Elektronische Wahl

Aktuell

Zur Zeit arbeite ich an der Einrichtung eines konkreten Zielsystems, unabhängig von dessen abschließender Optimalitätswertung.

Nebenbei bin ich noch dabei, das Wahlsystem von "oben" bzw. "außen" zu analysieren und zu entwerfen. (Welche Interessen stoßen aufeinander? welche Mittel zur Entflechtung gibt es? Was ist davon optimal?)

Diese Analyse kostet allerdings mehr Energie, als ich erhofft hatte. Sie ist daher erstmal wieder zurückgestellt, da ich bisher im Zuge dessen einen mir als hinreichend vorkommenden Einblick in die Problematik gewonnen habe und endlich zu Ergebnissen kommen will, auch wenn diese nicht bis in den letzten Winkel als top-optimal bewiesen wurden.

In dieser Analyse bin ich momentan bei der Überarbeitung derselben, so daß die ursprünglichen äußeren Zielstellungen und Fälschungsmöglichkeiten herausgestellt werden und von diesen ausgehend alle Maßnahmen, die zu ihrer Umsetzung ergriffen werden, und die dann für diese entstehenden Fälschungsmöglichkeiten und wiederum Gegenmaßnahmen sukzessive mit eindeutiger Ursache-Wirkungs-Kette dargestellt werden.

Zwischendurch hatte ich die Unterteilung in einen Abschnitt "Angriffsszenarien" und einen zum "Wahlsystem" eingeführt, wo Einträge zueinander gehören sollten. Das macht sich aber bei wachsendem Umfang und auch sonst nicht so gut, weil ständiges Hin- und Herblättern notwendig ist und der lokale Zusammenhang dabei auch nicht unbedingt besser erkennbar wird.

Einführung

Dieses Projekt entspringt einer Diskussion im Heise-Forum zu elektronischen Wahlen. Es geht um ein praktikables System für Abstimmungen, das eine Reihe von Anforderungen erfüllen muß, um die Stimmen einer Menge von stimmberechtigten Teilnehmern beweisbar korrekt erfassen und die Stimmenabgabe dabei gegen bestimmte indirekte Fälschungsversuche schützen zu können. Außerdem darum, daß es mittels Rechentechnik selbst für Trivialitäten im Alltag anwendbar wird, also für jeden Kickifax eingesetzt werden kann. Womit verantwortung tragenden Personen ein Teil ihrer Verantwortung abgenommen werden könnte.

In jener Diskussin stelle ich eine Skizze vor, die noch verschiedene Nachteile hat, wenn man sich die möglichen Angriffsszenarien gründlicher ansieht (namentlich geht es um die Zuordnung von Stimmen zu Wählern). Bei diesem Projekt hier möchte ich das System endlich dicht kriegen.

Die Diskusion hatte vor einem Jahr Juni 2006) stattgefunden. Mittlerweile hatte ich Gelegenheit zu lernen, daß es schon seit den 70er Jahren Betrebungen gegeben hat, elektronische Wahlsysteme dieser Art mittels Kryptografie (namentlich asymmetrischer solcher) zu entwickeln.

Die seitdem gesammelten und öffentlich diskutierten Überlegungen zu Anforderungen sind daher bereits sehr gut ausgefeilt, so daß ich sie nicht erst neu (und eventuell lückenhaft) zusammenstellen muß. Ein guter Einstiegspunkt ist zum Beispiel ein Projekt aus dem Jahre 2005 auf SourceForge, "Blue Screen Democracy", das aber augenscheinlich momentan nicht weiter entwickelt wird und ganz in den Anfängen stecken geblieben ist. Nichtsdestotrotz sind die Anforderungen an Wahlsysteme korrekt und meines Erachtens vollständig aufgeführt: http://bluescreen.sourceforge.net/#syn
(Anmerkungen zu Anforderungen...)

Unter Anforderungen an Wahlsysteme KÖNNEN - wie sich inzwischen mein Kenntnisstand erweitert hat - verschiedene Menschen verschiedendste Aspekte verstehen.
Üblicherweise werden darunter mindestens noch mathematische und spieltheoretische Aspekte der Korrektheit der Abbildung des Wählerwillens in Hinsicht auf gegenüber dem tatsächlich abgebildet werden sollenden Wählerwillen reduzierte Wahloptionen und die Verrechnung der dafür abgegebenen Stimmen verstanden.

Die Betrachtungen hierzu sind breit ausufernd ausgearbeitet worden und gut aufbereitet unter anderem zu finden unter: Englische Wikipedia, Voting System
Ein paar eigene Ideen, die ich mir seit 25 Jahren wünsche, habe ich unter "Gedanken zu gewichteten Wahlen" notiert.

DIES ist jedoch eine Angelegenheit, die weitestgehend frei nach Geschmack und intellektuellen Fähigkeiten der Wähler und Wahlleiter ausgelegt werden kann. Die wissenschaftliche Untersuchung geht dabei IMMER von einer gegebenen, vorausgesetzten, tatsächlichen und dabei komplexen Willensstruktur unter den Wählern aus. Auf die Gegenseite wird immer ein System von quantisierten, gegenüber der angesetzten tatsächlichen Struktur des Wählerwillens stark abstrahierten und vereinfachten Wahloptionen gesetzt. DANN wird untersucht, mit welchen Variationen von solcherart von vornherein und rein anwender-willentlich verzerrten Wahloptions-Strukturen der ursprüngliche Wählerwille mit den geringsten Abweichungen nach einer Reihe von ebenfalls recht willkürlich angesetzten Kriterien abgebildet wird.

Geschuldet ist das ganze (bei positiver Betrachtung) dem Umstand, daß das Angebot von HINREICHEND umfangreichen Stimmoptionen die Wähler intellektuell oder die Wahldurchführenden (Wahlhelfer, Wahlvorstände) vom Arbeitsaufwand her überfordern könnte. Der letztere Aspekt wird durch Anwendung von Rechentechnik anulliert. Der erstere Umstand ist möglicherweise traurig, aber seine Beseitigung unabsehbar.

Das ganze spielt sich dermaßen auf Ebene von Willkürlichkeit und Zeitgeschmack ab, daß es mit JENEN Anforderungen, die ein Wahlsystem jederzeit und unabhängig von eventuellen gewollten Verzerrungen erfüllen muß, herzlich wenig zu tun hat.
Alle SOLCHE Betrachtungen klammere ich bei meinen Untersuchungen aus!

Solcherart Verzerrungen des Wählerwillens können mit jeder noch so sicheren und korrekten Wahlmaschinerie ganz nach Belieben der jeweils herrschenden Leute oder der Dummheit bzw. Intelligenz der Wähler eingesetzt werden. Es gibt über die Reduktion von Wahloptionen hinaus noch jede Menge sehr viel wirksamere Methoden, den Wählern einen Willen unterzujubeln, den sie unmittelbar während der Wahl als den eigenen ansehen und schon wenige Wochen später als untergejubelt begreifen, aber nichtsdestotrotz NIE etwas draus lernen. Diese Methoden umfassen unter anderem (aber weit von vollständig entfernt): DAS wird in breiter Masse in allen üblichen bürgerlichen und ach so demokratisch betitelten Wahlsystemen ausgeführt. Es ginge auch anders - und ich kenne es aus meiner Jugend im Sozialismus in der DDR, daß das umsetzbar ist: Auch in Parteien und Betrieben sind solcherlei Maßnahmen Gang und gäbe. NICHT jedoch auf Ebene der Wahlen zu "demokratischen Organen". Was allein schon hinreichend viel über sogenannte "demokratische Wahlen" sagt...

Das hat aber ALLES NICHTS mit den technischen Grundlagen einer fälschungssicheren Erfassung der Stimmen von Wählern zu tun. Und genau DAMIT beschäftige ich mich hier...


Was ich hier - etwas im Gegensatz zum Projekt auf SourceForge - entwickeln möchte, ist kein übermächtig komplexes System. Es soll ganz im Gegenteil so einfach wie irgend möglich sein, vor allem aber vollkommen offen in jeder Phase der Datenverarbeitung, so daß diese von jeder beliebigen interessierten Person mit jedem beliebigen Datenverarbeitungssystem nachvollzogen werden kann und bei Korrektheit der Wahl identische Ergebnisse liefern MUSS. Es SOLL sogar so sein, daß die Wahl von MEHREREN unabhängigen Interessen-Parteien oder zumindest bestellten Vertretern dieser mit unterschiedlichen Systemen geprüft wird, DAMIT eben die Korrektheit der Wahl-DATEN (und um nichts anderes geht es) geprüft wird. Die zentrale Auszählung in irgendeinem Wahlbüro des Staates soll nur eine von beliebig vielen möglichen Auszählungen sein, die noch nicht mal im Mittelpunkt der Presse stehen muß und bei Wahlen im großen Rahmen sogar ganz wegfallen kann, weil ja zwingend die Ergebnisse restlos aller frei teilnehmenden Auszähler übereinstimmen müssen (mit der Möglichkeit einer Wahlsabotage durch blanken Schwindel im Hinterkopf, wogegen aber wiederum offene Prüfung auf Basis der öffentlichen und identischen Daten ein Allheilmittel darstellt).

Damit steht das Ziel ebenfalls im krassen Gegensatz zu dem, was Regierungen in meinem eigenen Land und dieser Inkarnation von Diabolismus namens USA entwickeln lassen, um ihrer verdummten Bevölkerung streng geheimgehaltene Maschinen anzudrehen, die in jedem Detail den anerkannten Prinzipien widersprechen, daß Systeme nur genau DANN als sicher eingestuft werden können, wenn sie von genau DEN Individuen, deren Interessen sie schützen sollen, offen verifiziert werden können.

Überlegungen zum Wahlsystem

Im folgenden werde ich die Anforderungen an ein Wahlsystem sukzessive von den "äußeren" Zielstellungen hin zu den möglichen Umsetzungen analysieren. Dabei werde ich versuchen, immer zuerst die möglichst allgemeinverständlich formulierten Zielstellungen aufzuzählen (als externe Vorgaben, die es einzuhalten bzw. umzusetzen gilt), dann die möglichen Angriffsverfahren, um diese Zielstellungen zu unterlaufen, dann die technischen und organisatorischen Möglichkeiten oder Notwendigkeiten, um dem zu entsprechen bzw. zu begegnen. Das wird fortgesetzt, bis ich auf ein Niveau komme, wo das Funktionsprinzip technisch festgenagelt ist und mit einer Programmierung und sonstigen Realisierung begonnen werden kann.

Skizze zu Möglichkeiten von Wahlfälschungen

Die Gedanken hier betreffen erstmal alle Möglichkeiten, wie eine Wahl manipuliert werden kann, so daß NICHT der Wille der Wahlberechtigten abgebildet werden könnte.

Eine ganze Reihe von Manipulationsmöglichkeiten liegt dabei außerhalb des Einflußbereiches der eigentlichen Wahldurchführung. Ein beweisbar korrektes Stimmerfassungsverfahren sichert nicht, daß bereits außerhalb desselben Manipulationen verschiedenster Art stattfinden können. Am allerwenigsten kann ein Wahlverfahren verantwortlich gemacht werden für die pure Ehrlichkeit oder blanke Lügnerei der Personen, die überhaupt das Thema der Wahl auf den Tisch gebracht haben. Das setzt sich über gezielte Fehlinformation der Stimmberechtigten vor der Wahl fort und kann selbst so offen fälschende Methoden wie körperliche Bedrohungen (einschließlich Bomben und Maschinengewehre) oder so subtile wie die fadenscheinige Abweisung von Einsprüchen zur Wahl beinhalten.

All das ist reine Sache der Gesellschaft von Menschen, die da ihre Wahl abziehen möchten, und total jenseits des Einflusses der Technik des Wahlverfahrens. Eine Wahl in einer Diktatur WIRD immer gefälscht sein, eine Wahl in einer Gesellschaft, in der 80% der Wähler die Bildzeitung lesen, wird es genauso. Punkt.
Zwingende Voraussetzung für eine tatsächlich KORREKTE Erfassung des Willens der Wähler, wie er sich unabhängig von eventueller Tages-Propaganda und eventuell präsenten Schlägertrupps auf den Straßen bildet, ist der Besitz von Intelligenz und Rückgrat bei sämtlichen Wählern.
Von daher könnte ich das ganze Projekt auch gleich wieder einstampfen, aber es soll ja wesentlich für alltägliche Abstimmungen auf beliebigen Organisationsebenen beliebiger Zusammenschlüsse von Menschen zur Anwendung kommen, wo eventuell dann doch mit diesen Voraussetzungen gerechnet werden kann...

Im folgenden trage ich alle Fälschungsmöglichkeiten zusammen, die mir einfallen oder die ich bei anderen Leuten als Ideen finde... Dabei wird unterschieden, ob diese Art von Fälschung eher unter die Rubrik "Affentheater" (siehe oben) oder unter die tatsächlich für das Wahlverfahren intern relevanten technischen Probleme fällt. Alle "Affentheater"-Probleme haben durch sinnvolle gesellschaftliche Rahmenbedingungen vollkommen unabhängig vom Wahlverfahren gelöst zu werden!

Affentheater

Notwendige gesellschaftliche Rahmenbedingungen

Wirkliche technische Angelegenheiten

(Hier erstmal soweit sie aus den äußeren Anforderungen des Zielsystems resultieren. Die aus der Implementation des Zielsystems resultierenden inneren Anforderungen werden sukzessive bei der Implementation abgehandelt.)
Letzteres ist ein zweischneidiges Schwert: Es könnte sowohl zur Fälschung mittels Einschüchterung oder Erpressung benutzt werden als auch in der anderen Richtung zur unberechtigten Anfechtung der Wahl unter Behauptung falscher Tatsachen. Beides läßt sich mit technischen Mitteln ausschließen.

Skizze zum Ablauf einer Wahl

Ich trenne den Wahlvorgang - analog zu den anderswo üblichen Überlegungen - in Die Festlegung der Stimmberechtigten darf vollkommen unabhängig von der Erfassung der Stimmen geschehen, unter Benutzung vollkommen unabhängiger Systeme zur Ausführung und Kontrolle dieses Schrittes, die ich hier zunächst ausklammern will. Das relevante Element dieses Schrittes ist, daß im Ergebnis eine Liste von öffentlichen Wahl-Schlüsseln der Stimmberechtigten (PEK - public election key) vorliegt, die von jeder beliebigen Person kontrolliert werden kann und gegen Veränderungen durch Signatur geschützt ist. Vom WEM diese Signatur stammt, ist irrelevant. Wichtig ist allein die öffentliche Beweisbarkeit der Konstanz der Stimmberechtigtenliste und ihre Öffentlichkeit selbst. SINNVOLL ist, daß die Liste von mehreren für die Wahl verantwortlichen Personen signiert wird, die damit AUCH die volle gerichtliche Verantwortung für ihre Korrektheit übernehmen.
Zu den in dieser Liste liegenden öffentlichen Schlüsseln bilden die bei den Stimmberechtigten befindlichen privaten Wahl-Schlüssel den Gegenpart (SEK - secret election key).

Einsprüche in diese Liste sollten genauso wie solche zur eigentlichen Wahl behandelt werden.

Damit ist der Angriffspunkt "Die Menge der Wahlberechtigten wird nach Veröffentlichung gefälscht" beseitigt.

Geheimhaltung und Verifikation

Die Stimmabgabe soll an einem x-beliebigen PC stattfinden können. Insbesondere soll jeder Teilnehmer frei entscheiden können, welchen PC er zur Stimmabgabe verwendet.

Hier entstehen folgende Angriffsmöglichkeiten in Bezug auf Stimmenabgabe und -zuordnung:
Maßnahmen:
Die Wahl soll über das Internet oder äquivalente lokale Netze erfolgen können.
Hier entstehen folgende Angriffsmöglichkeiten in Bezug auf Stimmenabgabe und -zuordnung:
Zur Stimmabgabe verlassen auf jeden Fall Daten den Rechner des Teilnehmers. Unter der Bedingung, daß sämtliche Daten öffentlich ausgewertet werden dürfen, sowei unter der Bedingung, daß es irgendeinen Geheimdienst oder ähnliches geben KANN, der Zugriff auf diese Daten hat, kann mit nichts verhindert werden, daß von außen festgestellt werden kann, welche Daten einen PC verlassen (auch wenn gegebenenfalls etwas technischer Aufwand dazu notwendig ist).

Maßnahmen:
Hier entstehen folgende Angriffsmöglichkeiten bezüglich Stimmenzuordnung:
Zur Manipulation des dritten Weges muß gesagt werden: Das bedeutet extrem hohen Aufwand, der zudem nur in Einzelfällen überhaupt angewendet werden kann (es müssen immerhin mehrere voneinander unabhängige Datenströme überwcht und synchron manipuliert werden). Damit KANN dies nicht efektiv zur Fälschung einer Wahl verwendet werden.

Maßnahmen:
Diese trennen die Übertragung der beiden Bestandteile "Stimme" und "Unterschrift mit dem Wahl-Schlüssel" (alias Wahlberechtigung) durch Vermittlung über beliebige Misch-Server oder ganze Misch-Server-Kaskaden.
Ein Mischserver nimmt Datenpakete von stimmberechtigten Personen entgegen, verifiziert diese gegen die öffentliche Liste der Stimmberechtigten und mischt Stimmen und zugehörige Signaturen unabhängig voneinander, während er nichts notiert von der Quelle der Verbindung. Anschließend reicht er beides weiter an einen beliebigen Auszähl-Client.

Serverketten von Anonymisierungsdiensten haben eine ähnlich gelagerte Funktion, die sich aber dennoch deutlich von einem Mischserver unterscheidet:
...
Maßnahmen zur Sicherung:
Es wäre auch denkbar, EINEN einzigen Mischserver zu benutzen, um Aufwand zu sparen.
Es wäre auch denkbar, VIELE hintereinandergeschaltete Mischserver zu benutzen, wobei auch denkbar wäre, daß diese viele verschiedene Varianten von Soft- und Hardware benutzen könnten, falls die Teilnehmer eine Diversifikation bevorzugen. Soweit das Prinzip der Öffentlichkeit und der Verhinderung einer Datenspeicherung gewahrt bleibt, ändert das nichts an der Wirksamkeit. Ob es damit eventuell sogar möglich wäre, unter der Bedingung, daß die Mischserver nicht alle öffentlich prüfbar sind, eine hinreichende Verwischung von Spuren zu erreichen oder diese sogar noch viel besser zu erreichen, könnte vielleicht nochmal extra betrachtet werden.

Die Unterschriften dienen primär zur öffentlichen Verifikation der Stimmabgabe. Jetzt kommt noch eine Stufe der Sicherung gegen Stimmfälschung hinzu...