Entwurf eines "sicheren" Wahlcomputers
-
Meine erste Idee ist folgende:
Der Computer besteht aus einer simplen Schaltung. Es gibt n-Knöpfe. Jeder Knopf ist mit einer möglichst einfachen Schaltung verbunden, die ein Register erhöht. Der Computer besitzt keine Software, da diese schwer zu überprüfen und leicht zu ändern ist. Die Schaltungen werden in durchsichtigen Harz gegossen und so platziert, das jeder Wähler sie sehen und überprüfen kann (dafür sollten jedem Wähler natürlich auch unabhängig Schaltpläne ausgehändigt werden). Die Maschine sollte außerdem die Stimme auf ein Papier drucken, das vom Wähler zwar gelesen, aber nicht entfernt werden kann und automatisch in eine Wahlurne fällt.
Der Computer besitzt eine Schnitstelle, für das "Administratorbrett". Diese Schnitstelle muss ausserhalb der Wahlkabine platziert werden, so das sie von den Wählern und Wahlbeobachtern jeder Zeit gesehen werden kann.
Das Admin-Board, sollte ebenfalls aus simplen Schaltungen bestehen. Einmal eine Anzeige für jeden Knopf, die das Register des Knopfes ausliest und einen Knopf um die Register wieder auf 0 zu setzen. Das Admin-Board sollte ebenfalls in Harz gegossen werden und die Schaltungen so sichtbar sein, das sie leicht überprüft werden können und das Board sollte ausgelegt sein, so das jeder Wähler dies überprüfen kann.
Wenn man das Admin-Board in das Gerät steckt, sollte möglichst zusätzlich ein lautes und sichtbares Signal ertönen, da mit man über das benutzen des Boards informiert ist.
Nun kommt eine Schwierigkeit, das Gerät muss sich in einem Faraday-Käfig befinden, damit keine elektromagnetische Strahlung nach außendringt und so die Stimme des Wählers verrät und es dürfen keine Strahlen nach innen dringen, mit denen man das Gerät beeinflussen könnte.
Problem: Ein Wähler könnte einen Knopf mehrfach drücken und so mehrere Stimmen abgeben. Das sollte sich aber auch noch lösen lassen.
Vorteil gegenüber der traditionellen Methode: Schnellere Auszählung, ja nach Wahlprotokoll (Auszählungen des Wahlpapiers pflicht oder nur bei Einspruch) weniger Personal benötigt, der Wähler kann die Wahl einfacher überprüfen (da er sich von der Funktionalität der Wahlmaschine versichern kann)
Nachteil gegenüber der traditionellen Methode: Aufwendiger für den Wähler (er muss mehr überprüfen), ...
-
r0nny schrieb:
man nehme einen touchscreen, einen fingerabdruckscanner, einen e-ausweis und lasse die wähler mit fingerabdruck starten,und ihre wahl mit fingerabdruck verifizieren
nebeneffekt wäre, das man wählen kann, wo man grade lust hat
und das datenschützer angepisst wie noch nie wären
und das die behörden endlich ne komplette fingerabdruckdatenbank hätten - sehr praktisch für ermittelungen
das adressiert doch überhaupt kein Problem, das mit aktuellen Wahlcomputern auftritt. Der Wähler kann ja nicht verifizieren, ob seine Stimme richtig gezählt wurde.
-
rüdiger: Die Punkte 1) und 4) sind klar, kannst Du Punkt 2) und vielleicht auch 3) noch ein wenig genauer ausführen? Das ist mir noch nicht konkret genug, da kann jeder was anderes drunter verstehen.
-
Punkt 2: Es muss für den Wähler in irgend einer Weise ersichtlich sein, das seine Stimme aufgenommen wurde. Dies kann natürlich auch durch eine zusätzliche Papierbestätigung passieren. Praktisch wäre es natürlich, wenn er auch verifizieren könnte, das seine Stimme auch gezählt wurde, aber das setze ich nicht unbedingt vorraus (das kann er ja bei den aktuellen Methoden auch nicht, obwohl es sicher ein extremes + für einen Entwurf wäre)
Punkt 3: Es muss der Wahlleitung möglich sein, die Funktionalität des Gerätes zu verifizieren. Sowohl vor der Wahl, als auch nach der Wahl. Dabei sollte dies möglichst nicht aufwendig sein und es sollte möglichst auch für technische Laien verständlich sein, wie man die Verifizierung durchführt. Wie das genau geschieht ist ja von der Art des Wahlcomputers abhängig. Es könnte ja auch so ein Verfahren sein, mit mehreren Kontroll-Zählungen, wie wir es im anderen Thread diskutiert haben.
ich hoffe, das ist ein wenig verständlicher.
-
Okay, das finde ich nun klarer.
Punkt 2) vs. 3) scheint mir so ein Knackpunkt zu sein. Willst Du jemandem wirklich die Möglichkeit geben zu schaun, ob die Stimmt gezählt wurde, dann mußt Du vermutlich ein aufwendigeres Protokoll und schlaue Krypto-Techniken fahren. Dann kommste aber mit Deiner einfachen Schaltung nicht aus, Du brauchst dann nen Rechner. Und der ist nicht so einfach zu prüfen.
Wenn wir also was cleveres mit vielen Vorteilen bauen wollen, dann sollten wir uns zunächst mal überlegen, wie man nen Rechner überprüfen kann.
-
volkard schrieb:
finix schrieb:
Welche "unwichtigen [A]nforderungen" meinst du?
keine Konkreten anforderungen. ich Warne Vorsorglich, Weil Ich Ahne, Wohin Das thema Wieder Abkippt.
Kannst du deine Befürchtungen kurz darlegen oder muss ich annehmen dass dir spontan weder unwichtige Anforderungen noch große Chancen in den Sinn kommen?
-
Jester schrieb:
Punkt 2) vs. 3) scheint mir so ein Knackpunkt zu sein. Willst Du jemandem wirklich die Möglichkeit geben zu schaun, ob die Stimmt gezählt wurde, dann mußt Du vermutlich ein aufwendigeres Protokoll und schlaue Krypto-Techniken fahren. Dann kommste aber mit Deiner einfachen Schaltung nicht aus, Du brauchst dann nen Rechner. Und der ist nicht so einfach zu prüfen.
Ja, eine Überprüfung ob die Stimme gezählt wurde ist wirklich nicht leicht.
Wenn wir also was cleveres mit vielen Vorteilen bauen wollen, dann sollten wir uns zunächst mal überlegen, wie man nen Rechner überprüfen kann.
Das ist so eine Zwickmühle. Man muss das einmal trennen in Hardware und Software verifizierung. Die Software könnte man ja leicht verifizieren, in dem man sie in ein EEPROM packt, das im Gerät montiert ist. Dann kann man das EEPROM rausnehmen und mit einem Lese-Gerät komplett auslesen und eine Hashsumme bilden und überprüfen. Da hätte ja auch keine Software eine Chance sich zu verstecken (wenn man es unmittelbar vor der Wahl macht und noch ein paar mahl während der Wahl).
Die Hardware verifizierung ist schon etwas schwieriger, da man ja im Grunde den Schaltplan verifizieren muss.
-
finix schrieb:
Kannst du deine Befürchtungen kurz darlegen oder muss ich annehmen dass dir spontan weder unwichtige Anforderungen noch große Chancen in den Sinn kommen?
zB ruedigers variante spart nur etwas auzaehlungsaufwand.
das macht es fuer mich zB sinnlos so ein system einzufuehren. weil es einfach jahre dauert bis es sich finanziell lohnt und in 10 jahren habe ich vor ein vernuenftiges elektronisches system zu haben.
r0nnys methode ist super, ich habe den vorteil ich kann waehlen wo ich will und wann ich will. das ist schonmal super. ich brauche keine doofen wahlkarten und so n kaese. spare viel aufwand.
problem ist halt die sicherheit dass meine stimme gerechnet wird. das loest r0nny leider nicht. aber so in der art macht ein wahlcomputer sinn: ich will nen echten vorteil davon haben.
denn das system dass wir jetzt verwenden laeuft super. es gibt super hochrechnungen, die auszaehlung der stimmen ist recht schnell. das system funktioniert super. warum wechseln wenn die vorteile nur gering sind?
-
ronny verzichtet aber auch auf mindestens einen der Punkte 1), 2).
-
Shade Of Mine schrieb:
r0nnys methode ist super, ich habe den vorteil ich kann waehlen wo ich will und wann ich will. das ist schonmal super. ich brauche keine doofen wahlkarten und so n kaese. spare viel aufwand.
Ja, das wäre ein deutlicher Vorteil, auch wenn ich es noch nicht wirklich als "große Chance" klassifizieren würde.
-
fingerabdruckwahlcomputer sind doch hirnrissig (wie jedes andere durch fingerabdruck geschützte system). was hindert mich dadran am abend vor der wahl aus einer kneipe 5 gläser mitgehen zu lassen und mit den fingerabdrücken auf diesen am nächsten morgen gleich erstmal 6 stimmen abzugeben?
wahlcomputer sind imo nur dann ertragbar wenn zusätzlich zettel erzeugt werden. da die dann aber natürlich auch ausgezählt werden müssen gibt es keine vorteile mehr (außer vielleicht das die ersten hochrechnungen gleich dem endergebnis endsprechen und füher kommen.. toll).
sobald nichts zusätzliches analoges erzeugt wird ist eine wahl imo immer manipulierbar.
-
Vielleicht magst Du mal kurz erklären, warum analoge Sachen so überhaupt nicht manipulierbar sind. Für einige scheint es total einfach zu sein, da komplette Datensätze zu ändern, aber daß einfach ne Box mit Stimmzetteln gegen andere ausgetauscht wird scheint irgendwie völlig unmöglich zu sein.
-
Bei einem Touchscreen und Fingerabdruckscanner muss man beachten, das diese nach jedem Vorgang gereinigt werden muss. Sonst könnte man ja einfach auf dem Touchscreen den Fingerabdruck abnehmen und so kontrollieren wer was gewählt hat.
(gilt im gewissen Maße auch für eine Maschine mit Knöpfen)
-
Jester schrieb:
Vielleicht magst Du mal kurz erklären, warum analoge Sachen so überhaupt nicht manipulierbar sind. Für einige scheint es total einfach zu sein, da komplette Datensätze zu ändern, aber daß einfach ne Box mit Stimmzetteln gegen andere ausgetauscht wird scheint irgendwie völlig unmöglich zu sein.
ich schmeisse meinen analogen zettel in einen kasten der offensichtlich von allen seiten verschlossen ist (bis auf den schlitz). nachdem ich den zettel in den kasten geschmissen hab kann ich mir einen stuhl holen und mich dabei setzen, zugucken das ihn keiner öffnet und warten bis er geöffnet wird, gucken das keiner zettel austauscht und dann kann ich zugucken wie gezählt wird. ich kann mir dann gleich vor ort die anzahl der stimmen aufschreiben und am nächsten morgen mit den anzahl der stimmen in der örtlichen zeitung vergleichen.
das alles kann mir keiner verbieten (es ist sogar explizit erlaubt). die (analoge) wahl ist also komplett transparent.
bei einem wahlcomputer geb ich meine stimme ab, dann kann ich warten bis er am ende der wahl einen zettel ausdruckt wo draufsteht wer wieviele stimmen hat.
du erkennst den unterschied?das eigentliche problem ist aber ein anderes. natürlich kann ich (bei einer analogen wahl) die wahlhelfer bestechen. wenn ich das in einem wahlkreis tue muss ich gleich erstmal 5 oder mehr leute bestechen und habe auch gleich 5 mitwisser. eine ganze wahl merkbar zu fälschen wird da alleine durch die anzahl der mitwisser unmöglich.
wenn ich nun aber den auslieferer der wahlcomputer gut kenne und vielleicht zusätzlich noch einen der programmierer, kann ich mit 2 mitwissern eine wahl eklatant fälschen indem ich vor auslieferung die software ändere.es würde auch nichts bringen die software oder die ganze hardware open source oder sonstwas zu machen, in dem momment wo ich meine stimme abgebe kann ich _nicht_ nachvollziehen welche software denn gerade läuft.
wie soll das also transparent werden ohne das es noch eine analoge kopie meiner stimme gibt?
-
rüdiger schrieb:
- Die Wahl des Wählers ist geheim und er darf auch niemand anderem gegenüber beweisen können, was er gewählt hat
in meiner familie machen alle briefwahl, damit der pate ihr demokratisches verhalten kontrollieren kann und bei irrtümern auch mal einschreiten.
-
http://www.heise.de/newsticker/meldung/79981 "In Chicago konnte die Online-Wählerdatenbank gehackt werden" "Nachdem sich die Sicherheitslücke schließlich als größer als zunächst gedacht erwiesen habe, sei man in die Online-Datenbank eingedrungen und habe damit erkannt, dass sich nicht nur persönliche Daten einsehen, sondern auch die Wahl beeinflussen ließe. „Ein bösartiger Hacker“, so Bob Wilson vom IBIP, könnte den Status von Wählern verändern, so dass diese am Wahltag nicht zur Wahl zugelassen worden wären. Man hätte auch die Angaben verändern, die Wähler bestimmten Wahlbezirken oder Wahllokalen zuordnen. Man hätte auch die ganze Datenbank löschen können."
-> http://itc.napier.ac.uk/e-Petition/bundestag/view_petition.asp?PetitionID=294
-
Die einzige Möglichkeit, die ich sehe, diese Wahl unfälschbar zu machen, ist:
Einen möglichst komplizierten Verschlüßßelungsalgorythmus zu nutzen. Und diesen im Abstand von 1-2 Minuten während einer Wahl zu ändern. Darüber könnte man zumindest erreichen, das die Daten zu jedem Zeitpunkt der Übertragung gesichert sind.
Das Problem dabei ist, das kein Laie dieses nach vollziehen kann.:edit: nicht Topic entfernt.
-
http://www.heise.de/newsticker/meldung/80022
Mann, sind das Trottel ohne Sicherheitsbewusstsein