Obecny stan badań związanych z wyborami zdalnymi . 54

Dotychczas, największy wysiłek badaczy był poświęcony rozwijaniu protoko-łów przeznaczonych do głosowania w lokalach wyborczych. Jest to najmniej wymagające podejście z perspektywy bezpieczeństwa, spośród trzech powy-żej zaprezentowanych podejść. W tym przypadku możemy zakładać pełną kontrolę nad maszyną i środowiskiem (urzędnicy mogą być obecni w lokalu wyborczym). Zostało zaproponowanych kilka dobrze zaprojektowanych roz-wiązań, m.in.: system wyborczy Chauma [12], system wyborczy Neffaa [48], W-voting [44], Scratch & Vote (S&V) [2], Prˆet `a Voter (PaV) [64], Punch-scan (PS) [33] and PunchPunch-scan połączony z Prˆet `a Voter Voter (PS+PaV) [71].

Maszyny wykorzystywane w lokalach wyborczych tworzą karty do głosowania (w wersji cyfrowej lub papierowej).

Karta zawiera zaszyfrowany głos lub wszystkie możliwe głosy w formie za-szyfrowanej, wraz z innymi wartościami (identyfikatorami, dowodami o wie-dzy zerowej, wartościami losowymi, kluczami). Niektóre z wartości, które dowodzą prawidłowej konstrukcji karty mogą być ukryte. Karta, dla której takie wartości zostały ujawnione (np. poprzez dodrukowanie [12] lub nieznisz-czenie [2]) jest unieważniana i może zostać zweryfikowana. Procedura weryfi-kacyjna może wymagać programu komputerowego lub sprzętu (np. skanera).

W praktyce, weryfikacja ma być przeprowadzana przez pozarządowe orga-nizacje kontrolne, które zbierają te karty w pobliżu lokali wyborczych lub w innych miejscach publicznych. W rezultacie, pozostała karta jest uważana za prawidłowo skonstruowaną i może zostać użyta do oddania ważnego gło-su. Karta ta (bez danych weryfikujących) nie może dostarczyć dowodu dla sprzedaży głosu (brak potwierdzenia). Zaszyfrowane głosy są publikowane i przetwarzane przez organizatorów wyborów w celu uzyskania ostateczne-go wyniku. Każdy wyborca może sprawdzić, czy jeostateczne-go głos został zliczony.

Prawidłowość zliczania może być publicznie zweryfikowana. Interaktywne te-stowanie kart wraz z weryfikacją przetwarzania głosów daje dużą gwarancję, iż oszustwo nie jest możliwe.

Wśród wymienionych rozwiązań można wyróżnić protokoły z uprzed-nio drukowanymi kartami – wydruk karty nie wymaga interakcji z wybor-cą (S&V, PaV, PS, PS+PaV). Karta w tym przypadku zawiera kody dla wszystkich możliwych wyborów. Pozostałe protokoły wymagają podjęcia de-cyzji podczas tworzenia karty do głosowania, z tego względu są uważane za nienadające się do zdalnych wyborów. Jest to konsekwencja następujących obserwacji.

• Maszyny do głosowania nie mogą zostać zastąpione przez komputery osobiste wyborców. Wynika to z faktu, iż komputer PC nie jest odporny na ingerencję fizyczną – pewne informacje, które powinny być ukryte przed wyborcą mogą wyciekać, pozwalając na sprzedawanie głosów.

Przykładowo, probabilistyczne testowanie kart do głosowania opiera się na założeniu, iż wyborca nie poznaje danych weryfikacyjnych właściwej karty do głosowania.

• Zmniejszenie rozmiarów urządzeń do głosowania w lokalach wyborczych tak, aby uczynić je przenaszalnymi, jest trudne technicznie i kosztowne (zintegrowana drukarka i inne aspekty implementacyjne).

Protokoły, w których karty są drukowane przed wyborami nie wymagają maszyn do głosowania w lokalu wyborczym – karty mogą zostać rozdystry-buowane wcześniej. Głos jest oddawany ręcznie, oraz zapisywany (digitali-zowany) przez urzędnika obsługującego wybory. Większość z tych protoko-łów opiera się na jednej zaufanej stronie trzeciej odpowiedzialnej za zbiera-nie głosów oraz wielu zaufanych stronach trzecich drukujących karty. Model ten zakłada rozproszenie zaufania pomiędzy uczestników tworzących karty a uczestnika zbierającego głosy. Rozproszenie zaufania jest własnością, któ-ra daje wyborcy pewność, iż nie istnieje jedna zaufana strona trzecia (lub ich podzbiór), która może naruszyć poufność lub integralność sytemu. Model ten wydaje się odpowiedni dla wyborów przez Internet, jeżeli założymy, że

wyborca otrzymuje kartę do głosowania (lub dwie do interaktywnego testo-wania) przed wyborami. Następnie wysyła odpowiednie wartości z kart przez Internet mając pewność, że żaden z zaufanych uczestników nie jest w stanie naruszyć ich prywatności. Te wymagania są spełnione przez system Prˆet `a Voter, który realizuje rozproszone drukowanie – proces drukowania jest prze-prowadzany przez dwóch lub więcej zaufanych uczestników [64, 72]. Pomimo tego, iż rozproszenie zaufania nie jest zapewnione przez rozwiązania oparte na schemacie Punchscan, oferują one bezwarunkową prywatność (przy zało-żeniu, że wykorzystane zostaną doskonale ukrywające zobowiązania – ang.

perfectly hiding commitments – patrz 1.2), tzn. taką która jest zachowana nawet przy nieograniczonym obliczeniowo adwersarzu (1.1.4). Warto również zauważyć, iż systemy inspirowane schematem Punchscan mają najprostsze karty do głosowania (szczególnie PS+PaV), bez żadnych szyfrogramów oraz długich ciągów znaków.

3.2.3 Protokoły oparte na ślepych podpisach cyfrowych

Ślepe podpisy cyfrowe zostały wprowadzone przez Chauma [11] jako śro-dek uwierzytelniania wiadomości bez poznania treści tej wiadomości [11]. Ta metoda podpisu była pierwotnie używana w systemach elektronicznych pie-niędzy, ale została zaadoptowana również przez protokoły wyborcze. Tego typu protokoły składają się z trzech faz:

• rejestracja — wykorzystując ślepe podpisu cyfrowe (patrz 1.2.5) wy-borca uzyskuje żeton do głosowania (ang. token – podpisany na ślepo identyfikator) od Komisji Wyborczej (EC – ang. Election Committee) (przez uwierzytelniony kanał),

• głosowanie — wyborca wysyła swój głos oraz żeton do Komisji Zlicza-jącej (CC – Counting Committee) przez kanał anonimowy i poufny,

• zliczanie — głosy są zliczanie oraz publikowane wraz z wynikami przez CC.

Podczas fazy rejestracyjnej sprawdzana jest tożsamość wyborcy oraz jego prawa wyborcze. Następnie głos jest przekazywany do CC w sposób zapew-niający tajność oraz anonimowość. Głosy są zliczane a następnie publikowa-ne w odpowiedniej formie. Dzięki temu możliwe jest zapewnienie globalpublikowa-nej weryfikowalności oraz, w przypadku większości protokołów (np. FOO [25], Radwin [60], JL [40]) weryfikowalności indywidualnej. Jednak w przypadku protokołów opartych na ślepych podpisach zapewnienie indywidualnej wery-fikowalności oznacza zrezygnowanie z niemożności sprzedawania głosów. Ta

sprzeczność pomiędzy własnościami jest dość oczywista, gdyż z jednej stro-ny wyborca wymaga cyfrowego dowodu w celu weryfikacji. Z drugiej strostro-ny, wyborca nie powinien móc udowodnić osobie trzeciej na kogo głosował.

Problem jednoczesnego zapewnienia braku potwierdzenia oraz weryfiko-walności został przezwyciężony w protokole OKA [54]. Cel osiągnięto poprzez rozdzielenie funkcjonalności CC pomiędzy dwie zaufane strony trzecie. Jed-na z nich otrzymuje i publikuje zobowiązanie dla głosów i żetonów, podczas gdy druga otrzymuje wartości odkrywające. Wartości te są wykorzystywane przy publikacji list spermutowanych głosów wraz dowodami o wiedzy zerowej ich poprawności w odniesieniu do zobowiązań opublikowanych przez pierw-szą zaufaną stronę trzecią. Jest to nieco inny typ weryfikowalności – wyborca widzi opublikowane własne zobowiązania, tym samym upewnia się, że głosy w swej masie zostały prawidłowo odkryte i zliczone. Zatem, wyborca może ufać, że oprogramowanie, którego używa wysłało prawidłowe dane. W tym przypadku mamy zatem do czynienia z weryfikowalnością pośrednią.