voter is requested to disclose his or her personal identity, for example on the basis of name and address data or on the basis of a call number and the two parts of the secret code. Together this forms the information (ID) about the identity and authenticity of the voter.

Met behulp van deze informatie wordt zoals aange-30 geven in figuur 2 een stembiljet opgehaald bij computer 1. Dit stembiljet bevat de lijst met digitaal gewaarmerkte kandidaten, die voor het stemdistrict van de betreffende kiezer van toepassing zijn, waarbij alle kandidaten voorzien zijn van een uniek kandidaatnummer, dat voor de gehele 35 verkiezing slechts éénmaal voorkomt. Voornoemd digitaal waarmerk (Wl) wordt op bekende wijze gegenereerd met behulp van een asymmetrisch encryptiealgoritme met een publieke en 1 02i632 -5- een geheime sleutel waarbij de publieke sleutel met de informatie meegezonden wordt en de mogelijkheid biedt om deze informatie te lezen, maar voorkomt dat deze informatie ook door de ontvangende partij gegenereerd zou kunnen 5 worden.With the aid of this information, as indicated in Figure 2, a ballot paper is retrieved from computer 1. This ballot paper contains the list of digitally authenticated candidates that apply to the voting district of the voter concerned, all candidates being provided with a unique candidate number, which appears only once for the entire 35 election. The aforementioned digital mark (W1) is generated in a known manner using an asymmetric encryption algorithm with a public key and a secret key whereby the public key is sent along with the information and offers the possibility of reading this information, but preventing it from occurring. that this information could also be generated by the receiving party.

Voordat computer 1 het gevraagde gewaarmerkte stembiljet (Wl[L]) verstrekt, wordt zoals aangegeven in figuur 3, aan de hand van de identiteit (ID) gecontroleerd of de betreffende kiezer voorkomt in het kiesregister, of de 10 betreffende kiezer al eerder gestemd heeft, een stembiljet heeft ontvangen en of de geheime persoonlijke code klopt.Before computer 1 issues the requested certified ballot (W1 [L]), it is checked, as indicated in Figure 3, on the basis of the identity (ID) whether the voter in question appears in the electoral register, or whether the voter concerned has previously voted. , has received a ballot and whether the secret personal code is correct.

Als de betreffende kiezer reeds gestemd heeft, dan wordt deze kiezer daarvan in kennis gesteld en het proces beëindigd. Indien al eerder een gewaarmerkt stembiljet 15 (Wl[L]) is verstrekt, dan wordt hetzelfde biljet opnieuw verstrekt.If the voter concerned has already voted, this voter will be notified and the process will be terminated. If a certified ballot paper 15 (Wl [L]) has already been issued, the same ticket will be issued again.

Nadat de kiezer het gewaarmerkte stembiljet, tezamen met de publieke sleutel van waarmerk (Wl), heeft ontvangen wordt, zoals aangegeven in figuur 2, met behulp van de ver-20 kiezingsapplicatie één kandidaat (s) gekozen door de kiezer.After the voter has received the certified ballot, together with the public key of hallmark (W1), as indicated in figure 2, one candidate (s) is selected by the voter with the help of the election application.

Het gebruikersinterface van deze applicatie kan bijvoorbeeld worden uitgevoerd zoals aangegeven in de Nederlandse octrooiaanvrage nr. 1019945 (Dynamisch gebruikersinterface voor stemsystemen) van aanvraagster.The user interface of this application can for instance be embodied as indicated in the applicant's Dutch patent application no. 1019945 (Dynamic user interface for voting systems).

25 Van alle overblijvende kandidaten (Wl[L-s]) wordt vervolgens willekeurig "at random" ongeveer de helft uit de lijst verwijderd, waarna de gekozen kandidaat (s) weer aan de resterende lijst (Wl[L-R-s]) wordt toegevoegd. De lijst (W1[L-R]) die op deze wijze overblijft is de plus-lijst van 30 de betreffende kiezer, waarin de gekozen kandidaat (s) voorkomt.Of all remaining candidates (W1 [L-s-s]), approximately half are randomly removed at random from the list, after which the selected candidate (s) is added to the remaining list (W1 [L-R-s]). The list (W1 [L-R]) that remains in this way is the plus list of the relevant voter, in which the chosen candidate (s) appears.

Deze plus-lijst (Wl[L-R]) wordt vervolgens door de applicatie naar computer 2 gezonden tezamen met de identiteitsinformatie (ID) van de kiezer, waarin ook de 35 geheime persoonlijke code is verwerkt. Op dezelfde wijze als computer 1 controleert, zoals aangegeven in figuur 4, computer 2 aan de hand van het kiesregister, of de „ / / / ' I betreffende kiezer al eerder gestemd heeft, een gewaarmerKce I plus-lijst heeft ontvangen en of de geheime persoonlijke I code klopt.This plus-list (W1 [L-R]) is then sent by the application to computer 2 together with the identity information (ID) of the voter, in which also the secret personal code is processed. In the same way as computer 1, as indicated in figure 4, computer 2 checks on the basis of the voting register whether the '/ / /' I concerned has previously voted, has received a security I plus list and whether the secret personal I code is correct.

I Als de betreffende kiezer reeds gestemd heeft, dan I 5 wordt deze kiezer daarvan in kennis gesteld en het proces I beëindigd. Indien al eerder een gewaarmerkte plus-lijst is I verstrekt, dan wordt dezelfde gewaarmerkte plus-lijst I opnieuw verstrekt.If the voter concerned has already voted, then this voter will be informed and the process I will be terminated. If a certified plus list I has already been provided, the same certified plus list I will be provided again.

I Het digitaal waarmerken van de plus-lijsten door I 10 computer 2 geschiedt eveneens op bekende wijze met een I asymmetrisch encryptiealgoritme, waarbij de publieke sleutel I met de lijst wordt meegezonden, zodat deze lijst leesbaar I blijft voor de ontvangende partij(en) doch niet geproduceerd I kan worden door deze ontvangende partij(en).The digitally authenticating of the plus lists by computer 2 also takes place in a known manner with an asymmetric encryption algorithm, whereby the public key I is sent along with the list, so that this list remains legible for the receiving party (s) but I cannot be produced by these receiving party (ies).

I 15 Computer 2 slaat de ontvangen plus-lijst (Wl[L- I R]+ID) op in een tijdelijk geheugen en brengt twee digitale I waarmerken (W2) en (W3) aan, waarbij waarmerk (W2) wordt I aangebracht over de ingezonden plus-lijst (Wl[L-R]) en I waarmerk (W3) over de met (W2) gewaarmerkte ingezonden plus- I 20 lijst (W2[Wl[L-R]]) inclusief de identiteitsgegevens (ID) I van de kiezer (W3 [W2 [Wl [L-R] ]+ID]). Vervolgens wordt deze I dubbel gewaarmerkte informatie (W3[W2[W1[L-R]]+ID]) terug- I gezonden naar de kiezer tezamen met de publieke sleutels van I de waarmerken (W2) en (W3).Computer 2 stores the received plus-list (W1 [L-IR] + ID) in a temporary memory and applies two digital I marks (W2) and (W3), whereby the mark (W2) is applied over the plus list (W1 [LR]) and I mark (W3) for the plus list I (W2 [W1 [LR]] certified (W2) including the identity information (ID) I of the voter (W3 [W2 [W1 [LR]] + ID]). Subsequently, this I-certified information (W3 [W2 [W1 [L-R]] + ID]) is sent back to the voter together with the public keys of the I (W2) and (W3) authenticators.

I 25 Nadat de computer van de kiezer de door computer 2 I dubbel gewaarmerkte plus-lijst (W3[W2[Wl[L-R]]+ID]) heeft I ontvangen genereert deze, zoals aangegeven in figuur 2, de I min-lijst voor de betreffende kiezer (W3[W2[Wl[L-R-s]]+ID]), I door de uitgebrachte stem (s) uit de ontvangen gewaarmerkte I 30 plus-lijst te verwijderen. Deze dubbel gewaarmerkte min- I lijst (W3[W2[Wl[L-R-s]]+ID]) wordt vervolgens, tezamen met I de publieke sleutels van de waarmerken (W2) en (W3), naar I computer 1 gezonden. Aangezien de kandidaten elk apart I gewaarmerkt zijn, kan eenvoudig een gewaarmerkte kandidaat I 35 gewist worden uit de lijst maar kunnen er geen nieuwe I kandidaten aan toe worden gevoegd.After the voter's computer has received the plus-list double-marked by computer 2 (W3 [W2 [W1 [LR]] + ID]), it generates, as indicated in Figure 2, the I-min list for the relevant voter (W3 [W2 [Wl [LRs]] + ID]), I by removing the vote (s) cast from the authenticated I 30 plus list received. This double-authenticated min-I list (W3 [W2 [W1 [L-R-s]] + ID]) is then sent, together with I, the public keys of the authentication marks (W2) and (W3) to I computer 1. Since the candidates are each separately I-certified, a certified I-35 candidate can simply be deleted from the list but no new I-candidates can be added.

I Computer 1 ontvangt de door computer 2 dubbel -7- gewaarmerkte min-lijst (W3[W2[W1[L-R-s]]+ID]), controleert aan de hand van de waarmerken of de ontvangen min-lijst authentiek is, verwijdert waarmerk (W3) en slaat, zoals aangegeven in figuur 3, het restant (W2[Wl[L-R-s]]+ID) op in 5 een tijdelijk geheugen.I Computer 1 receives the min-7-certified min-list (W3 [W2 [W1 [LRs]] + ID]), checks whether the min-list received is authentic, removes the authentication ( W3) and, as indicated in Figure 3, stores the remainder (W2 [W1 [LRs]] + ID) in a temporary memory.

Dit restant van de min-lijst (W2[Wl[L-R-s]]+ID) wordt door computer 1 voorzien van een digitaal waarmerk (W4), dus als (W4[W2[Wl[L-R-s]]+ID]), teruggezonden naar de computer van de kiezer ter bevestiging van de ontvangst van 10 deze min-lijst. De kiezer beschikt nu over gewaarmerkte bewijzen met betrekking tot de uitgebrachte stem, die bijvoorbeeld via de applicatie op de PC van de kiezer met behulp van een door de kiezer te bedenken versleuteling kunnen worden opgeslagen, zoals aangegeven in figuur 2.This remainder of the minus list (W2 [W1 [LRs]] + ID) is provided by computer 1 with a digital mark (W4), so as (W4 [W2 [W1 [LRs]] + ID]), returned to the voter's computer to confirm receipt of this minus list. The voter now has certified proof of the vote cast, which can be stored via the application on the voter's PC, for example, using encryption to be devised by the voter, as shown in Figure 2.

15 Computer 1 meldt vervolgens via het onderlinge netwerk aan computer 2 dat een min-lijst met (n-1) kandidaten is ontvangen van een kiezer met de identiteitsgegevens (ID) en ontvangt een bevestiging met het aantal kandidaten in de plus-lijst van de kiezer met dezelfde identiteits-20 gegevens (ID) van computer 2. Na ontvangst van voornoemde bevestiging wordt de data verwerkt door computer 1 en worden de min-lijst stemmen (W2[Wl[L-R-s]) zoals aangegeven in figuur 3 zonder identiteit van de kiezer toegevoegd aan het min-lijst geheugen en gewist uit het voornoemd tijdelijk 25 geheugen.Computer 1 then informs computer 2 via the mutual network that a minus list of (n-1) candidates has been received from a voter with the identity data (ID) and receives a confirmation with the number of candidates in the plus list of the voter with the same identity data (ID) from computer 2. After receiving the aforementioned confirmation, the data is processed by computer 1 and the minus-list votes (W2 [W1 [LRs]) as shown in figure 3 without identity of the selector added to the min-list memory and erased from the aforementioned temporary memory.

Op dezelfde wijze verwerkt computer 2 zoals aangegeven in figuur 4, na ontvangst van de melding van computer 1 met betrekking tot de betreffende kiezer, de plus-lijst uit het tijdelijk geheugen en plaatst deze stemmen eveneens 30 zonder de identiteit van de kiezer in het plus-lijst geheugen.In the same way, computer 2 as indicated in Figure 4, after receiving the notification from computer 1 concerning the relevant voter, processes the plus list from the temporary memory and also places these votes without the identity of the voter in the plus memory list.

Na ontvangst van een vast te stellen minimum aantal stemmen zendt computer 2, zoals aangegeven in figuur 4, "at random" een willekeurig aantal met (Wl) gewaarmerkte stemmen 35 uit het plus-lijst geheugen, dus zonder identiteitsgegevens van de kiezers naar de computers 3 en 4. Op dezelfde wijze zendt computer 1, zoals is aangegeven in figuur 3, "at iaiiuuiu ecu wiiieiveui. xy aaiiuax met \W6/ eu \ vvx / ^^nuuAu»j.nww stemmen uit het min-lijst geheugen, dus zonder identiteitsgegevens van de kiezers naar de computers 3 en 4.After receiving a minimum number of votes to be determined, computer 2, as indicated in Figure 4, "randomly" sends a number of (W1) -claimed votes from the plus-list memory, i.e. without identity data from the voters to the computers 3 and 4. Similarly, as shown in Figure 3, computer 1 transmits "at iaiiuuiu ecu wiiieiveui. Xy aaiiuax with \ W6 / eu \ vvx / ^^ nuuAu", ie voices from the min-list memory, so without identity data from voters to computers 3 and 4.

Deze gegevens worden door beide computers 3 en 4 bewaard in 5 respectievelijk een plus-lijst geheugen en in een min-lijst geheugen.This data is stored by both computers 3 and 4 in 5 respectively a plus-list memory and in a min-list memory.

Alle kandidaten met hetzelfde unieke kandidaatnummer die zowel in het plus-lijst geheugen als in het min-lijst geheugen voorkomen worden tegen elkaar weggeschrapt en uit 10 de betreffende geheugens verwijderd.All candidates with the same unique candidate number that appear in both the plus-list memory and the min-list memory are deleted against each other and removed from the respective memories.

Het plus-lijst geheugen bevat op deze wijze een globale tussenuitslag die afhankelijk van de soort verkiezing, al dan niet bekend gemaakt kan worden.The plus-list memory in this way contains a global intermediate result that may or may not be announced depending on the type of election.

Nadat de termijn voor het uitbrengen van stemmen is 15 verstreken worden de overblijvende restanten van het plus-lijst geheugen in computer 2 en het min-lijst geheugen in computer 1 ook naar de computers 3 en 4 gezonden, waarna deze computers beide de einduitslag kunnen bepalen door de resterende kandidaten met hetzelfde unieke kandidaatnummer 20 in hun plus-lijst geheugen en in hun min-lijst geheugen tegen elkaar weg te schrappen, waarna de min-lijst geheugens dus leeg moeten zijn en het plus-lijst geheugen de einduitslag bevat.After the period for casting votes has elapsed, the remaining remnants of the plus-list memory in computer 2 and the minus-list memory in computer 1 are also sent to computers 3 and 4, after which these computers can both determine the final result by deleting the remaining candidates with the same unique candidate number 20 in their plus-list memory and in their min-list memory against each other, after which the min-list memories must be empty and the plus-list memory contains the final result.

Nadat de computers 3 en 4 de einduitslag vergeleken 25 hebben en gelijk bevonden, kan deze worden bekendgemaakt.After the computers 3 and 4 have compared the final result and found it to be the same, it can be announced.

Het geven van een uniek kandidaatnummer aan elke kandidaat wordt gedaan om te voorkomen dat kopieën kunnen worden gemaakt van de records van de gewaarmerkte kandidaten.Giving each candidate a unique candidate number is done to prevent copies from being made of the records of the certified candidates.

30 Een bijkomend voordeel hiervan is, dat hetzelfde verkiezingssysteem ook kan worden toegepast voor een duale verkiezing of voor een verkiezing met heel weinig kandidaten, waarbij de kiezer een gewaarmerkt stembiljet ontvangt waarop dezelfde kandidaten meerdere malen voorkomen met 35 telkens een ander uniek kandidaatnummer. De applicatie op de computer van de kiezer geeft in dit geval uiteraard alleen een keuzemogelijkheid tussen de verschillende kandidaten, ' / n .? ? -9- waarbij elke kandidaat slechts éénmaal voorkomt.An additional advantage of this is that the same election system can also be applied for a dual election or for an election with very few candidates, whereby the voter receives a certified ballot on which the same candidates appear several times, each with a different unique candidate number. The application on the voter's computer in this case of course only gives a choice between the different candidates, '/ n.? ? -9- where each candidate only appears once.

Omdat alle gekozen kandidaten in de einduitslag een uniek kandidaatnummer hebben is het mogelijk een controleprocedure in te stellen, waarbij de kiezer door een onafhan-5 kelijke beroepscommissie kan laten controleren of de door de betreffende kiezer uitgebrachte stem heeft meegeteld in de einduitslag. Hiervoor geeft de kiezer in eerste instantie het door deze kiezer gekozen kandidaatnummer aan de beroepscommissie, die hiermee bij computer 3 of 4 kan nagaan of dit 10 kandidaatnummer meegeteld heeft in de einduitslag zonder dat de naam van de betreffende kandidaat bekend gemaakt hoeft te worden. Is dit niet het geval, dan kan de kiezer via de gewaarmerkte plus-lijst en de gewaarmerkte min-lijst bewijzen dat de betreffende stem door deze kiezer is uitgebracht, 15 waarbij deze stem wel bekend gemaakt moet worden aan de beroepscommissie.Because all the candidates selected in the final result have a unique candidate number, it is possible to set up a control procedure in which the voter can have an independent appeal committee check whether the vote cast by the relevant voter has counted in the final result. To do this, the voter initially gives the candidate number chosen by this voter to the appeals committee, who can use computer 3 or 4 to check whether this candidate number has counted in the final result without having to disclose the name of the candidate concerned. If this is not the case, the voter can prove via the certified plus list and the certified minus list that the vote in question was cast by this voter, whereby this vote must be made known to the appeals committee.

Indien alle centrale computers de gecommuniceerde informatie bewaren tot na het verstrijken van de beroepstermijn, dan is een volledige audit van het verkiezings-20 proces mogelijk en kunnen hertellingen worden gedaan.If all central computers keep the communicated information until after the expiry of the appeal period, a complete audit of the election process is possible and recounts can be made.

• ·: 9 ~• ·: 9 ~

Claims (17)

1. Een verkiezingssysteem voor het kiezen op afstand met het kenmerk, dat het stemgeheim wordt gewaarborgd door een uitgebrachte stem te maskeren, doordat de kiezer 5 een plus-lijst met een willekeurig aantal kandidaten, inclusief de te kiezen kandidaat, samenstelt uit een voor deze kiezer geldend stembiljet met, door een eerste computer digitaal gewaarmerkte, kandidaten en vervolgens de kandidaten op deze plus-lijst door een 10 tweede computer digitaal laat waarmerken, waarna de kiezer de te kiezen gewaarmerkte kandidaat uit deze plus-lijst verwijdert en de zo ontstane min-lijst verzendt naar de eerste computer, waarna beide computers, na controle en verwijdering van de identiteit van de 15 kiezer, de ontvangen lijsten doorzenden naar een derde en eventueel een vierde computer, die elk de uitslag kunnen berekenen door per kandidaat het aantal uitgebrachte stemmen via de min-lijsten af te trekken van het aantal uitgebrachte stemmen via de plus-lijsten. 201. An electoral system for remote voting, characterized in that voting secrecy is guaranteed by masking a cast vote, because voter 5 compiles a plus list of any number of candidates, including the candidate to be chosen, from one for this voter valid ballot paper with candidates digitally authenticated by a first computer and then having the candidates on this plus list digitally authenticated by a second computer, after which the voter removes the certified candidate to be chosen from this plus list and the resulting min -send list to the first computer, after which both computers, after checking and removing the identity of the voter, forward the received lists to a third and possibly a fourth computer, each of which can calculate the result by the number of votes cast per candidate subtract the number of votes cast via the plus lists via the minus lists. 20 2. Een verkiezingssysteem voor het kiezen op afstand volgens conclusie 1 met het kenmerk, dat het met gebruikmaking van alle informatie die, uitgezonderd de computer van de kiezer, per computer beschikbaar is voor de 25 partij die de betreffende computer beheert, onmogelijk is om te bepalen op wie een kiezer heeft gestemd.2. A remote election system according to claim 1, characterized in that it is impossible to make use of all information, except for the voter's computer, per computer for the party managing the computer in question. determine who a voter voted for. 3. Een verkiezingssysteem voor het kiezen op afstand volgens één of beide vorige conclusie(s) met het kenmerk, 30 dat weliswaar encryptietechnieken worden toegepast om de communicatielijnen te beveiligen en om digitale waarmerken aan te brengen op de informatie tussen de computer van de kiezer en de drie of vier centrale computers, maar dat de verzonden informatie in alle 35 gevallen zowel voor de zendende als voor de ontvangende partij leesbaar blijft, hetgeen de controleerbaarheid en de transparantie vergroot. 1021632 -11-A remote election system according to one or both of the preceding claims, characterized in that, although encryption techniques are used to secure the communication lines and to affix digital authentication to the information between the voter's computer and the three or four central computers, but that in all cases the information sent remains legible for both the sending and the receiving party, which increases controllability and transparency. 1021632 -11- 4. Een verkiezingssysteem voor het kiezen op afstand volgens één of meerdere vorige conclusie(s) met het kenmerk, dat malversaties bij zowel de kiezer als bij één van de partijen die de centrale computers beheren 5 opgemerkt worden door tenminste één van de andere partijen.A remote election system according to one or more preceding claims, characterized in that at least one of the other parties manages malpractices at both the voter and at one of the parties that manage the central computers. 5. Een verkiezingssysteem voor het kiezen op afstand volgens één of meerdere vorige conclusie(s) met het ken- 10 merk, dat de kiezer over een geheime code beschikt, die uit twee delen bestaat, te weten één persoonlijk deel dat de kiezer, voorafgaande aan de verkiezingsdag heeft gegeneréerd en aan de verkiezingsinstantie heeft bekend gemaakt en een tweede deel in de vorm van een stemcode 15 die aan de kiezer wordt toegezonden en alleen aan de betreffende kiezer bekend is.5. A remote election system according to one or more preceding claim (s), characterized in that the voter has a secret code consisting of two parts, namely one personal part that the voter precedes has generated on the election day and announced it to the election authority and a second part in the form of a voting code 15 which is sent to the voter and is known only to the voter concerned. 6. Een verkiezingssysteem voor het kiezen op afstand volgens conclusie 5 met het kenmerk, dat deze stemcode op 20 de oproepkaart onzichtbaar onder een kraslak wordt aangebracht, waarbij de kiezer bij beschadiging van deze laklaag eventueel om een andere stemcode kan verzoeken.6. An electoral system for remote selection according to claim 5, characterized in that this voting code is applied to the calling card invisibly under a scratch varnish, wherein the voter can possibly request another voting code if this lacquer layer is damaged. 7. Een verkiezingssysteem voor het kiezen op afstand volgens één of meerdere vorige conclusie(s) met het kenmerk, dat alle informatie van en naar de kiezer wordt uitgewisseld via een standaard "Secure Sockets Layer" protocol verbinding, waarmee de authenticiteit van de 30 verbindingen via internet wordt gewaarborgd.7. An election system for remote selection according to one or more previous claims, characterized in that all information is exchanged from and to the voter via a standard "Secure Sockets Layer" protocol connection, with which the authenticity of the connections is guaranteed via the internet. 8. Een verkiezingssysteem voor het kiezen op afstand volgens één of meerdere vorige conclusie(s) met het kenmerk, dat de verkiezingsapplicatie bestaat uit een 35 zogenaamde JAVA-applet die kan draaien onder standaard internet browsersoftware. -12-A remote election system according to one or more previous claims, characterized in that the election application consists of a so-called JAVA applet that can run under standard internet browser software. -12- 9. Een verkiezingssysteem voor het kiezen op afstand volgens één of meerdere vorige conclusie(s) met het kenmerk, dat de verkiezingsapplicatie door de kiezer wordt 5 gedownload via internet.9. An election system for remote selection according to one or more preceding claims, characterized in that the election application is downloaded by the voter via the internet. 10. Een verkiezingssysteem voor het kiezen op afstand volgens één of meerdere vorige conclusie(s) met het kenmerk, dat de verkiezingsapplicatie vooraf aan de kiezer 10 wordt verstrekt via een digitaal medium.10. An election system for remote selection according to one or more preceding claims, characterized in that the election application is provided in advance to the voter 10 via a digital medium. 11. Een verkiezingssysteem voor het kiezen op afstand volgens één of meerdere vorige conclusie(s) met het kenmerk, dat alle gewaarmerkte kandidaten op het stem- 15 biljet voorzien zijn van een uniek kandidaatnummer, dat voor de gehele verkiezing slechts éénmaal voorkomt waarmee kopieën van de records van de gewaarmerkte kandidaten kunnen worden ondervangen.11. A remote election system according to one or more preceding claim (s), characterized in that all certified candidates on the voting ballot are provided with a unique candidate number, which occurs only once for the entire election with which copies of the records of the certified candidates can be overcome. 12. Een verkiezingssysteem voor het kiezen op afstand vol gens één of meerdere vorige conclusie(s) met het kenmerk, dat dit verkiezingssysteem ook kan worden toegepast voor een duale verkiezing of voor een verkiezing met heel weinig kandidaten, waarbij de kiezer een ge-25 waarmerkt stembiljet ontvangt waarop dezelfde kandi daten meerdere malen voorkomen met telkens een ander uniek kandidaatnummer.12. An election system for remote selection according to one or more previous claim (s), characterized in that this election system can also be used for a dual election or for an election with very few candidates, in which the voter has 25 receives a certified ballot on which the same candidates appear several times, each with a different unique candidate number. 13. Een verkiezingssysteem voor het kiezen op afstand vol-30 gens één of meerdere vorige conclusie(s) met het ken merk, dat de kiezer beschikt over gewaarmerkte bewijzen met betrekking tot de uitgebrachte stem, die bijvoorbeeld met behulp van een door de kiezer te bedenken versleuteling kunnen worden opgeslagen, waardoor een 35 beroepsprocedure tot de mogelijkheden behoort. -13-13. An electoral system for remote selection according to one or more previous claim (s) with the characteristic that the voter has certified proof of the vote cast, which can be obtained by means of a When encryption can be stored, an appeal procedure is possible. -13- 14. Een verkiezingssysteem voor het kiezen op afstand volgens één of meerdere vorige conclusie(s) met het kenmerk, dat de eerste en de tweede computer na ontvangst van een vast te stellen minimum aantal stemmen "at 5 random" een willekeurig aantal verwerkte gewaarmerkte stemmen uit hun geheugens, zonder identiteitsgegevens van de kiezers naar de derde en eventueel een vierde computer zenden om de telling te verrichten en eventueel een globale tussenuitslag te bepalen. 10A remote election system according to one or more preceding claims, characterized in that the first and the second computer receive a random number of processed certified votes after receiving a minimum number of votes to be determined "at 5 random" send from their memories, without identity data of the voters, to the third party and possibly a fourth computer to perform the count and possibly to determine a global intermediate result. 10 15. Een verkiezingssysteem voor het kiezen op afstand vol-gans één of meerdere vorige conclusies) met het kenmerk, dat nadat de termijn voor het uitbrengen van stemmen is verstreken de overblijvende restanten van 15 het min-lijst geheugen van de eerste computer en de overblijvende restanten van het plus-lijst geheugen van de tweede computer naar de derde en eventueel naar de vierde computer worden gezonden, waarna de derde en de vierde computer beide de einduitslag kunnen bepalen. 2015. An election system for remote selection (one or more previous claims), characterized in that after the time limit for voting has elapsed, the remaining remnants of the min-list memory of the first computer and the remaining remnants of the plus-list memory are sent from the second computer to the third and possibly to the fourth computer, after which the third and fourth computers can both determine the final result. 20 16. Een verkiezingssysteem voor het kiezen op afstand vol-gans één of meerdere vorige conclusies) met het kenmerk, dat de derde en de vierde computer de einduitslag vergelijken alsvorens deze bekend te maken. 25A remote election system according to one or more previous claims, characterized in that the third and fourth computers compare the final result as before announcing it. 25 17. Een verkiezingssysteem voor het kiezen op afstand vol-gans één of meerdere vorige conclusies) met het kenmerk, dat een volledige audit van het systeem mogelijk is.17. An election system for remote selection (one or more previous claims), characterized in that a complete audit of the system is possible.
NL1021632A 2002-10-11 2002-10-11 Electronic voting system, involves removing selected candidate from plus list and sending resulting minus list to computer for identity removal before minus lists are deducted from plus lists NL1021632C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
NL1021632A NL1021632C2 (en) 2002-10-11 2002-10-11 Electronic voting system, involves removing selected candidate from plus list and sending resulting minus list to computer for identity removal before minus lists are deducted from plus lists

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
NL1021632 2002-10-11
NL1021632A NL1021632C2 (en) 2002-10-11 2002-10-11 Electronic voting system, involves removing selected candidate from plus list and sending resulting minus list to computer for identity removal before minus lists are deducted from plus lists

Publications (1)

Publication Number Publication Date
NL1021632C2 true NL1021632C2 (en) 2004-04-14

Family

ID=32322533

Family Applications (1)

Application Number Title Priority Date Filing Date
NL1021632A NL1021632C2 (en) 2002-10-11 2002-10-11 Electronic voting system, involves removing selected candidate from plus list and sending resulting minus list to computer for identity removal before minus lists are deducted from plus lists

Country Status (1)

Country Link
NL (1) NL1021632C2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2053565A2 (en) 2007-07-03 2009-04-29 N.V. Nederlandsche Apparatenfabriek NEDAP Transparent election system with double vote rotation

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1992003805A1 (en) * 1990-08-27 1992-03-05 Tecnomen Oy Method for conducting a televote in a safe manner
US6021200A (en) * 1995-09-15 2000-02-01 Thomson Multimedia S.A. System for the anonymous counting of information items for statistical purposes, especially in respect of operations in electronic voting or in periodic surveys of consumption
US6081793A (en) * 1997-12-30 2000-06-27 International Business Machines Corporation Method and system for secure computer moderated voting
US20020077885A1 (en) * 2000-12-06 2002-06-20 Jared Karro Electronic voting system
US20020083126A1 (en) * 1999-04-12 2002-06-27 Best Robert Angus Online election system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1992003805A1 (en) * 1990-08-27 1992-03-05 Tecnomen Oy Method for conducting a televote in a safe manner
US6021200A (en) * 1995-09-15 2000-02-01 Thomson Multimedia S.A. System for the anonymous counting of information items for statistical purposes, especially in respect of operations in electronic voting or in periodic surveys of consumption
US6081793A (en) * 1997-12-30 2000-06-27 International Business Machines Corporation Method and system for secure computer moderated voting
US20020083126A1 (en) * 1999-04-12 2002-06-27 Best Robert Angus Online election system
US20020077885A1 (en) * 2000-12-06 2002-06-20 Jared Karro Electronic voting system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
HERSCHBERG: "Secure Electronic Voting Over the World Wide Web", SUBMITTED TO THE DEPARTMENT OF ELECTRICAL ENGINEERING AND COMPUTER SCIENCE IN PARTIAL FULFILLMENT OF THE REQUIREMENTS FOR THE DEGREE OF MASTER OF SCIENCE AT THE MASSACHUSETTS INSTITUTE OFTECHNOLOGY, XX, XX, 27 May 1997 (1997-05-27), pages 1 - 82, XP002215652 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2053565A2 (en) 2007-07-03 2009-04-29 N.V. Nederlandsche Apparatenfabriek NEDAP Transparent election system with double vote rotation

Similar Documents

Publication Publication Date Title
Benaloh Ballot Casting Assurance via Voter-Initiated Poll Station Auditing.
Anderson Liability and computer security: Nine principles
US4531023A (en) Computer security system for a time shared computer accessed over telephone lines
CN107886388A (en) The traffic trip credit and safety service platform and its operation method of multicenter are realized based on alliance's chain
WO1997050205A9 (en) Digitally signing agreements from remotely located nodes
FR2530053A1 (en) METHOD FOR CERTIFYING THE ORIGIN OF AT LEAST ONE INFORMATION RECORDED IN A MEMORY OF A FIRST ELECTRONIC DEVICE AND TRANSMITTED TO A SECOND ELECTRONIC DEVICE, AND SYSTEM FOR IMPLEMENTING SUCH A METHOD
EP1008252A1 (en) Method and system for ensuring the security of computer servers of games
CN109243045A (en) A kind of voting method, device, computer equipment and computer readable storage medium
EP1055203B1 (en) Protocol between an electronic key and a lock
CN109472698B (en) Public welfare supervision method and system based on block chain
WO1992003805A1 (en) Method for conducting a televote in a safe manner
Clarke et al. E-voting in Estonia
CN114548987B (en) Anti-cheating and supervision NFR rights and interests circulation exchange intelligent contract and method thereof
CN110659967A (en) House management method and device based on block chain
NL1021632C2 (en) Electronic voting system, involves removing selected candidate from plus list and sending resulting minus list to computer for identity removal before minus lists are deducted from plus lists
AU3200100A (en) Method enabling a purchaser to ask for the execution of an obligation related to a card and enabling an emitter to recognise said obligation
CN110780848B (en) Dual-random generation method and supervision system based on block chain distributed random process
CN110599211A (en) Ticket information processing method and device and computer equipment
CN110889793A (en) Block chain-based digital lottery issuing method and block chain link points
Reinhard et al. Compliance of POLYAS with the BSI Protection Profile–Basic Requirements for Remote Electronic Voting Systems
Vijayakumar et al. Secure E-voting system using blockchain based on solidity technology
Jillbert Feasibility Study of Electronic Voting in Developing Countries: An Indonesia Context.
JP4373279B2 (en) Management method of IC card for electronic signature
Maggio et al. Analysing FastPay
Dhote et al. Blockchain-Based, Biometric Voter Verification Electronic Voting

Legal Events

Date Code Title Description
PD2B A search report has been drawn up
VD1 Lapsed due to non-payment of the annual fee

Effective date: 20070501