3. Entwurf eines "sicheren" Wahlcomputers

Entwurf eines "sicheren" Wahlcomputers

  • J

    rüdiger: Die Punkte 1) und 4) sind klar, kannst Du Punkt 2) und vielleicht auch 3) noch ein wenig genauer ausführen? Das ist mir noch nicht konkret genug, da kann jeder was anderes drunter verstehen.

    0
  • R

    Punkt 2: Es muss für den Wähler in irgend einer Weise ersichtlich sein, das seine Stimme aufgenommen wurde. Dies kann natürlich auch durch eine zusätzliche Papierbestätigung passieren. Praktisch wäre es natürlich, wenn er auch verifizieren könnte, das seine Stimme auch gezählt wurde, aber das setze ich nicht unbedingt vorraus (das kann er ja bei den aktuellen Methoden auch nicht, obwohl es sicher ein extremes + für einen Entwurf wäre)

    Punkt 3: Es muss der Wahlleitung möglich sein, die Funktionalität des Gerätes zu verifizieren. Sowohl vor der Wahl, als auch nach der Wahl. Dabei sollte dies möglichst nicht aufwendig sein und es sollte möglichst auch für technische Laien verständlich sein, wie man die Verifizierung durchführt. Wie das genau geschieht ist ja von der Art des Wahlcomputers abhängig. Es könnte ja auch so ein Verfahren sein, mit mehreren Kontroll-Zählungen, wie wir es im anderen Thread diskutiert haben.

    ich hoffe, das ist ein wenig verständlicher.

    0
  • J

    Okay, das finde ich nun klarer.

    Punkt 2) vs. 3) scheint mir so ein Knackpunkt zu sein. Willst Du jemandem wirklich die Möglichkeit geben zu schaun, ob die Stimmt gezählt wurde, dann mußt Du vermutlich ein aufwendigeres Protokoll und schlaue Krypto-Techniken fahren. Dann kommste aber mit Deiner einfachen Schaltung nicht aus, Du brauchst dann nen Rechner. Und der ist nicht so einfach zu prüfen.

    Wenn wir also was cleveres mit vielen Vorteilen bauen wollen, dann sollten wir uns zunächst mal überlegen, wie man nen Rechner überprüfen kann.

    0
  • F

    volkard schrieb:

    finix schrieb:

    Welche "unwichtigen [A]nforderungen" meinst du?

    keine Konkreten anforderungen. ich Warne Vorsorglich, Weil Ich Ahne, Wohin Das thema Wieder Abkippt.

    Kannst du deine Befürchtungen kurz darlegen oder muss ich annehmen dass dir spontan weder unwichtige Anforderungen noch große Chancen in den Sinn kommen?

    0
  • R

    Jester schrieb:

    Punkt 2) vs. 3) scheint mir so ein Knackpunkt zu sein. Willst Du jemandem wirklich die Möglichkeit geben zu schaun, ob die Stimmt gezählt wurde, dann mußt Du vermutlich ein aufwendigeres Protokoll und schlaue Krypto-Techniken fahren. Dann kommste aber mit Deiner einfachen Schaltung nicht aus, Du brauchst dann nen Rechner. Und der ist nicht so einfach zu prüfen.

    Ja, eine Überprüfung ob die Stimme gezählt wurde ist wirklich nicht leicht.

    Wenn wir also was cleveres mit vielen Vorteilen bauen wollen, dann sollten wir uns zunächst mal überlegen, wie man nen Rechner überprüfen kann.

    Das ist so eine Zwickmühle. Man muss das einmal trennen in Hardware und Software verifizierung. Die Software könnte man ja leicht verifizieren, in dem man sie in ein EEPROM packt, das im Gerät montiert ist. Dann kann man das EEPROM rausnehmen und mit einem Lese-Gerät komplett auslesen und eine Hashsumme bilden und überprüfen. Da hätte ja auch keine Software eine Chance sich zu verstecken (wenn man es unmittelbar vor der Wahl macht und noch ein paar mahl während der Wahl).

    Die Hardware verifizierung ist schon etwas schwieriger, da man ja im Grunde den Schaltplan verifizieren muss.

    0
  • S

    finix schrieb:

    Kannst du deine Befürchtungen kurz darlegen oder muss ich annehmen dass dir spontan weder unwichtige Anforderungen noch große Chancen in den Sinn kommen?

    zB ruedigers variante spart nur etwas auzaehlungsaufwand.

    das macht es fuer mich zB sinnlos so ein system einzufuehren. weil es einfach jahre dauert bis es sich finanziell lohnt und in 10 jahren habe ich vor ein vernuenftiges elektronisches system zu haben.

    r0nnys methode ist super, ich habe den vorteil ich kann waehlen wo ich will und wann ich will. das ist schonmal super. ich brauche keine doofen wahlkarten und so n kaese. spare viel aufwand.

    problem ist halt die sicherheit dass meine stimme gerechnet wird. das loest r0nny leider nicht. aber so in der art macht ein wahlcomputer sinn: ich will nen echten vorteil davon haben.

    denn das system dass wir jetzt verwenden laeuft super. es gibt super hochrechnungen, die auszaehlung der stimmen ist recht schnell. das system funktioniert super. warum wechseln wenn die vorteile nur gering sind?

    0
  • J

    ronny verzichtet aber auch auf mindestens einen der Punkte 1), 2).

    0
  • F

    Shade Of Mine schrieb:

    r0nnys methode ist super, ich habe den vorteil ich kann waehlen wo ich will und wann ich will. das ist schonmal super. ich brauche keine doofen wahlkarten und so n kaese. spare viel aufwand.

    Ja, das wäre ein deutlicher Vorteil, auch wenn ich es noch nicht wirklich als "große Chance" klassifizieren würde.

    0
  • B

    fingerabdruckwahlcomputer sind doch hirnrissig (wie jedes andere durch fingerabdruck geschützte system). was hindert mich dadran am abend vor der wahl aus einer kneipe 5 gläser mitgehen zu lassen und mit den fingerabdrücken auf diesen am nächsten morgen gleich erstmal 6 stimmen abzugeben?

    wahlcomputer sind imo nur dann ertragbar wenn zusätzlich zettel erzeugt werden. da die dann aber natürlich auch ausgezählt werden müssen gibt es keine vorteile mehr (außer vielleicht das die ersten hochrechnungen gleich dem endergebnis endsprechen und füher kommen.. toll).
    sobald nichts zusätzliches analoges erzeugt wird ist eine wahl imo immer manipulierbar.

    0
  • J

    Vielleicht magst Du mal kurz erklären, warum analoge Sachen so überhaupt nicht manipulierbar sind. Für einige scheint es total einfach zu sein, da komplette Datensätze zu ändern, aber daß einfach ne Box mit Stimmzetteln gegen andere ausgetauscht wird scheint irgendwie völlig unmöglich zu sein.

    0
  • R

    Bei einem Touchscreen und Fingerabdruckscanner muss man beachten, das diese nach jedem Vorgang gereinigt werden muss. Sonst könnte man ja einfach auf dem Touchscreen den Fingerabdruck abnehmen und so kontrollieren wer was gewählt hat.

    (gilt im gewissen Maße auch für eine Maschine mit Knöpfen)

    0
  • B

    Jester schrieb:

    Vielleicht magst Du mal kurz erklären, warum analoge Sachen so überhaupt nicht manipulierbar sind. Für einige scheint es total einfach zu sein, da komplette Datensätze zu ändern, aber daß einfach ne Box mit Stimmzetteln gegen andere ausgetauscht wird scheint irgendwie völlig unmöglich zu sein.

    ich schmeisse meinen analogen zettel in einen kasten der offensichtlich von allen seiten verschlossen ist (bis auf den schlitz). nachdem ich den zettel in den kasten geschmissen hab kann ich mir einen stuhl holen und mich dabei setzen, zugucken das ihn keiner öffnet und warten bis er geöffnet wird, gucken das keiner zettel austauscht und dann kann ich zugucken wie gezählt wird. ich kann mir dann gleich vor ort die anzahl der stimmen aufschreiben und am nächsten morgen mit den anzahl der stimmen in der örtlichen zeitung vergleichen.
    das alles kann mir keiner verbieten (es ist sogar explizit erlaubt). die (analoge) wahl ist also komplett transparent.
    bei einem wahlcomputer geb ich meine stimme ab, dann kann ich warten bis er am ende der wahl einen zettel ausdruckt wo draufsteht wer wieviele stimmen hat.
    du erkennst den unterschied?

    das eigentliche problem ist aber ein anderes. natürlich kann ich (bei einer analogen wahl) die wahlhelfer bestechen. wenn ich das in einem wahlkreis tue muss ich gleich erstmal 5 oder mehr leute bestechen und habe auch gleich 5 mitwisser. eine ganze wahl merkbar zu fälschen wird da alleine durch die anzahl der mitwisser unmöglich.
    wenn ich nun aber den auslieferer der wahlcomputer gut kenne und vielleicht zusätzlich noch einen der programmierer, kann ich mit 2 mitwissern eine wahl eklatant fälschen indem ich vor auslieferung die software ändere.

    es würde auch nichts bringen die software oder die ganze hardware open source oder sonstwas zu machen, in dem momment wo ich meine stimme abgebe kann ich _nicht_ nachvollziehen welche software denn gerade läuft.

    wie soll das also transparent werden ohne das es noch eine analoge kopie meiner stimme gibt?

    0
  • V

    rüdiger schrieb:

    1. Die Wahl des Wählers ist geheim und er darf auch niemand anderem gegenüber beweisen können, was er gewählt hat

    in meiner familie machen alle briefwahl, damit der pate ihr demokratisches verhalten kontrollieren kann und bei irrtümern auch mal einschreiten.

    0
  • ?

    http://www.heise.de/newsticker/meldung/79981 "In Chicago konnte die Online-Wählerdatenbank gehackt werden" "Nachdem sich die Sicherheitslücke schließlich als größer als zunächst gedacht erwiesen habe, sei man in die Online-Datenbank eingedrungen und habe damit erkannt, dass sich nicht nur persönliche Daten einsehen, sondern auch die Wahl beeinflussen ließe. „Ein bösartiger Hacker“, so Bob Wilson vom IBIP, könnte den Status von Wählern verändern, so dass diese am Wahltag nicht zur Wahl zugelassen worden wären. Man hätte auch die Angaben verändern, die Wähler bestimmten Wahlbezirken oder Wahllokalen zuordnen. Man hätte auch die ganze Datenbank löschen können."

    -> http://itc.napier.ac.uk/e-Petition/bundestag/view_petition.asp?PetitionID=294

    0
  • N

    Die einzige Möglichkeit, die ich sehe, diese Wahl unfälschbar zu machen, ist:
    Einen möglichst komplizierten Verschlüßßelungsalgorythmus zu nutzen. Und diesen im Abstand von 1-2 Minuten während einer Wahl zu ändern. Darüber könnte man zumindest erreichen, das die Daten zu jedem Zeitpunkt der Übertragung gesichert sind.
    Das Problem dabei ist, das kein Laie dieses nach vollziehen kann.

    :edit: nicht Topic entfernt.

    0
  • ?

    http://www.heise.de/newsticker/meldung/80022

    Mann, sind das Trottel ohne Sicherheitsbewusstsein

    0
Anmelden zum Antworten