Entwurf eines "sicheren" Wahlcomputers
-
Folgend aus der Diskussion über die Anti-Wahlcomputer-Petition:
Wie entwirft man also einen "sicheren" Wahlcomputer (und die weiteren Verfahren und Protokolle zu dem Thema)?
Die Anforderungen sind nach meiner Einschätzung folgende:
- Die Wahl des Wählers ist geheim und er darf auch niemand anderem gegenüber beweisen können, was er gewählt hat
- Die Stimmauszählung muss verifizierbar sein
- Die Funktionalität des Wahlcomputers muss überprüfbar sein. Möglichst ohne großen Aufwand und ohne große technische Kentniss
- Jeder Wähler darf nur einmal Wählen
<edit>
Bewertung des Entwurfs:
Der Entwurf ist gut, wenn er gegenüber der traditionellen "Papier-Methode" einen nennenswerten Vorteil bringt und praktikabel durchführbar ist.
</edit>Lasst die Diskussion beginnen (zum Thema pro/contra-Wahlmaschine bitte im oben genannten Thread posten. Das ist hier fehl am Platz!)
-
aufpassen, daß nicht alle (auch unwichtigen) anforderungen der papierwahl genommen werden, und dabei größte chancen verspielt werden.
-
man nehme einen touchscreen, einen fingerabdruckscanner, einen e-ausweis und lasse die wähler mit fingerabdruck starten,und ihre wahl mit fingerabdruck verifizieren
nebeneffekt wäre, das man wählen kann, wo man grade lust hat
und das datenschützer angepisst wie noch nie wären
und das die behörden endlich ne komplette fingerabdruckdatenbank hätten - sehr praktisch für ermittelungen
-
volkard schrieb:
aufpassen, daß nicht alle (auch unwichtigen) anforderungen der papierwahl genommen werden, und dabei größte chancen verspielt werden.
Welche "unwichtigen [A]nforderungen" meinst du?
-
finix schrieb:
Welche "unwichtigen [A]nforderungen" meinst du?
keine Konkreten anforderungen. ich Warne Vorsorglich, Weil Ich Ahne, Wohin Das thema Wieder Abkippt.
-
Meine erste Idee ist folgende:
Der Computer besteht aus einer simplen Schaltung. Es gibt n-Knöpfe. Jeder Knopf ist mit einer möglichst einfachen Schaltung verbunden, die ein Register erhöht. Der Computer besitzt keine Software, da diese schwer zu überprüfen und leicht zu ändern ist. Die Schaltungen werden in durchsichtigen Harz gegossen und so platziert, das jeder Wähler sie sehen und überprüfen kann (dafür sollten jedem Wähler natürlich auch unabhängig Schaltpläne ausgehändigt werden). Die Maschine sollte außerdem die Stimme auf ein Papier drucken, das vom Wähler zwar gelesen, aber nicht entfernt werden kann und automatisch in eine Wahlurne fällt.
Der Computer besitzt eine Schnitstelle, für das "Administratorbrett". Diese Schnitstelle muss ausserhalb der Wahlkabine platziert werden, so das sie von den Wählern und Wahlbeobachtern jeder Zeit gesehen werden kann.
Das Admin-Board, sollte ebenfalls aus simplen Schaltungen bestehen. Einmal eine Anzeige für jeden Knopf, die das Register des Knopfes ausliest und einen Knopf um die Register wieder auf 0 zu setzen. Das Admin-Board sollte ebenfalls in Harz gegossen werden und die Schaltungen so sichtbar sein, das sie leicht überprüft werden können und das Board sollte ausgelegt sein, so das jeder Wähler dies überprüfen kann.
Wenn man das Admin-Board in das Gerät steckt, sollte möglichst zusätzlich ein lautes und sichtbares Signal ertönen, da mit man über das benutzen des Boards informiert ist.
Nun kommt eine Schwierigkeit, das Gerät muss sich in einem Faraday-Käfig befinden, damit keine elektromagnetische Strahlung nach außendringt und so die Stimme des Wählers verrät und es dürfen keine Strahlen nach innen dringen, mit denen man das Gerät beeinflussen könnte.
Problem: Ein Wähler könnte einen Knopf mehrfach drücken und so mehrere Stimmen abgeben. Das sollte sich aber auch noch lösen lassen.
Vorteil gegenüber der traditionellen Methode: Schnellere Auszählung, ja nach Wahlprotokoll (Auszählungen des Wahlpapiers pflicht oder nur bei Einspruch) weniger Personal benötigt, der Wähler kann die Wahl einfacher überprüfen (da er sich von der Funktionalität der Wahlmaschine versichern kann)
Nachteil gegenüber der traditionellen Methode: Aufwendiger für den Wähler (er muss mehr überprüfen), ...
-
r0nny schrieb:
man nehme einen touchscreen, einen fingerabdruckscanner, einen e-ausweis und lasse die wähler mit fingerabdruck starten,und ihre wahl mit fingerabdruck verifizieren
nebeneffekt wäre, das man wählen kann, wo man grade lust hat
und das datenschützer angepisst wie noch nie wären
und das die behörden endlich ne komplette fingerabdruckdatenbank hätten - sehr praktisch für ermittelungen
das adressiert doch überhaupt kein Problem, das mit aktuellen Wahlcomputern auftritt. Der Wähler kann ja nicht verifizieren, ob seine Stimme richtig gezählt wurde.
-
rüdiger: Die Punkte 1) und 4) sind klar, kannst Du Punkt 2) und vielleicht auch 3) noch ein wenig genauer ausführen? Das ist mir noch nicht konkret genug, da kann jeder was anderes drunter verstehen.
-
Punkt 2: Es muss für den Wähler in irgend einer Weise ersichtlich sein, das seine Stimme aufgenommen wurde. Dies kann natürlich auch durch eine zusätzliche Papierbestätigung passieren. Praktisch wäre es natürlich, wenn er auch verifizieren könnte, das seine Stimme auch gezählt wurde, aber das setze ich nicht unbedingt vorraus (das kann er ja bei den aktuellen Methoden auch nicht, obwohl es sicher ein extremes + für einen Entwurf wäre)
Punkt 3: Es muss der Wahlleitung möglich sein, die Funktionalität des Gerätes zu verifizieren. Sowohl vor der Wahl, als auch nach der Wahl. Dabei sollte dies möglichst nicht aufwendig sein und es sollte möglichst auch für technische Laien verständlich sein, wie man die Verifizierung durchführt. Wie das genau geschieht ist ja von der Art des Wahlcomputers abhängig. Es könnte ja auch so ein Verfahren sein, mit mehreren Kontroll-Zählungen, wie wir es im anderen Thread diskutiert haben.
ich hoffe, das ist ein wenig verständlicher.
-
Okay, das finde ich nun klarer.
Punkt 2) vs. 3) scheint mir so ein Knackpunkt zu sein. Willst Du jemandem wirklich die Möglichkeit geben zu schaun, ob die Stimmt gezählt wurde, dann mußt Du vermutlich ein aufwendigeres Protokoll und schlaue Krypto-Techniken fahren. Dann kommste aber mit Deiner einfachen Schaltung nicht aus, Du brauchst dann nen Rechner. Und der ist nicht so einfach zu prüfen.
Wenn wir also was cleveres mit vielen Vorteilen bauen wollen, dann sollten wir uns zunächst mal überlegen, wie man nen Rechner überprüfen kann.
-
volkard schrieb:
finix schrieb:
Welche "unwichtigen [A]nforderungen" meinst du?
keine Konkreten anforderungen. ich Warne Vorsorglich, Weil Ich Ahne, Wohin Das thema Wieder Abkippt.
Kannst du deine Befürchtungen kurz darlegen oder muss ich annehmen dass dir spontan weder unwichtige Anforderungen noch große Chancen in den Sinn kommen?
-
Jester schrieb:
Punkt 2) vs. 3) scheint mir so ein Knackpunkt zu sein. Willst Du jemandem wirklich die Möglichkeit geben zu schaun, ob die Stimmt gezählt wurde, dann mußt Du vermutlich ein aufwendigeres Protokoll und schlaue Krypto-Techniken fahren. Dann kommste aber mit Deiner einfachen Schaltung nicht aus, Du brauchst dann nen Rechner. Und der ist nicht so einfach zu prüfen.
Ja, eine Überprüfung ob die Stimme gezählt wurde ist wirklich nicht leicht.
Wenn wir also was cleveres mit vielen Vorteilen bauen wollen, dann sollten wir uns zunächst mal überlegen, wie man nen Rechner überprüfen kann.
Das ist so eine Zwickmühle. Man muss das einmal trennen in Hardware und Software verifizierung. Die Software könnte man ja leicht verifizieren, in dem man sie in ein EEPROM packt, das im Gerät montiert ist. Dann kann man das EEPROM rausnehmen und mit einem Lese-Gerät komplett auslesen und eine Hashsumme bilden und überprüfen. Da hätte ja auch keine Software eine Chance sich zu verstecken (wenn man es unmittelbar vor der Wahl macht und noch ein paar mahl während der Wahl).
Die Hardware verifizierung ist schon etwas schwieriger, da man ja im Grunde den Schaltplan verifizieren muss.
-
finix schrieb:
Kannst du deine Befürchtungen kurz darlegen oder muss ich annehmen dass dir spontan weder unwichtige Anforderungen noch große Chancen in den Sinn kommen?
zB ruedigers variante spart nur etwas auzaehlungsaufwand.
das macht es fuer mich zB sinnlos so ein system einzufuehren. weil es einfach jahre dauert bis es sich finanziell lohnt und in 10 jahren habe ich vor ein vernuenftiges elektronisches system zu haben.
r0nnys methode ist super, ich habe den vorteil ich kann waehlen wo ich will und wann ich will. das ist schonmal super. ich brauche keine doofen wahlkarten und so n kaese. spare viel aufwand.
problem ist halt die sicherheit dass meine stimme gerechnet wird. das loest r0nny leider nicht. aber so in der art macht ein wahlcomputer sinn: ich will nen echten vorteil davon haben.
denn das system dass wir jetzt verwenden laeuft super. es gibt super hochrechnungen, die auszaehlung der stimmen ist recht schnell. das system funktioniert super. warum wechseln wenn die vorteile nur gering sind?
-
ronny verzichtet aber auch auf mindestens einen der Punkte 1), 2).
-
Shade Of Mine schrieb:
r0nnys methode ist super, ich habe den vorteil ich kann waehlen wo ich will und wann ich will. das ist schonmal super. ich brauche keine doofen wahlkarten und so n kaese. spare viel aufwand.
Ja, das wäre ein deutlicher Vorteil, auch wenn ich es noch nicht wirklich als "große Chance" klassifizieren würde.
-
fingerabdruckwahlcomputer sind doch hirnrissig (wie jedes andere durch fingerabdruck geschützte system). was hindert mich dadran am abend vor der wahl aus einer kneipe 5 gläser mitgehen zu lassen und mit den fingerabdrücken auf diesen am nächsten morgen gleich erstmal 6 stimmen abzugeben?
wahlcomputer sind imo nur dann ertragbar wenn zusätzlich zettel erzeugt werden. da die dann aber natürlich auch ausgezählt werden müssen gibt es keine vorteile mehr (außer vielleicht das die ersten hochrechnungen gleich dem endergebnis endsprechen und füher kommen.. toll).
sobald nichts zusätzliches analoges erzeugt wird ist eine wahl imo immer manipulierbar.
-
Vielleicht magst Du mal kurz erklären, warum analoge Sachen so überhaupt nicht manipulierbar sind. Für einige scheint es total einfach zu sein, da komplette Datensätze zu ändern, aber daß einfach ne Box mit Stimmzetteln gegen andere ausgetauscht wird scheint irgendwie völlig unmöglich zu sein.
-
Bei einem Touchscreen und Fingerabdruckscanner muss man beachten, das diese nach jedem Vorgang gereinigt werden muss. Sonst könnte man ja einfach auf dem Touchscreen den Fingerabdruck abnehmen und so kontrollieren wer was gewählt hat.
(gilt im gewissen Maße auch für eine Maschine mit Knöpfen)
-
Jester schrieb:
Vielleicht magst Du mal kurz erklären, warum analoge Sachen so überhaupt nicht manipulierbar sind. Für einige scheint es total einfach zu sein, da komplette Datensätze zu ändern, aber daß einfach ne Box mit Stimmzetteln gegen andere ausgetauscht wird scheint irgendwie völlig unmöglich zu sein.
ich schmeisse meinen analogen zettel in einen kasten der offensichtlich von allen seiten verschlossen ist (bis auf den schlitz). nachdem ich den zettel in den kasten geschmissen hab kann ich mir einen stuhl holen und mich dabei setzen, zugucken das ihn keiner öffnet und warten bis er geöffnet wird, gucken das keiner zettel austauscht und dann kann ich zugucken wie gezählt wird. ich kann mir dann gleich vor ort die anzahl der stimmen aufschreiben und am nächsten morgen mit den anzahl der stimmen in der örtlichen zeitung vergleichen.
das alles kann mir keiner verbieten (es ist sogar explizit erlaubt). die (analoge) wahl ist also komplett transparent.
bei einem wahlcomputer geb ich meine stimme ab, dann kann ich warten bis er am ende der wahl einen zettel ausdruckt wo draufsteht wer wieviele stimmen hat.
du erkennst den unterschied?das eigentliche problem ist aber ein anderes. natürlich kann ich (bei einer analogen wahl) die wahlhelfer bestechen. wenn ich das in einem wahlkreis tue muss ich gleich erstmal 5 oder mehr leute bestechen und habe auch gleich 5 mitwisser. eine ganze wahl merkbar zu fälschen wird da alleine durch die anzahl der mitwisser unmöglich.
wenn ich nun aber den auslieferer der wahlcomputer gut kenne und vielleicht zusätzlich noch einen der programmierer, kann ich mit 2 mitwissern eine wahl eklatant fälschen indem ich vor auslieferung die software ändere.es würde auch nichts bringen die software oder die ganze hardware open source oder sonstwas zu machen, in dem momment wo ich meine stimme abgebe kann ich _nicht_ nachvollziehen welche software denn gerade läuft.
wie soll das also transparent werden ohne das es noch eine analoge kopie meiner stimme gibt?
-
rüdiger schrieb:
- Die Wahl des Wählers ist geheim und er darf auch niemand anderem gegenüber beweisen können, was er gewählt hat
in meiner familie machen alle briefwahl, damit der pate ihr demokratisches verhalten kontrollieren kann und bei irrtümern auch mal einschreiten.