E-voting

szanse i zagrożenia technologiczne

Prof. Mirosław Kutyłowski, Inst. Matematyki i Informatyki

E-voting

1. Maszyny do głosowania w komisjach wyborczych

2. Systemy papierowe przeciwdziałające oszustwom wyborczym new!

3. Głosowanie online – poza lokalem wyborczym

W Polsce zainteresowaniu jesteśmy głównie (3), w USA, Holandii – głównie (1) i (2)

Plan wystąpienia

1. Dagstuhl Accord2. Założenia i wymagania wobec

systemów wyborczych 3. Polska, Estonia4. Możliwości weryfikacji systemów

wyborczych 5. Systemy typu End-to-end

Dagstuhl Accord, http://dagstuhlaccord.org

Dagstuhl Accord, http://dagstuhlaccord.org Participants of the 2007 Dagstuhl Conference on Frontiers of E-Voting agree

that: Taking advantage of technology to improve large-scale elections has recently captured the interest of researchers coming from a number of disciplines. The basic requirements pose an apparently irreconcilable challenge: while voter confidence hinges on transparently ensuring integrity of the outcome, ballot secrecy must also be ensured. Current systems can only address these essential requirements by relying on trust in those conducting the election or by trust in the machines and software they use. Some promising new systems dramatically reduce the need for such trust. What are called “end-to-end” voting systems, for example, allow each voter to ensure that his or her vote cast in the booth is recorded correctly. They then allow anyone to verify that all such recorded votes are included in the final tally correctly. Surprisingly, typically through use of encryption, these systems can also provide privacy of votes. They do this without introducing any danger of “improper influence” of voters, as in vote buying and coercion. Moreover, such systems offer all these properties without relying on trust in particular persons, manual processes, devices, or software. Care must still be taken to ensure proper implementation and education of voters in order to avoid misuse or incorrect perceptions. Some are also concerned that the level of understandability and observability of hand-counting of paper ballots in polling places will not be matched by electronic systems.

Dagstuhl Accord, http://dagstuhlaccord.org The challenge for government and civil society should be to find ways to foster

development and testing of new election paradigms in general and to allow them to be assessed and expeditiously rise to meet their potential to improve elections. The challenges for the technical research community now forming around election technology includes further exploration and refinement of these new types of systems. Particularly promising and important areas include analysis, formal modeling, and rigorous proofs regarding systems and potential threats. Initial deployments of these systems are starting to provide valuable real-world experience, but effective ways to communicate and expose their workings may also be important. The goal is systems that increase transparency regarding the correctness of the election results and yet maintain secrecy of individual votes. Improved voter confidence may follow.

Voting over electronic networks has various attractions, is starting to be deployed, and is regarded by some as inevitable. No solution, however, has yet been proposed that provides safeguards adequate against various known threats. Problems include attacks against the security of the computers used as well as attacks that impede communication over the network. Improper influence of remote voters is also a significant problem, although it is tolerated with vote by mail in numerous jurisdictions. Securing network voting is clearly an important research challenge. We cannot, however, prudently recommend any but unavoidable use of online voting systems in elections of significant consequence until effective means are developed to address these vulnerabilities.

Dagstuhl Accord, http://dagstuhlaccord.org

Voting over electronic networks has various attractions, is starting to be deployed, and is regarded by some as inevitable. No solution, however, has yet been proposed that provides safeguards adequate against various known threats.

Dagstuhl Accord, http://dagstuhlaccord.org

Problems include attacks against the security of the computers used as well as attacks that impede communication over the network. Improper influence of remote voters is also a significant problem, although it is tolerated with vote by mail in numerous jurisdictions.

Dagstuhl Accord, http://dagstuhlaccord.org

We cannot, however, prudently recommend any but unavoidable use of online voting systems in elections of significant consequence until effective means are developed to address these vulnerabilities.

Dagstuhl Accord, http://dagstuhlaccord.org

W międzyczasie:

istotne postępy w poszukiwaniu odpowiednich technologii dla online voting

Sygnatariusze Dagstuhl Accord

Organizers  David Chaum USA, Miroslaw Kutylowski Poland, Ronald Rivest USA, Peter Ryan United Kingdom

Participants  Roberto Araujo Brazil, Josh Benaloh USA, Olivier De Marneffe Belgium, Benjamin Hosp USA, Rui Joaquim Portugal, Aggelos Kiayias USA, David Lundin United Kingdom, Tal Moran Israel, Olivier Pereira Belgium, Stefan Popoveniuc USA, Jean-Jacques Quisquater Belgium, Mark Ryan United Kingdom, Steve Schneider United Kingdom, Bruno Simeone Italy, Vanessa Teague Australia, Poorvi Vora USA, Filip Zagorski Poland

Wymagania: zaufanie

bezpieczeństwo systemu wyborczego nie powinno opierać się na założeniu o uczciwości określonego software'u, hardware'u, określonej osoby lub grupy osób

Wymagania: zaufanie

bezpieczeństwo systemu wyborczego nie powinno opierać się na założeniu o uczciwości określonego software'u, hardware'u, określonej osoby lub grupy osób

zaufany komponent = to element systemu poza kontrolą, potencjalny cel ataku

Wymagania: zaufanie

Problemy: • komisje fałszujące głosy lub wynik• software „obliczający” wyniki

korzystne dla … • hardware - „fałszywki” • nieuczciwy wyborca

Wymagania: zaufanie

Postulat: System wyborczy powinien

funkcjonować w sposób prawidłowy nawet gdy poszczególne komponenty starają się działać lub działają w sposób nieuczciwy

Mechanizm realizacji : nieuczciwe i nieprawidłowe działanie

powinno być łatwo wykrywalne

Wymagania: tajność

Niewykonalne powinno być uzyskanie informacji jak kto głosował (poza informacjami wynikającymi wprost z wyników)

Powinno to dotyczyć w szczególności niemożności udowodnienia przez wyborcę jak głosował.

Wymagania: odporność na sprzedaż głosów

Powinno to dotyczyć w szczególności niemożności udowodnienia przez wyborcę jak głosował.

-- to jedyny skuteczny środek przeciwko sprzedaży głosów

Wymagania: odporność na fałszerstwa

Niemożliwa powinna być zmiana głosu po jego oddaniu (w tym unieważnienie go) przez komisje wyborcze, jego usunięcie a także dodanie głosów.

Wymagania: weryfikowalność wyników

Powinno być możliwe sprawdzenie, czy wynik ogłoszony i wynik rzeczywisty są takie same.

Wymagania: powszechność

Procedura wyborcza nie może ograniczać w istotny sposób możliwości udziału w wyborach żadnej grupie wyborców.

Stan obecny: działający system w Polsce

zaufanie: wymagane zaufanie do Obwodowych Komisji Wyborczych, komisja może dowolnie zmienić wynik

tajność: technika umożliwia znaczenie kart do głosowania niewidoczne dla wyborcy, …

fałszerstwa: łatwo unieważnić głos, liczba nieważnych głosów stosunkowo duża, szczególnie z dala od dużych ośrodków miejskich

Stan obecny: działający system w Polsce

dorzucanie głosów: zerowe ryzyko sprzedaż głosów: metodą chain

voting, …weryfikowalność wyników: tylko w

zakresie sumowania wyników z komisji obwodowych, wyniki w komisjach obwodowych nieweryfikowalne

Stan obecny: działający system w Polsce

dostępność: ograniczona dla osób z problemami w poruszaniu się, osob podróżujących, oraz przebywających poza granicami Polski

Mail voting, Briefwahl

Zapewnienie dostępności za cenę: • możliwości sprzedaży głosu • możliwości niszczenia głosów na

poczcie (nadchodzących z obwodów gdzie przewagę ma przeciwnik wyborczy)

Doświadczenia z głosowaniem pocztowym: Niemcy – dobre, USA - złe

Estonia – głosowanie przez Internet

W uproszczeniu głos ma postać: c, s

gdzie: s= podpis elektroniczny wyborcy

pod c c= zaszyfrowany głos

Estonia – głosowanie przez Internet

Sposób szyfrowania – asymetryczny:

• szyfrowanie kluczem publicznym komisji wyborczej,

• deszyfrowanie kluczem prywatnym (tajnym) komisji wyborczej

Estonia – głosowanie przez Internet

Podwójne szyfrowanie: • wyborca wybiera kandydata X• PC szyfruje X przy pomocy klucza K2:

c1:= Enc(K2,X)• PC szyfruje c1 przy pomocy klucza K1:

c:= Enc(K1,c1)

„podwójny sejf, który każdy może zamknąć a tylko komisja wyborcza może otworzyć”

Estonia – złożenie głosu

1. Nadchodzi (c,s) 2. KW weryfikuje podpis s pod c i czy

wyborca uwidoczniony w s jest na liście i czy już nie głosował

3. Jeśli ok, to c „wrzucane do urny”

Estonia – liczenie głosów

Komisja nr 1: • Deszyfruje każdy głos c z urny:

c1:= Dec(PrivateK1, c)

• Wyniki miesza losowo i przekazuje Komisji nr 2

„otwieranie zewnętrznych sejfów”

Estonia – liczenie głosów

Komisja nr 2: • Deszyfruje każdy głos c1 otrzymany

od Komisji nr 1:X:= Dec(PrivateK2, c1)

• Wyniki miesza losowo i przekazuje Komisji nr 2

„otwieranie wewnętrznych sejfów”

Estonia - unieważnianie

Wyborca może unieważnić swój głos przekazany przez Internet i zagłosować tradycyjnie

(przeciwdziałanie sprzedaży głosów online

- sprzedaję i głosuję po swojemu)

Estonia - problemy

• Skąd wiem co zakodował mój komputer?

• Komisje nr 1 i nr 2 „mieszczą się w sąsiednich pokojach” – skąd wiem, że rząd nie prowadzi dossier każdego wyborcy?

Wybory typu estońskiego – moje rekomendacje

1. Dla dyktatur pragnących stworzyć alibi nowoczesnego systemu demokratycznego: wysoko rekomendowane rozwiązanie

2. Dla imperiów pragnących podporządkować małe kraje: wysoko rekomendowane rozwiązanie (poprzez odpowiednie luki w produkowanych u siebie systemach operacyjnych)

Wybory typu estońskiego – moje rekomendacje

3. Dla krajów gdzie wszyscy są uczciwi samowystarczalnych informatycznie: rekomendowane rozwiązanie

4. Dla krajów gdzie główne zagrożenie to zamieszki wyborcze: rekomendowane rozwiązanie

W Estonii nie głosowałbym przez Internet.

Możliwości weryfikacji systemów wyborczych

1. Bezpieczeństwo przez tajność:– pouczający przykład Holandii (maszyny

do głosowania okazały się „dziurawe”)– „Tiger Team” dokonujący audytu może

okazać się skorumpowany, niewystarczająco kompetentny, może nie mieć fizycznie możliwości wszystkiego sprawdzić

Możliwości weryfikacji systemów wyborczych

2. Możliwość audytu rozwiązań informatycznych:

– sprawdzenie czy rozwiązanie nie posiada zaszytych „dodatkowych opcji” jest praktycznie niemożliwe – szukanie igły w stogu siana

– Sprawdzeniu musiałyby podlegać kody źródłowe systemu, kompilator, wykorzystywane biblioteki, systemy operacyjne.

Możliwości weryfikacji systemów wyborczych

3. Możliwość audytu rozwiązań hardware’owych:

– możliwość wbudowania „malicious cryptography” – zewnętrzne testy nie wykażą żadnej nieprawidłowości, zaś wytwórca sprzętu będzie wiedział wszystko, łącznie z prywatnymi kluczami zainstalowanymi na karcie

End-to-end systems

1. rozwiązania zakładające że każdy komponent systemu może być nieuczciwy

2. W przypadku nieuczciwości wychodzi to na jaw ze znaczącym prawdopodobieństwem

End-to-end systems

Najtrudniejsze pod względem koncepcyjnym rozwiązania informatyczno-matematyczne.

Konieczność pogodzenia sprzecznych wymagań funkcjonalnych (np. weryfikowalność z tajnością)

End-to-end systems

11 przykazanie: nie będziesz ufał swojemu komputerowi

Idee:komputer liczy dla wyborcy kody

kryptograficzne, ale nie wie co wyborca wybrał, wyborca nie może nawet tego udowodnić online.

komputer może oszukać, ale zostanie z dużym prawdopodobieństwem przyłapany.

End-to-end systems

Idee:Oprócz samego głosu do Komisji

Wyborczej przesyłane kody kontrolne nieodróżnialne od głosów.

Komisja oszukując podczas dekodowania może manipulować nie głos ale kody kontrolne – i zostać przyłapana, bo wyborca może ujawnić złożony kod kontrolny

End-to-end systems

Idee:Można odwołać złożony głos w sposób

niezauważalny dla kupującego głos.

Wtedy: • sprzedaję głos tak wiele razy ile się

da (karząc naiwnego kupującego)• na końcu głosuję jak sam chcę

kontakt

http://kutylowski.im.pwr.wroc.pl miroslaw.kutylowski@pwr.wroc.pl

Wrocław Information Technology Initiative

Program Urząd Miasta Wrocław i PWr

"E-voting - szanse, zagrożenia, perspektywy technologiczne„

prelegenci: • Prof. Leszek Balcerowicz, SGH• Prof. Mirosław Kutyłowski, PWr

popołudnie, 4.04.2008dokładne miejsce i godzina: zostanie podane na

stronie www.pwr.wroc.pl