TW320712B

TW320712B - A secure anonymous voting protocol with a complete supervision

Info

Publication number: TW320712B
Application number: TW85113409A
Authority: TW
Inventors: Yuh-Yih Chen; Jinn-Ke Jan
Original assignee: Yuh-Yih Chen; Jinn-Ke Jan
Priority date: 1996-10-28
Filing date: 1996-10-28
Publication date: 1997-11-21

Description

320712 經濟部中央標準局員工消費合作杜印裂 A7 B7 五、發明説明（） <發明背景> 有關電子投票系統這方面的硏究，首度是由David Chaum在1981年發表的”1；11-traceable Electronic Mail，Return Address and Digital Pseudonyms"提出如何利用電腦網絡來進行無記名投票。自此之後，即引起許多學者投入這方面的硏究。到了 1991年，這方面的由1究漸趣成熟，於是在Nurmi、Salomaa和Santean所發表的"Secret Bollot Election in Computer i"jetwork"H^Ham和Kiesler所發表的"How to iioid an Election over Computer Network"都提出一些必要條件： •只有合法投票者才能投票。 •必須確保投票者的匿名性。 •必須確定投票者不能重覆投票。 •投票者能確定自己的選票被確實計入。 •計票結果能被確實監督而不致由計票中心舞弊。 •不因某個投票者的延遲或破壞而影響整體運作。 •投票者可在截止時間內更改自己的選票內容。另外，近來陸續有一些文章也提出一些值得重視的條件： •主辦單位免於被投票者無理的控訴。 •整個電子投票系統的設計必須簡單易用並具有實用價值。在這篇文章中，吾人將針對上述條件加以—一探討。然後再配合1C卡之使用提出吾人的電子投票系統，以增加使用上的安全性與便利性。一·投票者身份驗證問題(Authentication of Voters) 為了要確保只有合法投票者才能投票，就必須為投票者進行身份的驗證。然而，在目前已發表的眾多研究中，大部份都對身份驗證的問題避而不談，或者只是一語帶過並假設所有投票者都有經過身份的驗證程序。然而，吾人卻認為，在一個完整的電子投票系統架構中，必須詳細描述如何進行身份驗證之程序，若不對身份驗證程序加以詳細描述，其必然會影響到往後投票者匿名性的問題。二.投票者的匿名性問題(Anonymity of Voters) 為了確保投票者可自由表達其個人意見，不必擔心其圈選內容會被他人得知，一個好的投票系統在設計上必須保證投票者的匿名性。而要達成完美的匿名性要求’必須在整個投票過程中的三個階段都要有所防範： •領票階段 / 在已往的研究中，最常見的就是領票階段的匿名性不夠完備。由於在領票之前，投票者必須經過身份驗證的程序，來確定其是否為合法的投票者。若在此時領取選票，則由於電子選票上必然有其唯一的簽章而導致驗證中心可以記錄下來是由那個投票者領取那張選票。如此一來，投票者的圈選內容最後必然可被驗證中心得知。而無法達成匿名性之要求。所以，在剛剛提過的那些對身份驗證問題著墨不多的文章中’就完全忽略了這個階段的匿名性問題。另外，在某些文章中乾脆假設驗證中心是可信賴的，但這個假設的說服力並不夠。於是，在另一些文章中就將驗證中心與領票中心一分為二’強調其只有在兩個中心共同舞弊時才會導致問題發生’吾人認為這樣還是不足以完全保證匿名性之達成。其實·要逹成領票階段的匿名性要求，重點在於領票的過程中不能完全由驗證中心或領要中心主導，^必須由役票者自行決定領命那張選票。舉例來說，在1991年本紙張尺度適用中^1國家標準（匚灿）六4规格（2丨0><297公釐） 83.3.10,000 ---------¾------1T------.iv (請先閲讀背面之注意事項再填寫本頁) 320712 A7 B7 五、··發明説明（） Nurmi, Salomaa和Santean所發表的文章中是利用ANDOS(AIl-or-Nothing Disclosure Of Secrets)的方式由全體投票者共同決定出每個人所領的選票，但領票中心無從得知選票的分配情況。另外，在1988年Chaum及1995牵Hwang和Yung所叠泰的文永是利角全體投票者共同完成領票的程序，令領票中心無得知選票的分配情況。然而，這些方法卻會導致另外一個問題，那就是有心的投票者即可使得整個領票程序發生失誤，導致整個投票程序中斷。既然領票階段不適合由全體投票者共同完成，可是又必須令驗證中心及領票中心無法得知電子選票上的簽章與投票者身份的關連性，那麼在1991年Ham和Kiesler所發表的文章中提到以"盲簽章(Blind Signature)"來達成此一目的，似乎是目前較為可行的方法。也就是說，利用"盲答童"的方式來切斷電子選票上的答章與投票者身份的關連件，是比前述的各種方法更具有實用性。 •投票階段至於投票階段的匿名性問題，發生在投票者自個人電腦上將選票經由網絡傳送到投票中心時，投票中心可記錄該選票封包上的網絡地址而得知是由那台電腦發出此一封包，進而得知是由那位投票者所投之選票。如此一來，投票者的圈選內容最後必然可被投票中心得知，無法達成匿名性之要求。為了解決這個問題，在1981年David Chaum所發表的文章中就提出了一種"不可追蹤電子郵件(Untraceable Electronic Mail)”的觀念。在他的方法中是假設網絡上有許多可信賴的中繼站(Mixer)，而當投票者要將選票傳送到投票中心之際，投票者有權決定該選票封包要經由那些中繼站，並在傳送的過程中一一刪除其所經過的路徑資訊，藉此防止投票中心得知該封包來源。後來，也有一些文章引用了此一概念。然而，使用這個方法的前提是假設所有的中繼站都是可信賴的，而且所有的投票者也都瞭解網絡的架構及運作，但這在現實的電腦網絡上根本是不可行的。由於”不可追蹤電子郵件"在現實的電腦網絡上是不可能實行的，所以在最近的一些文章中便應用另一種假設來解決個問題。在這些文章中是假設有一種”半公開公佈欄 (^Semi-public Bulletin)"的存在，該公佈欄建立在投票中心，任何人都可讀取公佈欄上的資訊，而投票者可經由安全的管道將選票寫入該公佈欄上。然而，其假設投票中心不會在投票者將選票寫入公佈欄之際追蹤選票來源，基本上就是假設投票中心是可信賴的，而這樣的假設並不夠嚴謹。就目前的電腦網絡之實際情況來看，只要是投票者自個人電腦上將選票硿由網絡傳送到投票中心，投票中心就必然可以得知其網絡位址。所以，前述兩種假設的方法都不可能實行於現今的電腦網絡上。因此，吾人認為應該回歸傳統的投票方式，設立捋悪所讓投票者進行投票程序，才能解決此一問題。 ---------I— (請先閲讀背面之注意事項再填寫本頁) 訂線經濟部中央標準局員工消費合作社印製 •開票階段最後，在開票階段的匿名性問題’也是已往的研究中最為忽略的一點。在已往的硏究中，為了要達到監督計票中心之目的，大部份的系統都設計成可以讓投票者對最後的選舉結果進行查證，確認個人的選票有否確實計入。但如此一來，_卻可能反而助長了買會風氣〇在一些民主観念不良的國家中，選舉中時常可見買票之行為。也就是候選人會對選民以金囊賄賂或暴力威脅的方式要求將選票投給他’而且候選人會利用各種可能的方法來查證接受買票的選民是否有依照指示投票。在傳統的投票方式中’查證上是比較困難的。但在目前提出的電子投票方法中’只要允許投票者查證個人的選票有否確實計入，那麼候蹇人便可以要求投票者以此方式證明其選票內容’於是更加地助長了買票的風氣。所以.声人認為應該禁.|卜_投票者查證個人選票的計入與否，而朝向加強監票中心之機制，使選民安心確定“票中心無法舞弊之方向努力。本紙張尺度適用中國國家標準（CNS ) A4規格< 21〇Χ297公釐） -3- 83. 3. 10,000 32G712 at B7 五、發明説明（）三. 重覆投票的問題(UnreusabilityofBallots) 在傳統的投票方式中，每個投票者僅領取一張選票，緊接著將選票圈選後投入票匦中。由於在投票的過程中，投票者不可能有機會複製選票，因此只要在身份驗證及領票的程序上嚴格把關，就不致發生重覆投票的問題。然而，在電子投票系統的設計上，由於選票只不過是某種特殊格式的數據，在複製上極為容易，因此不得不提防重覆投票簡題。最簡單的方法，就是在每份電子選票上加入唯一的序號並加以簽章，如此就能在開票階段檢查出重覆投票的部份。然而，如此一來就會導致匿名性問題的產生，也就是投票者的圈選內容最後必然可被驗證中心得知。於是，在某些文章中便假設計票中 * 心會在最後結果公佈之前將選票上的序號及簽章剔除，使得驗證中心無從得知選票的序號。可是，這樣的假設，是在驗證中心與計票中心不會共同舞弊的情況下才安全，吾人認為這樣的假設並不夠嚴謹。另外，在一些利用"盲簽章"的方法中，雖然不致有匿名性的問題，然而"盲簽章" 並不保證其被簽署的電子筆名具有唯一性，並無法以此為準來作為重覆投票之檢査。雖然在這些方法中都有加以解釋，認為不同投票者所選定的電子筆名重覆性機率很小，應該還是可以作為重覆投票檢査之用，但吾人認為這樣的假設並不合理。其實，要解決重覆投票的問題而又不至於與匿名性衝突，解決之道應從投票程序上著手。如果我們從傳統投票方式中學習，我們會發現在身份證加蓋戳記是一個不錯的方法。也就是說，在已投票者所持的特定物件上加蓋戳記即可有效防止重覆投票問穎的發生。四. 選票査證的問題(Verifiability of Voting) 雖然在目前的硏究中大都強調投票者可以查證個人的選票有否確實計入。但就如同先前所述，如此會更加助長買票風氣，使得選舉更容易籠罩在金錢賄選及暴力威脅的陰影下。如此一來，電子投票系統就完全不可能取代傳統的投票方式，而毫無實用價值可言。所以，吾人認為應該廢除此一條件，禁止投票者査證個人選票的計入與否。而應該是加強監票中心的職責，由不同政治立場不同黨派所共同成立的監票中心來 (讀先閲讀背面之注意事項再填寫本頁) 裝. 訂經濟部中央標準局員工消費合作杜印製負青監督計票中心的作業，這樣才是正確的努力方向。五·系統的監督問題(Supervision of System) 在整個投票系統的設計上，計票中心的監督是非常重要的，如果只設計為投票者可査證自己的選票有否確實計入，而沒有一公正的監票中心加以監督整個開票過程’ 則計票中心便可以很輕易地做票來影響選舉結果。在以往的研究中，有許多文章都忽略了此一問題。其實，不只是計票中心的開要過程及結果應該有所監督，而且最好在驗證、領票及投票的過稈中都有公正的第三者監督，才能杜絕任何一個環節舞弊之可能，相對地也能譲主辦單位避免不必要的無理控訴。至於有人質疑是否存在所謂的公正第三者，這一點在現實的選舉中倒不用擔心，因為只要由不同政治立場，不同黨派所共同組成的監票中心，必然會因為彼此立場不同，互相牽制而形成公正之第三者。六·健全的系統設計(Robustness of System) 在以往的研究中，有一些方法為了確保領票階段的匿名性，由全體投票者共同g 定出每個人所領的選票，讓領票中心無從得知選票的分配情況。但如此一來’卻可會1" 因有心者的延遲或破壤而影響整體之運作。所以，一個健全的電子投票系統設計，必須讓投票者獨立自主進行投票’整個系統的蓮作才不會闵為有心人的槁怪而癰瘓。本紙張尺度適用中國國家揉準（CNS ) A4規格（210X297公釐） -4-- 83. 3.10,000 B7 五七 te s y s of lty ali ic act pr \ϊ/ ( 值價 { 用明實説啲明統子算些求些傳整意是訊自電計一需有在讓注就資改個是在舉在但會得，些更之色一要，選，不而值得這內言# 於只外的至這反有竊用間！而¾ 至上另份甚，其還人利時性總ffl 本部容因他能止平易基大內，被人截公 β 了類談空是過不只則。游 I·言贊 g可投價性於用用用賓實適票求易心在的選需容有可舉的的是，者選己樣不前票響自這，束投影改有周結許，更沒不票允果內更護投是結間中保在其舉時舉訊致尤選止選。資以β縱截的行盼。果擦在來進程勢結人... 可未常過趨舉心遐者在正票票選有 Μ 其有能！票，之投投響為統投一慮沒只了投做票，了影易傳& 考全統想許樣投中漏法容從«I 不完系理允這壤法洩辦加該善果就票不地人破方仍想更應改如，投便般有者些料而，統並，法子值足沒鬧有資進法系計方電價添中取在密，方票需設的的用蛇式理是加勢的投ml 的複提實査方無就的情容子舉統繁所其竟票被，上舉內電選系太中此中投統點欄選票的般票程章如章的系一佈析選好. 投過文，文統個的公分己個合 .............. 1 符合法無並

"I Μ 匕匕 β此一Μ 0 的a 之效有 IE' 公正、 .1TVI 快到達

簡取擷, 點優sf 習塁式 S.M

S S 複I 過太會不I 計」一其洹 |值| 價實有具才也受接 ----------裝-- (請先閲讀背面之注意事項再填寫本頁) 訂經濟部中央標準局員工消費合作社印製本紙張尺度適用中國國家橾準（CNS ) A4規格（21〇X：297公釐） iJ: 83. 3.10,000 320712 at B7 經濟部中央榡準局員工消費合作社印製五、發明説明（ <發明目的> 乃許問從傳決、時值性有的明善解確會價要式票發改更正社用重方買本並，、金實其票選，，法速現有，投賄以需方快無具統舉、所所^-到合，系選誤。舉驗達迎受票的失善選份，，接投今的改般身題代所子現票到一者問時眾電為開得合票等的大的因工而符投值展為度是人式，的價發能制這、方色整用勃種督，全票特完實蓬一監求安投之出、絡是整需的化用提督網。完然票子易並監融全有必投電單，統金安具之訊的簡雜系及與種會通當其複、卡率一社、適取過票1C效供化便計擷太投今的提路不設，會覆現票在網的由點不重在投係、票以優算、其子的化投可其計性尤®-目腦齋都習势名。高要電在題學但匿的提。主度：問式’的目’統之高如些方失中之勢系明來諸這票缺程效趨票發未，，投的過有流投本在病等的票票、潮子於弊..J統投投正的電係多題傳統了公代的 <圖式說明> 圖一係本發明投票流程之互動關係圖。一. ， | -----------^------tr-------紙 (請先閣讀背面之注意事項再填寫本頁) 本紙張尺度適用中國國家標準（CNS ) A4规格（2丨0X297公兼） 83. 3.10,000 五、發明説明（ A7 B7 <發明之詳細說明> 在無現金社會裡，每個人都將有一張IC卡’而每一張IC卡都是由聯合發卡中心統一發放的，上面記錄了發卡中心相關的驗證憑藉’以及持卡人的身份資料(如··身份證字號、姓名、父母、戶籍住址、出生年月日、性別、血型、…等）’作為個人身份證明使用。爾後，個人即可持1C卡向其所需要設立帳號的金融機構(如:銀行 '證卷交易所、簽帳中心、…等)提出申請，而金融機構則依1€卡上的驗證憑藉’向聯合發卡中心要求認證 1C卡的真偽。為了發揮1C卡的多用途特性，在吾人所提出的電子投票系統中，無需為了選舉發行專用1C卡，而只要在1C卡上保留部份記憶體作為選舉時使用即可’因此能夠相容於無現金社會架構的運作模式，降低選舉之成本。至於在吾人的方法中，選舉機構之組成為： •驗證中心:建立選舉人名冊，負責投票者之身份驗證。 •監票中心:負責監督驗證中心及計票中心之運作，防止舞弊。 .計票中心?負責投票、開票之作業。 .終端設備:廣設各地的終端機(如自動提款機)作為投票之工具。而上述選舉機構與投票者的互動關係，可簡要盡出如(圖一）。接下來票系統的作業流程分成五個部份詳加敘述。就對整個投選舉機構之安全核心建立步疑/首先，驗證中心在選舉之前即設定一個犬質數P及另一個大質數2 (0丨户-1)，並選擇一個比尸小的整數G，這三個數將公開給所有人知道。步藤2同時，政治立場不同的監票中心A、B及驗證中心C在[1，2-1]的範圍內各自選擇整數5¾、做為自己的秘密金匙，然後產生公開金匙尸尤、PKB'PKC·- PK^G^modP. PKB = G^modP . PKc=G^modP. 炎銀·？監'票中心A、B及驗證中心C都將其公開金匙尸尤、交由計票中心存檔，以供日後查證。 (請先閲讀背面之注意事項再填寫本頁) -裝- 訂經濟部中央標準局員工消f合作社印裝二.選舉人名冊的建立步銀/驗證中心建立的選舉人名冊上除了個人基本資料外，還需選舉人自行選定的帳號，作為選舉時登錄之用。故驗證中心通知選舉人前來登記。步銀2選舉人持1C卡透過終端機向驗證中心辦理登記，其自由選擇一個核心暗號X，在1C卡上以尤為參數透過排列組合函數//〇將個人身份資料及核心 , 暗號加密成介於Π，/Μ]—相當大之通行碼户呎。（核心暗號尤可以在4〜8 Bytes之內，然後要結合存在1C卡內的身份資料：身份證字號約lOBytes、姓名約lOBytes、戶籍住址約3〇Bytes、父母姓名約2〇Bytes、及其他如出生年月日、性別、血型、…等共約lOBytes，將各項資料順序重排、打亂本紙張尺度適用中國國家標準（CNS ) A4規格（210X297公釐） -7- 83.3.10,000 經濟部中央標準局員工消費合作社印製 32G712 at B7 五、發明说明（）、加密一番。則如此產生出來的通行碼/3的即可達到640Bits以上，可以符合安全之要求。） PWt = H(X,personal Information...). 再以此P暗算出施,：風=Gm mod P · 無後將施,傳送給驗證中心。步贫·？驗證中心核對其IC卡上的聯合發卡中心簽章。如果確認無誤，將灿&與現在時間箱合成帳號仍,<使之具有唯一性): IDHME). 並以驗證中心的秘密金匙涨C，用特定加密函數玖)加密/A得出驗證中心簽章•SG,/: SG, = EskIID). 然後在其1C卡上開檔存入驗證中心簽章、註冊時戳ST；、及公開資料尸、2、g、户兄、/^、/，完成登記程序》三.投票的第一階段…驗證欢銀/首先，投票者在投票日攜帶個人的1C卡至任一可供投票的終端機進行登錄。監票中心A、B及驗證中心C在[1，卜1]的範圍內各自隨機產生亂數似 ' 觔、Kc，分別計算出下列尤、私、0送至投票者端。 KA = modP. KB= G*6 modP .

Kc = modP . 步贫2投票者在領取選票之前必須通過銀行的身份確認，於是將IC卡置入終端設備後，輸入其核心暗號％，並以前述相同之方法算出： PWi = H{XiyPersonal Information..,), MEi = GFW, mod P , /A :抓觸. 接下來，IC卡在[1^-1]的範圍內隨機產生一整數〇t，並計算出此次所需之共同金匙α:: CK=PK^W · GamodP. : 並且將cc與//?及Λ7,做XOR運算後得一整數;W?: Λ7? = α ㊉/ΑΦ 犯· ¥及將0C與現在時刻Γ，以(：/〔為金匙，用特定加密函數£()加密後得出77? TR = Ε〇κ(Τ,α)- 以上所產生的資料都是為了身份驗證之用》步驟3另外，1C卡在的範圍內隨機產生一整數Γ作為電子筆名(投票時使用的假名)，利用尤、私、&及兩個隨機亂數Ple[l，0-1]、 β2€[1，0-1]加密：本紙張尺度適用中國國家標準（CNS ) Α4规格（2!0X297公嫠）一?- 83.3.10,000 (請先聞讀背面之注意事項再填寫本頁) 裝.

、1T 鍊經濟部中央標準局員工消費合作社印製 A7 B7 五、發明説明（）

SGAti = G^1 · K/2 mod P ^&UVa^modP. SGb,i = (?A · K^1 mod P = ^^modP.

SGc,r = (71 · Kc^2 modP = σι^^2ηιοάΡ.

SGv，\ = V · SGaa · SGb'i · SGc,\ mod P

=V * G^l+Ka'^ . (^ρπκ6*β2 # m〇dP =：1^· 0?*β^^).β2 Wp EV = · β2_1 /«o<i 0 . . 步録4最後，IC卡將步驟2與步驟3中所產生的資料，以(/Α*Λ7?，77?，£«(£^)之格式送交驗證中心。其中，/A、ZR、77?為身份驗證之用，而瓦:狀幻則為領取選票之用。步斑J在驗證中心收到上述資訊後，先檢查帳號/Α=(见;Λ/尽)是否存在，若不存在則拒絕接受其登錄。其次，驗證中心將秘密金匙用特定加密函數£〇加密後，應該得其簽章犯： SG.^E^ID). 然後可以很快地算出CX : asXRQID^SGi. 於是，驗證中心可以算出此次的共同金匙α::

CK= ME严· Ga mod Ρ = GamodP = G^'m · GamodP = PKcm- Ga mod P . -所以，驗證中心可以共同金匙CAT用特定解密函數D〇將77?解密後，檢査得到的α是否與先前所得之解相同，即可得知其/A、；Ώ?中所隱含的、及(X中所隱含的是否正確。並且確認其時戳Γ是否在合理時限內( 即與現在時刻Γ之時差在規定的有限值ξ內），如此即可確認其身份。 ?

DdTR) = (Τ,α), r-τ^ξ：梦斑6在確認身份後，1驗證中心先以共同金匙α(解出，除了驗證中心要對狀加以"盲簽章"外，同時也將丑咬由監票中心A、B加以”盲簽章"，姐此驗證中心所發出之必然經由監票中心監替。 SG^y = EV · SKA mod Q. SGB£r=EV * SKB+ K6 mod Q. SGCtEv ~ EV · SKcf¥ Kc mod Q . 最後，將五回存到投票者的IC卡，作為此次所領取選票的簽章憑證。本紙張尺度適用中國國家標準（CNS ) A4規格（210X297公兼） -Ϋ- 83. 3. !0,〇〇〇 ---------t------IT------^ (請先閲讀背面之泣意事項再填寫本頁) 經濟部中央標準局員工消費合作社印裳 Μ Β7 五、發明説明（) 步嚴7投票者在收到上述資訊後，先以共同金匙ar解出，然後將”盲簽章"還原成：

SGa2 = SGa^v · β2+β1 mod Q =(EV · SK^ Κα) · β2+β1 mod Q =(SGyA · β2-' · 5ί：,+ Κα) · β2+β1 mod Q =^SGf.i · 5Ά^+ Κα · β2+β1 woe/ 0 .

.SGb2 = * β2+β1 mod Q =(EV · SiG+ · β2+β1 mod Q =· β2-* · KZ?) · β2+β1 modQ =5GK1 ·双£+ 魴· β2+β1 W 0 . iSGcu = SGcjk · β2+β1 /woii 2 ， =(EV · SK^ He) · β2+β1 mod Q =(SGKl · β2^ · SKc+ Kc) · β2+β1 /wo^/ ρ -SGyti · SKc¥ Kc · β2+β1 mod Q . 並分別以下列方式檢查、SGc是否正確：

\ k G爲· PK严' · SGAt'modP 三(（J-私·.沉-Κα·β2-Ρΐ) · · (βΙ+Κα βΙ) 1 L· G‘〜· ΡΚ严· SGB,' mod Ρ =^ · ((；^*^) . mocip

1 L· G_〜PKcSGr' · SG。' mod P =(G"SG,,"s^Kc*p2~pi) · (G^*5C-) . ((^l+Kc'^)modP . 若SOa、確無誤，則將、犯〇2其組合成：

SGV》= SGA2+SGB#SGc^m〇d Q ={SKa^-SKb^-SKc) · iSGr.i+i Κα+K6+Sc) " β2+3 * βΐ tnod Q. 然後，即可用査驗簽章正確與否：

V ^ G 〜· (ΡΚΑ · PKB · PKC、SG，· SGKl mod P 如正確無誤，則等於是由三者共同會簽FM得的，可作為其下一階段的投票憑證。而且也可以防止驗證中心造假欺瞞持普者，以及藉此確定験證中心有確實受到監督。, 四.投票的第二階段…投票步鐵/在通過身份驗證，並領有投票憑證(F，双^，SGu)的投票者即可開始進行投票的步驟。首先，1C卡在[1，P-1]的範圍內隨機產生三個整數9Π、9?2 、SK3，並計算出： ΥΑ=(Ρ' modP, YS = CT modP ,

Ye = Cr*3 mod P . I 裝訂 . Μ (請先閲讀背面.^^意事項再填寫本頁) 本紙張尺度適用中國國家標準（CNS ) Α4規格（210Χ297公釐） -/0- 83.3.10,000 經濟部中央橾準局員工消費合作社印聚 A7 B7 五、發明説明（）並將其投票意願Μ加密成： W= (PKrPKs^PKc^) . MmodP . 然後，將(KK)傳送給監票中心A。將(厂石)傳送給監票中心B。將(Γ,Κ)傳送給驗證中心C。將傳送給計票中心。計票中心驗證其JGd是否正確： V = G'^ * {ΡΚΑ · PKB · PKc)sa ' · SGKl mod P . 如正確無誤，代表的確是監票 '驗證中心共同會簽Γ的結果，值其會簽的過程是"盲簽章"的方妥，故監票、驗證中心並無法得知r 與投票者的關連性，當然此gff票中心也無從得知其關津件。最後，計票中心回訊要求終端機在其1C卡的Write Once ROM寫入戳記 ,代表該者已完成投票程序，也藉此篮止重覆投墓之可能。五.投票的第三階段…開票梦銀/投票截止時間一到，即禁止任何人再進行投票的動作。步銀2然後，監票中心A、B與驗證中心C都交出自己的密秘金匙、，並與先前存檔的公開金匙尸尤、、PI加以核對，以確定所有監票中心與驗證中心無所欺瞞。 ? PK4 = mod P , ? PKB = modP , ? PKC ξ G* mod P . 步銀·？最後，計票中心一一唱票F，而監票中心A、B及驗證中心分別提供對應的Rh、Fc，共同合作將選票一一解密出來：

Wf(Y严· Y严· Y严）modP =WUG^1·^ · · ίτ*3·^) modP

= G孤，·（^.’modP

=WliPK^ · PK/2 · PKc^) modP =M , 由於開票過程是由所有的選舉機構共同合作、共同監督下完成計票作I 業，其必然能彼此牽制而不用擔心舞弊問顆，故不再需要投票者的事後査證。 I II 裝訂 Μ (請先閲讀背面之注意事項再填寫本頁) 1 本紙張尺度適用中國國家標準（CNS ) A4規格（210X297公釐） -/卜 83. 3.10,000 Μ _ _Β7__ 五、發明説明（）〈安全性與實用性之分析〉在這個部份，將討論吾人所提出的電子投票系統之安全性與實用性問題。一·投票者身份驗證在吾人的方法中，詳細描述了身份驗證的程序，其安全性声實二12袤方法為~完整的電子投票系統，因此杜絕了驗證程序的可能漏洞，加強防止驗證階段的匿名性缺失。二.領票階段的匿名性 ' 在吾人的方法中，每個人的投票憑證都是由自己所選擇的電子筆名^8£^、票J 驗證中心共同"盲簽章"的五印斤組成。投票者有絕對的主導權，使得監票、驗證^>、€ 盲簽章••的過程中無法得知投票者所選擇之電子筆名為何，如此即可不必擔心監票、驗證中心會在領票階段記錄是由那個投票者領取那張選票，保證此一階段的匿名性。三·投票階段的匿名性由於吾人的方法是針對一般選舉而設計的，在現實的考量下，短期內電腦的普及率不可能達到百分之百，所以不允許投票者自個人電腦上進行投票，而是必須在特定的終端機(如設置普及的自動提款機)上進行。如此的設計，並不影響其便利性，因為投票者可以到任何一台終端機投票，不像傳統的投票方法必須至指定的投票所投票。既然每個人可至任意終端機投票，那麽就算其選票封包上的網絡位址被投票中心得知，也只能得知是在那台終端機投下該選票，但卻無法得知是由何人所投，因此保證此一階段的匿名性。四·開票階段的匿名性一剛開始我們就說過了，如果把系統設計成可以讓投票者對最後的選舉結果進行查證，確認個人的選票有否計入，則賄選者便可以要求投票者以同樣方式證明其選票內容，更加的助長了買票的風氣。在吾人的方法中，是禁止投票者查證個人的選票計入與否，囟此不會有如此的@名性問題。經濟部中央標準局員工消費合作杜印褽 ---------一裝！ (請先閲讀背面之注意事項再填寫本頁) 訂五·重覆投票的防止 / 每個投票者都持有一張1C卡，且吾人建議在1C卡上應有Write Once ROM，這種 ROM的特性是每筆資料只能寫入一次且無法抹除，所以在投票完成之際由終端機在 Write Once ROM寫入戳記，即可有效防止重覆投票之情形。雖然在技術上仿造1C卡並非不可能，然而在認證過的1C卡上烙上簽章，而此簽章是由驗證中心的祕密金匙投票者的帳號/A所組成的： SG, = EskXID). 所以，只要能夠保證的安全，那麼便無人能夠仿造驗證中心的簽章。本紙張尺度適用中國國家標準（CNS ) A4規格（210X297公釐） /2- 83. 3. !〇,〇〇〇 320712 A7 B7 五、發明説明（)六·選票的確實計入在吾人的方法中，選民能安心確定計票中心無法舞弊，這是因為在開票的過程中，每一張選票都必須由監票、驗證中心共同合作(提供對應之Lh、Fc)才能將選票逐一齒密tB來。 W / (Y严· Y严.Y严）mod P =W/(PK^ · PKB%2 · PKcm) mod P =M既然計票中心的開票過程是由所有的選舉機構共同合作、共同監督下完成計票作業，其必然能彼此牽制而不用擔心舞弊問題，故不再需要投票者的事後查證，主辦單位也可免於投票者的無理控訴。經濟部中央標準局員工消費合作社印製七·完整的系統監督在整個投票系統中，吾人設計了兩個監票中心(甚至可以擴充為多個監票中心)來監督整個系統的運作。 •在領票階段，每張投票憑證都經由監票中心參與答童：監票中心A、B及驗證中心C在[1,0-1]的範圍內各自隨機產生亂數Κα、财、Kc ，分別計算出下列&、愚、尤〃直送至投票者端。 • K, = G^ modP. KB = Gn mod P . Kc = mod P . IC卡在[1^-1]的範圍內隨機產生的電子筆名Γ，是利用尤、iG、&及兩個隨機亂數ple[l，2-l]、β2£[1，ρ-1]加密成五r。 SGAd = σχ · Kf modP = &^-^modP . SGBA = (T . K尸 modP = (?Λ+η·^Μ〇άΡ . SGQi = (?y · Kc^ modP = &^'^modP . SGt,i = V · SGa,j · SGba · SGqi mod P =v，modP . ， EV = SGv,i · β2_1 mod Q . .丨然後，再由監票中心A、B及驗證中心(：對£厂加以”盲簽章·’。 SG4jiv = EV' SKA+ Κα mod Q . SGB£v = EV · SKB+ KA mod Q . SGcsr = EV · SKc+ Kc mod Q . IC卡在收到上述資訊後，將"盲簽章"還原成SGe、。 SGAp. = SG^v * β2+β1 mod Q = (EV · SKM+ Κα) · β2+β1 mod Q =(SGv,i · β2Μ · 5Ά^+Κα) · β2+β1 mod Q =SGr.i · Κα · β2+β1 mod Q . ----------t------IT------iK (請先閱讀背面之注意事項再填寫本頁) 本紙張尺度適用中國國家標準（CNS ) A4規格（2丨0X297公釐） -β- 83. 3. 10,000 A7 A7 經濟部中央標準局員工消費合作社印家 B7 五、發明説明（）

SGsa = SGbxv * β2+β1 mod Q =(EV · SKA Κί>) · β2+β1 mod Q = (SGva · β2Μ · SKb-^KB) · β2+β1 =· SKs^- Kb · β2+β1 mod Q . = SGcev · β2+β1 worf g =(EV · iSATc-f Sc) · β2+β1 mod Q =(SGv,i · β2_1 · iSiTH- Kc) * β2+β1 mod Q =i'Gp,! · SiCcH- Kc · β2+β1 mod Q . 並且將其組合成。

SGv：i 二 SGA^¥SGw^SGc^mod Q ^(SK^SK^SKc) · 5GK1+(Ka+X6+Kc) · β2+3 · βΐ woi/β . 然後，即可用⑸^，双^査驗簽章正確與否。

V “ σ%. (ΡΚ4 · ΡΚΒ · PK，. SGK' mod P =. 5^η-(κα+κ/Η·Μ · βί-3. pi)

e modP 如此，監票中心確實發揮監督驗證中心之效果，驗證中心無法發出假的投票憑證欺騙投票者’也不可能在監票中心不知情的情況下發出投票憑證。 •在投票階段’毎個投票者都會將一部份資訊傳送給監票、驗證中心：

(KD —監票中心A (7,¾—監票中心B Jd) —驗證中心C 所以監票'驗證中心均可掌握投票數及監督計票所需資訊尺、hK。 .$開茑階段，每一張選票都必須由監票、驗證中心共同合作(提供對應之、y^才能將選票逐一解密出來：

WKYf^ · ΥΒ^ · Yc^) mod P =W f (PK/1，PKB似· P〇 mod P =M 所以，計票中心無法更改選票內容，也無法在開票過程中任意增減選票數目。八·健全的系統設計由於每個投票者的投票過程完全獨立自主，不受他人影響，因此不會因為某個投票者的延遲或破壞而影響整體運作。九-系統的實用性在吾人的方法中，整個系統的設計不會太過複雜，而且可以較傳統的選舉方式減少大量的人力資源及紙張成本，同時又符合無現金社會中1C卡多用途的特性，可重覆使用同樣的資源來辦理多次的選舉。整體來說，其成本並不見得比傳統的選舉方式來得高。再者，開票之前，所有的選票內容都加密存放在計票中心內，而且必須由所有的選舉機構共同合作、共同監督下才能將選票一一解密出來，所以選票內容不可能提前曝光，也就不會導致公平性的問題。 ————————————--裝— — (請先閲讀背面之注意事項再填寫本頁) 訂本紙張尺度適用中國國家標準（CNS ) A4規格（210X297公釐）一/V·， 83. 3.10,000 B7 弊作舞運心觀。中整Λϋϊι 計計影訴單傳統種實由而控簡從傳一確致壞的常統善是被不破理非系改。票而或無計票並的 .........。選督遲者設投，目發，卡一能性票的監延票的子需之 }以法1C合才名投己實的投統電所效可方對符者匿覆自確者被系的舉有，證且也票的重定被票於票人選、 {點驗並法投者能確能投免投吾般正. 月各份，方法票不能果個位子，一公 ί0上身題的合投者者結某單電之合' 説以者問人有保票票票因辦個言符確明觀票等吾只確投投計不主整而，正皆綜投值.........總色'。 f 的價然特速統、_ 顧用當之快系五兼實。性、量用督考與統全性系安全、與安票本出投成提覆了但S-顧不、兼，性又中名而統匿，系的揮票中發投程以求子過加要電票性本. 的投特基人了途的吾決用舉。在解多選票用到票易達投單，子簡雜電其複的取過值擷太價，會用點不實。優算有值其計具價習其，用學但受實式，換有方失所具票缺眾並投的大用的票為易統投能 ----------‘裝-- (請先閱讀背面之注意事項再填寫本莧) 訂级經濟部中夫榡準局貝工消費合也，社印裳本紙張尺度適用中國國家棣準（CNS ) A4規格（210X297公釐） 83. 3.10,000

Claims

A8 B8 C8 D8 申請專利範圍 —k具有完整監督制度的無記名電子投票系統，該方法包含有：選舉機搆之安全核心建立步通π首先，驗證中心在選舉之前即設定一個大質數p及另一個大質數2 (ρ丨尸-1)，並選擇一個比户小的整數G，這三個數將公開給所有人知道 ♦ 歩銀2同時，政治立場不同的監票中心A、Β及驗證中心C在[1,0-1]的範圍內各自選擇整數' 狀·〃、兑^做為自己的秘密金匙，然後產生公開金匙 PK, ' PKB ' PKC ； PKA = mod P , PKB = mod P， PKC = mod P . 步斑·?監票中心A、B及驗證中心C都將其公開金匙P/C、、PA：C交由計票中心存檔，以供日後查證； (請先閲讀背面之注意事項再填寫本頁) 裝. 經濟部中央標準局貞工消費合作社印裝選舉人名冊的建立梦敛/驗證中心建立的選舉人名冊上除了個人基本資料外，還需選舉人自行罕定的帳號，作為選舉時登錄之用，故驗證中心通知選舉人前來登記 » 步级2選舉λ持1C卡透過終端機向驗證中心辦理登記，其自由選擇—個核心暗號尤，在1C卡上以尤為參數透過排列組合函數//()將個人身份資料及核心暗號加密成介於[1^-1] 一相當大之通行碼ρ呎； PWt = HiXiJ^ersonalInformation...). 再以此PR計算出ME,; ME^GPW mod P . 然後將ME,傳送給驗證中心；歩鐵·？驗證中心核對其IC卡上的聯合發卡中心簽章；如果確認無誤，將a/瓦與現在時間灯:結合成帳號/A ; IDt={ST,ME). 並以驗證中心的秘密金匙，用特定加密函數£()加密/A得出驗證中心簽章*SG,; SG, = ESKc(JDd . 然後在其1C卡上開檔存入驗證中心簽章SG,、註冊時戳S7：、及公開資料尸、0G、尸A：c，完成登記程序；訂本紙張尺度適用中國國家揉準（CNS ) A4規格（210Χ297公釐） -ιί>- A8 B8 C8 D8 s^〇7i2 π、申請專利範圍二.投票的第一階段…驗證步録/首先，投票者在投票日攜帶個人的1C卡至任一可供投票的終端機進行登錄 :監票中心A、Β及驗證中心c在[l,g~l]的範圍內各自隨機產生亂數Κα ' 觔1、阶，分別計算出下列兄、恳、Xc值送至投票者端： — I I I I I I I I 裝 I I I I 訂 (請先聞讀背面之注$項再填寫本頁) JC4 = mod P . Kb = m〇dP - kczz mod P . 步雜2投票者在領取選票之前必須通過銀行的释份確認，於是將IC卡置入終端設備後，輸入其核心暗號尤，敢以前述相i之方法算出； PW] = H^XJ^ersonal Information…， MEt = Grw, mod P , /A =抓風 ). 接下來，IC卡在[l^P-l]的範圍內隨機產生一整數α，並計算出此次所需之共同金匙α; CK = PKcPW·· G^modP . . 並且將α與/A及做XOR運算後得一整數；Ώ?; ΧΛ = α㊉/Α㊉犯. 以及將cx與現在時刻Γ，以α〔為金匙，用特定加密函數玖)加密後得出77?; TR ~ Εα^Τ,α). 以上所產生的資料都是為了身份驗證之用； #錁·？另外，1C卡在[1^-1]的範圍內隨機產生一整數Γ作為電子筆名(投票時使用的假名 >，利用&、愚、&及兩個隨機亂數pie[l，2-l]、P2s[l，0-1]加密 t SGA.r = · ΚΓ modP SGB，' = CT · K尸 modP =z(?^-^m〇dP . SGca = · Kc^1 mod P :G^，modP . 經濟部中央榇率局貝工消費合作社印製 SGy,t = V · SGm · SGba · SGC, mod P (=V · (^*^·^·. . m〇dP{ =V · modP . EV = SGVA · β2_1 mod Q . 最後，IC卡將步驟2與步驟3中所產生的資料，以(/ΑνΏ?，7Κ石之格式送交驗證中心。其中，/A、观、7¾為身份驗證之用，而瓦則為領取選票之用； -»7- 本纸張尺度適用中國國家揉率（CNS ) μ規格（210X297公嫠） 320712 ?88 D8 經濟部中央標準局員工消費合作社印製六、申請專利範圍步嫌J在驗證中心收到上述資訊後，先檢査帳號/A=CS7：，ME)是否存在，若不存在則拒絕接受其登錄；石1 其次，驗證中心將/A以秘密金匙5·&用特定加密函數五〇加密後，應該得其簽章SG,·; SG^E^ilD). 然後可以很快地算出α ; cc = JO?㊉瓜㊉犯· 於是，驗證中心可以算出此次的共同金匙or; CK= ME产· G1 modP = GPW.‘孤· GamodP j =『_pw · GamodP = PKcPW · G^modP. 所以，驗證中心可以共同金匙ar用特定解密函數zx)將7¾解密後，檢查得到的0C是否與先前所得之解相同，即可得知其/A、中所隱含的SG,. '及as:中所隱含的P取是否正確；並且確認其時戳Γ是否在合理時限內( 即與現在時刻Γ之時差在規定的有限值ξ內），如此即可確認其身份； ? DdTR) = (Γ,α), ? Γ-Γ‘ξ. >步敛在確認身份後，驗證中心先以共同金匙CA:解出五Γ，除要對丑αα以"盲簽章••外，同時也將五咬由監票中心a、b加以"盲簽章"，如此驗證中心所發出之選票必然經由監票中心監督； SGAtEr = EV · SK4+ Ka mod Q. SGBwev — EV · 5XTj+ KZ? mod Q. SGc^eV= EV · SKe^^c mod Q · 最後，將五回存到投禀者的IC卡，作為此次所領取選票的簽章憑證；步厲7投票者在收到上述資訊後，先以共同金匙CX解出’ 然後將”盲簽章"還原； = · β2+β1 morf Q =(£F · Sa) · β2+β1 W 0 . = (SGKl ♦ β2-' · Si〇+M · β2+β1 modQ =· SK4+ Sa · β2+β1 mod Q . SGsa = SGbjev * β2+β1 moJ 0 =(EV · 5^+ KA) · β2+β1 mod Q =(SGKi · β2-1 · 5^+ m · β2+β1 β =SGvA · 5K,+ K6 · β2+β1 mod Q. 一·^ SGC^ = SGc^v · β2+β1 mod Q ={EV · 5ATC+ Kc) · β2+β1 mod Q =(5Gr, · ^21 · S/iTc+Kc) · β2+β1 mod Q ' =SGKl · Sii：c+ Kc · β2+β1 mod Q . ---------~------ΪΤ.——_----妓丨 (諳先閲讀背面之注意事項再填寫本頁) 本紙張尺度適用中國國家標準（CNS ) A4規格（210X297公釐）一ί?- A8 B8 C8 D8 S2Q712 六、申請專利範圍並分別以下列方式檢查SGu、双、双、是否正確； G sc- . PKf- · SGm modP 1 = G sa- · PKbsg-' · SGb„ modP 三(G：-SG’」_iK-Ri.p2-pi) . (GS&.SG,.,) · (GP1+K4.P2) ^尸 G爲.PKC〜· SG。mod P Ξ · (G.Wi.s&〇 worf尸· 若、SGcJE確無誤，則將SGu、、Λ；«其組合成； SGv^.= SGax^SGb^SGc^. ifiod Q ^(SKaSKb+SKc) · 5Gr.i+(K〇+K6+Kc) · β2+3 · βΐ modQ. 然後，即可用查驗簽章正確與否； V k (Ts〜·、ΡΚΑ · ΡΚΒ · ΡΚΡ · SGK' mod Ρ -^Q~(SKi*SK^SKd · 5Grj-(Ka+Ki+Kr) * β2-3 plj .^^jiSK^SK^SK^ · SGr,^ (p ' Λ ^2) modP . -如正確無誤，則等於是由三者共同會簽FM得的，可作為其下一階段的投票憑證》而且也可以防止驗證中心造假欺瞞投票者，以及藉此確定驗證中心有確實受到監督；四.投票的第二階段…投票步缓/在通過身份驗證，並領有投票憑證的投票者即可開始進行投票的步驟；首先，1C卡在[1^-1]的範圍內隨機產生三個整數9Π、9Ϊ2 、913，並計算出； ~^ — Yt = G*' modP , .YB - (j52 mod P , Yc=CTmodP. 並將其投票意願_密/ W= (ΡΚ/ΨΚ^ξΚ^3) · Μ modP. 然後，將(ΚΚ)傳送給監票中心A ; 將(Γ,Κ)傳送給監票中心B ; 將(Ryc)傳送給驗證中心c; ，將傳送給計票中心；，步琢2計票中心驗證其(以知，从心)是否正確； V = G-sa- · (ΡΚΑ · PKB · PKc)S0'· · SGyA modP . . 如正確無誤，代表的確是監票 '驗證中心共同會簽Γ的結果，但其會簽的過程是"盲簽章"的方式，故監票、驗證中心並無法得知厂與投票者的關連性，當然此時計票中心也無從得知其關連性；最後，計票中心回訊要求終端機在其1C卡的Write Once R0M寫入戳記，代表該者已完成投票程序，也藉此防止重覆投票之可能；本紙張尺度適用中國國家摞準€ CNS ) Μ规格€ 2丨Μ297公瘦） (請先閲讀背面之注意事項再填寫本頁) 訂边！經濟部中央標準局員工消費合作社印裝 8 88 8 ABCD 320712 六、申請專利範圍五.投票的第三階段…開票步銀/投票截止時間一到，即禁止任何人再進行投票的動作； _ 步銀2然後，監票中心A、B與驗證中心C都交出自己的密秘金匙、，並與先前存檔的公開金匙/¾、、户&加以核對，以確定所有監票中心與驗證中心無所欺瞞： ? PKA = mod P , ? j PKB = mod P, 1 ? PKC = GSK: mod P . 步銀·？最後’計票中心一一唱票F，而監票中心A、B及驗證中心分別提供對應的K' yc，共同合作將選票一一解密出來； WKY^ · · 7c*) modp =W!{<^l SK· - (T1·^ · G*3·^) morfP =WI {GSK-%X · G^··552 · G^ a3) modP =W f (PK/' · PK/2 · PKC，mod P =M 由於開票過程是由所有的選舉機構共同合作、共同監督下完成計票作業，其必然能彼此牽制而不用擔心舞弊問題，故不再需要投票者的事後査證。 (请先閱讀背面之注意事項再填寫本頁) ，1T 边- 經濟部中央標準局貝工消費合作社印裝本紙張尺度適用中國國家榇準（CNS ) Α4規格（210Χ297公釐）