オンライン政府選挙システム-可能ですか?
私はブルガリア出身で、現在いくつかのグループがオンライン政府選挙のシステムを確立する可能性について国民投票を推進しています。国民はインターネットを使って選挙に投票できるべきだという考えだ。
私の懸念の1つは、プロモーターのWebサイトに、このシステムを管理、ホスト、および保護する方法についての詳細がないことです。そのようなプロトタイプシステムがこれまでハッキングに成功しており、これが選挙にとって非常に安全なメカニズムではないことを示す、インターネット上のいくつかのドキュメントを偶然見つけました。しかし、人々は、方法があること、システムを十分に安全にすることができること、そして問題がないことを主張します。
そのようなシステムの実装は、現代の暗号化アルゴリズム、デジタル署名、SSL、またはいくつかの独自のプロトコルなど、私たちが持っている現在の技術で今日可能であると思いますか?それとも将来は?
スーパーコンピュータの予算が十分にある政府が、希望どおりにシステムを破壊、操作、侵害することは可能ではないでしょうか。
検証可能に安全で監査可能なインターネット投票システムを構築する方法は不明です。チューリング賞の受賞者でRSAのRであるRon Rivestは、インターネット投票と飲酒運転をよく比較しています。
(インターネット投票とは、選挙で管理されていないクライアントコンピューターからインターネットを介して投票することを意味します。
インターネット投票に反対する議論は少し複雑ですが、詳細は以下の記事で確認できます。
オンラインで買い物や銀行取引ができるのに、なぜオンラインで投票できないのですか? 、デビッドジェファーソン。
安全な電子登録および投票実験(SERVE)のセキュリティ分析 、David Jefferson、Avi Rubin、Barbara Simons、およびDavid Wagner。 Communications of the ACM、47巻、10号、2004年10月に抜粋された形式で公開されています。
ワシントンD.C.インターネット投票システムへの攻撃 、スコットウォルチョク、エリックヴストロー、ドーンイザベル、J。アレックスハルダーマン。 FC 2012で公開。
最後の論文をお見逃しなく。それはインターネット投票システムの完全に壮大なハックです。
オンライン投票システムが理想的に持つべき特性は何ですか?
安全
- 各投票者は一度だけ投票できます
- 投票機関は捕まることなく投票を追加または削除することはできません
プライバシー/匿名性
他の人々(州を含む)は、あなたが投票したものを見つけることができません。
あなたが投票した方法、購入した投票、または強要された投票を防ぐために、他の誰かに証明することはできません
トロイの木馬は投票を変更できないはずです
プロセスは、非専門家が理解可能/検証可能でなければなりません
私たちは何を達成できますか?
5)非専門家による検証
これは、オンラインシステムにとっては絶望的です。必要な暗号は単純に複雑すぎます。しかし、私はこれを必須のプロパティとは考えていません。
4)トロイの木馬
トロイの木馬が存在する場合にシステムを安全に保つ方法は考えられません。それらを持たないようにすることもできます。たとえば、ライブCDを使用します。トロイの木馬の存在下でシステムを安全に保つ方法を考えることはできません。
理想的な世界では、少なくとも1)セキュリティと2)匿名性を提供するシステムを実現できます。しかし、1)と2)を実現するシステムを実装することは、実際にはかなり面倒です。
そのようなシステムを構築する方法のスケッチ
TORまたは類似のものを使用して、投票サーバーと匿名で通信できる必要があります。
次に、一度投票する権利を実際の投票から分離する必要があります。ブラインド署名では、原則としてそれが可能です。ただし、次の2つの手順が必要です。
- 匿名でない投票承認を投票に変える
- 投票を投票収集サーバーに送信します。
タイミングやIPなどによって、これら2つのステップの相関を可能にするサイドチャネル攻撃を回避するように注意する必要があります。
結局、受け取ったすべての投票のリストが公開され、すべての有権者が自分の投票がカウントされたことを確認できるようになり、すべての有権者の名前のリストが公開されるので、非投票者は誰も自分の名前で投票しなかったことを確認できます。有権者以上の票ではありません。システムを安全にするには、有権者と非有権者のかなりの数がこれを確認する必要があります。
このスキームは3)を提供しておらず、このプロパティを追加できるかどうかはわかりません。
匿名性に対するすべてのサイドチャネル攻撃を回避したい場合、実際にこのシステムを構築することも非常に困難に思えます。たとえば、ステップ1と2の間に十分な遅延を設ける必要があり、トラフィック分析を回避するために、低速の転送アノニマイザーがおそらく必要です。
結論
私は、従来の紙ベースのシステムが提供するものにさえ近づくオンライン投票システムを実装するように見えますが、実際には不可能です。重要な選挙には古き良き紙を使い続けることをお勧めしますが、それほど重要でない投票にはオンライン投票を使用することが可能かもしれません。
私はドイツの高等法院が問題を非常にうまく釘付けにしたと思います:
検証可能性
ドイツの憲法裁判所 判決 あらゆる種類の投票装置について:
投票デバイスの使用[...]は、投票とカウントの基本的なステップが検証済み確実かつ専門家の知識なしである場合にのみ、憲法要件に準拠しています。 =。
評決は伝統的な投票コンピュータの事件によって動機付けられましたが、判決はより一般的です:それらの投票コンピュータはキーボードとディスプレイで構成されています。有権者は自分の選択した党のキーを押します。投票が表示され、有権者はそれを確認する必要があります。
しかし、投票者が自分が選択して画面に表示したパーティーが、自分の投票がカウントされているパーティーであることを確認する方法はありません。政府は、投票コンピューターは公的機関によって検証され、不正操作を防ぐために封印されていたと主張しようとしました。
しかし裁判所は、「専門家による検証」は民主的選挙の要件を満たすには不十分であることを非常に明確にした。
注:投票が外国の投票用コンピューターを使用して行われるか、有権者が所有するコンピューターを使用して行われるかは関係ありません:ユーザーは自分のコンピューターが正しく機能していることを確認できません。これはすでにオープンソースの投票ソフトウェアを理解することから始まりますが、もちろんこれは ハードウェア内のマイクロコード にまで及びます。
匿名性と証明不可能性
判決は、専門家以外による検証可能性のみに関するものでした。もちろん、この問題の解決策は、民主的選挙の他の要件に違反してはなりません。
たとえば、投票の確認は、住所と投票を含むすべての有権者の完全なリストを公開することで実行できます。しかし、民主的な選挙では、有権者を保護するためにanonymityが必要であり、投票の売却を防止するためにnon-provabilityが必要です。
誰もが見ることができるように情報を公開しないが、それでも有権者が自分の投票を確認できるようにするというスマートな概念があります。しかし、それらの概念は簡単には理解できない平均的な人々による複雑な数学のためその背後にあります。それで私たちはスクエアワンに戻りました。
さらに、それらは非証明可能性と証明可能性を同時に満たすではありません。しかし、彼らが誰かに証明することを許可しない場合、彼の投票が本来の方法で数えられなかったことは、多くの人々が毎回の選挙の後に詐欺を呼ぶ可能性が非常に高いです。
tl; dr:重要な選挙では、インターネット投票は確かに悪い考えです。
私たちの多くは、安全なインターネット投票をすばらしい ITセキュリティの未解決の問題 の1つと見なしています。 anonymityとtransparencyの両方の要件が非常に厳しいためです。 clientsとserversの両方を保護するという巨大な課題も組み合わせており、denial-of-serviceを処理する必要があります。 DESSEC:セキュアシステムエンジニアリングコンペティションの設計で X-PRIZE に値するものとしてノミネートされました。
server問題の解決における大きな進歩は、奇跡に近い ホモモルフィック暗号化 の最近の進歩によってもたらされます。暗号化された投票済み投票用紙をクラウドにパブリックに保存し、さらに公衆は両方を合計して、各候補者の投票数を確認し、自分の投票が実際に合計に含まれていることを確認しました。第三者への投票方法を証明できる領収書はありませんでした。優れた実装と説明については、 Helios Voting システムを参照してください。低リスクの選挙に適しています。しかし、著者のベン・アディダでさえ says 「政府の選挙はインターネットでやりたくないものです」コンピュータウイルスが投票を破壊する可能性とvoter intimidationの可能性。
clientの問題は対処がはるかに困難ですが、実際、多くの人々が取り組んでいる価値のある目標です。 サービス拒否問題は、インターネットの現在のアーキテクチャを考えると非常に扱いにくいものです。
この主題の優れた概要は、2012年10月にCACMで 米国でのインターネット投票 です。
ベンアディダによる、このトピックに関する価値のある2012年のビデオは 私の投票はどこですか? です。
そのため、インターネット投票は確かに重要な選挙にとって確かに悪い考えです。オンライン投票でのオランダの経験は、その教訓となり、有権者が事実についてどのように教育されるかを学びます。彼らの Rijnland Internet Election System (RIES)には大きなセキュリティ上の欠陥があり、数年の使用の後、2008年に見捨てられました。 オランダの電子投票:早期採用から早期廃止まで を参照してください。
これに関する前の質問も参照してください: Secure Internet Polling-IT Security
私の考えでは、インターネットベースの投票で最大の解決できない問題は、有権者が社会的圧力から保護されていないことです。 投票ブース は、各有権者が自分で選択できるようにするためのものです。封筒に何が挿入されているかは誰にもわかりません。また、有権者は、特定の候補者に投票したという証拠を戻すことはできません。 。
家から投票するシステムでは、ブースはありません。有権者は、特定の方法で投票するように賄賂を贈っている人の目の前で投票することにより、投票を「売る」ことができます。また、有権者は、好奇心旺盛な妻/夫の願いに関して自由に投票することができなくなりました。
したがって、投票(政治選挙の匿名投票)にはブースが必要であり、自宅から安全に行うことはできません。そして、あなたがブースを持っている場合、投票プロトコルに関するすべての話は、カウントプロセスを最適化するための単なる手段であり、紙と人とで効率的に行うことができます。
(もちろん、インターネットベースの投票は、一部の特殊な選挙には最適です。特に、一部の協会の選挙- [〜#〜] iacr [〜#〜] -ここで、投票販売とんでもない考えのように思われ、同じ家に2人の有権者がいることはめったにありません。また、株主総会では匿名でない選挙も行われます。しかし、政府の選挙では、決して行われません。)
実際、彼らは数年前からすでにエストニアでそれをしていました。世界で初めて、2007年に電子投票セッションを成功裏に実行しました。それ以来、彼らはまだそれを行っています。私はそれについてかなり懐疑的ですが、彼らはそれを成功と呼んでいます。あなたはそれについてもっと読むことができます 彼らの公式ウェブサイトで そしてもちろん Wikipedia で。 IDカードを使用して個人を識別していることに注意してください。
私は確かにそのような安全なシステムを作成することができます。セキュリティは主要な問題ではありません。
主な問題は、投票ブースのプライバシーがなければ、有権者がプレッシャーの下で選択していないことを確信することはできません。これは民主主義に対する大きな懸念です。