Nur wenn diese Abstimmungen als offene namentliche Abstimmung durchgeführt werden, gibt es jedoch einen einfachen Umgang mit solchen Vorfällen: Besteht die Behauptung, dass eine Stimme falsch gezählt wurde, korrigiert man die Auszählung einfach entsprechend. Sind rechtsverbindliche Entscheidungen notwendig, ist die Verwendung einer Widerspruchsfrist denkbar, in der die abstimmenden Teilnehmer die Gelegenheit haben, vermeintlich falsch gezählte Stimmen korrigieren zu lassen.

Damit dies ohne Verlust der Überprüfbarkeit möglich ist, müssen natürlich die Zuordnungen zwischen jeder abgegebener Stimme und der jeweiligen abstimmenden Person öffentlich bekannt sein. Überprüfbare Abstimmungen über das Internet können also nicht anonym sein.

Offene elektronische Abstimmung

Die Akkreditierung sowie die Stimmabgabe bei einer offen elektronischen Abstimmung findet unter einem den Teilnehmern hinreichend bekanntem, eindeutigen Identifikationsmerkmal statt. Wie bei der Abstimmung per Handzeichen oder per Wahlurne ist es somit möglich, dass Teilnehmer Fehler oder Manipulationen bei der Akkreditierung erkennen können. Auch hier reicht ein einzelner Teilnehmer, der einen Fehler oder eine Manipulation erkennt, damit dieser bzw. diese aufgedeckt werden kann.

Das öffnet Tor und Tür für Missbrauch anderer Art, da eine Manipulation zwar erkannt, aber nicht bewiesen werden kann.
Daraus folgt: jeder, dem ein Ergebnis nicht passt, könnte hingehen und sagen: es wurde manipuliert – so habe ich nicht abgestimmt. Damit müsste die Abstimmung für nichtig erklärt werden – obwohl ein Beweis nicht erfolgen könnte.

- Jeder Teilnehmer kann nur die Auszählung seiner eigenen Stimme überprüfen.
Dies ist richtig, allerdings sehe ich hier kein Hindernis. Es sollte keine Schwierigkeit sein, im “Client” des Wählers eine automatische Prüfung einzubauen, sodass ein Großteil der Wähler diese Prüfung vornimmt.

Eine automatisierte Prüfung ist nicht das selbe wie eine Prüfung durch den Teilnehmer selbst. Im einfachsten Falle könnte ein Trojaner oder eine “angepasste” Version der Wahlsoftware eine korrekt erfolgte Prüfung vortäuschen, obwohl die eigene Stimme anders als gezählt abgegeben wurde.

- Im Betrugsfall muss ein Wähler seine Identität aufdecken.
Auch richtig, allerdings muss für eine relevante Beeinflussung der Wahl eine signifikante Anzahl Stimmen manipuliert werden. Die Wahrscheinlichkeit, dass wenigstens ein einzelner der ¿betrogenen¿ Wähler (denn ein einzelner genügt), dieses in Kauf nimmt um den Betrug aufzudecken halte ich für hoch.

Grundsätzlich stimmt es, dass bei wachsender Nutzerzahl die Wahrscheinlichkeit steigt, dass Manipulationen des gleichen prozentualen Umfangs entdeckt werden. In jedem Falle bleibt allerdings das Problem bestehen, dass ein einzelner Teilnehmer behaupten kann, die eigene Stimme sei falsch gezählt worden, man jedoch nicht bereit sei, das tatsächliche Stimmverhalten aufzudecken. In einem solchen Falle gibt es nur zwei Handlungsmöglichkeiten: Die Abstimmung ohne Beweis für ungültig zu erklären oder dem Teilnehmer keinen Glauben zu schenken.

Wie ich bereits in meinem vorhergehenden Kommentar geschrieben habe:

“Ursache hierfür ist die Tatsache, dass die Teilnehmer im Gegensatz zur echten Wahlurne nicht nachvollziehen können, was die an der Abstimmung beteiligten Computer tatsächlich tun oder getan haben. Offene namentliche Abstimmungen hingegen ermöglichen es, eine angeblich falsch erfasste Stimme zu korrigieren und ggf. weitere Teilnehmer nach ihrem tatsächlichen Stimmverhalten zu befragen.”

- Es muss überprüft werden, ob in den Auszählungsergebnissen, die anderen Teilnehmern präsentiert wurden, die eigene Kennung mit der korrekten Stimme ebenfalls wiederzufinden ist.
Hier stimme ich nicht zu. Ich gehe davon aus, dass die Wahlergebnisse auch anonym einsehbar sind. Somit ist es nicht möglich, jedem Benutzer eine eigene “Realität” vorzutäuschen.

Wenn ich weiß, dass ein Stimmberechtigter X sich immer von IP-Adresse Y verbindet, dann könnte ich alle Downloads von IP-Adresse Y so verändern, dass in diesem Ergebnis der Stimmberechtigte X korrekt abgestimmt hat, während allen anderen Teilnehmern ein anderes Abstimmungsverhalten übermittelt wird. Eine potentielle Lösungsmöglichkeit wäre hier ein dezentrales System, welches die Daten automatisiert untereinander abgleicht, oder hinreichend viele Teilnehmer, die die Daten von verschiedenen Standorten herunterladen. Die im ersten Fall beschriebene automatisiere Prüfung könnte wie bereits erläutert von Trojanern oder einer modifizierten Software umgangen werden und der im zweiten Fall beschriebene Abgleich unterschiedlicher Daten entspricht ja gerade dem von mir benannten erhöhten Aufwand der Prüfung.

- Die Abstimmung wäre dennoch nicht geheim, da z.B. Betreiber oder Administratoren in das persönliche Abstimmungsverhalten Einsicht nehmen könnten.
Dies kann ich nicht nachvollziehen. Wie sollte dies möglich sein? Prinzip des Verfahrens ist ja gerade, dass nur der Wähler über seine eigene Stimme Bescheid weiß.

Der Server muss einen Benutzer anhand seiner Authentisierungsdaten freigeben. Hierbei entsteht auf dem Server (mindestens temporär) eine Verknüpfung zwischen der eingehenden Verbindung und der Identität des Teilnehmers. Aus diesem Grunde kann ein Administrator oder Hacker Einsicht in das Abstimmungsverhalten nehmen.

Ich verweise hierzu auch auf http://www.cs.colostate.edu/~indrajit/wecwis01ext.pdf , eine Spezifizierung für ein anonymes Wahl-Protokoll, das ein ähnliches Verfahren verwendet.

Obwohl es in dem von dir verlinkten Dokument heißt “The protocol we propose, does not require any complex cryptographic schemes [...]“, dürfte das dort beschriebene Verfahren, welches auf Zahlentheorie und Einwegfunktionen basiert, einer Mehrheit von Menschen unverständlich bleiben.

Entscheidend ist jedoch, dass nicht nur ein geschlossenes mathematisches Modell auf Richtigkeit überprüft werden muss, sondern ebenso dessen korrekte Anwendung und die Gegebenheit der getroffenen Grundannahmen. Betrachten wir beispielsweise folgenden Umstand:

Das Paper preist an, dass kein komplizierter Mechanismus zur anonymen Übertragung vorgesehen wird:

[...] we do not use any anonymous channel. Anonymous channels are not easy to set up and adds substantial complexity to the protocol.

Die Geheimheit der Stimme soll vielmehr durch einen einfachen Upload realisiert werden:

Vote casting in our protocol is similar to a guest ftp session, except that the session is encrypted. The session may, at best, be traced back to an IP address but cannot be linked with a voter. That way we ensure the anonymity of the voter.

Für einen Hacker ist es sicherlich möglich einen anonymen Upload durchzuführen, für einen durchschnittlichen Anwender jedoch vermutlich nicht. Auch hier gilt wieder: Automatisiert man dies (z.B. mittels Onion Routing), dann muss sichergestellt sein, dass die eingesetzte Software, die den anonymen Upload durchführt, tatsächlich vertrauenswürdig ist und kein Trojaner installiert ist. Wie dieses Problem gelöst werden soll, wird in der referenzierten Arbeit nicht beleuchtet. Vielmehr wird ein einfacher Dateiupload vergleichbar mit einem FTP-Gast-Zugriff als hinreichend für die Sicherstellung der Anonymität dargestellt.

Auf die Details des kryptografischen Teils des Verfahrens muss hier gar nicht eingegangen werden, denn bereits die vorausgesetzten Rahmenbedingungen sind zweifelhaft. Der Behauptung, eine mit einem FTP-Gast-Zugriff vergleichbare Datenübertragung (egal ob verschlüsselt oder nicht) sei hinreichend anonym, möchte ich mich nicht anschließen.

Alle Detailfragen ändern im Übrigen nichts an der Aussage des Blogbeitrags zum Wahlcomputeransatz Typ 1:

“Der erste Ansatz, die abgegebene Stimme von der abgebenden Person zu trennen, versucht die Fähigkeit der physikalischen Wahlurne mittels Computersoftware nachzubilden. Egal ob hierbei ein elektronisches Wahlgerät oder eine über das Internet verteilt betriebene Computersoftware zum Einsatz kommt, sind diese Verfahren alle durch die Teilnehmer nicht überprüfbar. Denn im Gegensatz zum geringen notwendigen Verständnis um die Funktionsweise einer echten Wahlurne zu verstehen und ihre korrekte Anwendung zu überprüfen, ist bei elektronischen Geräten oder Computersoftware immer ein erhebliches Fachwissen erforderlich, um das Verfahren überhaupt im Detail verstehen zu können. Aber selbst mit dem nötigen Fachwissen, ist es für Teilnehmer an Abstimmungen mit einem Wahlcomputer Typ 1 nicht möglich, das tatsächlich eingesetzte Wahlgerät oder die tatsächlich an der Abstimmung beteiligten, mit dem Internet verbundenen Computer selber einer Untersuchung zu unterziehen.”

Selbst wenn unter der Voraussetzung der Gültigkeit bestimmter mathematischer Annahmen davon ausgegangen werden könnte, dass man dem Verhalten aller anderen Computer außer dem eigenen nicht vertrauen muss, so bleibt das Problem, dass die eigene Stimme letztendlich von einem elektronischen Endgerät an das Internet übermittelt werden muss. Kann ich als Abstimmender nicht genau überblicken, was in diesem Computer passiert, ist mir eine echte Überprüfung des Verfahrens unmöglich. Das Fehlen dieses Überblicks sorgt bereits im Falle weniger Wähler aus berechtigten Gründen für einen Vertrauensverlust gegenüber dem Gesamtsystem. Auch bleibt die Angriffsmöglichkeit den eigenen Computer selbst mit einem Trojaner zu infizieren bzw. die installierte Prüfsoftware zu manipulieren, um nachträglich Unsicherheit bezüglich einer erfolgten Abstimmung streuen zu können.

Zwar können auch offene namentliche Abstimmungen manipuliert werden, doch ist man bei offenen Abstimmungen nicht auf eine konkrete Software oder eine längere Zuordnungsliste angewiesen um die korrekte Auszählung der eigenen Stimme zu überprüfen. Auch andere Stimmen lassen sich auf Plausibilität überprüfen und es können bei Bedarf stichprobenartige Kontrollen durchgeführt werden (“Hast du wirklich so abgestimmt?”).

Gruß
Jan Behrens

- Jeder Teilnehmer kann nur die Auszählung seiner eigenen Stimme überprüfen.
Dies ist richtig, allerdings sehe ich hier kein Hindernis. Es sollte keine Schwierigkeit sein, im “Client” des Wählers eine automatische Prüfung einzubauen, sodass ein Großteil der Wähler diese Prüfung vornimmt.

- Im Betrugsfall muss ein Wähler seine Identität aufdecken.
Auch richtig, allerdings muss für eine relevante Beeinflussung der Wahl eine signifikante Anzahl Stimmen manipuliert werden. Die Wahrscheinlichkeit, dass wenigstens ein einzelner der “betrogenen” Wähler (denn ein einzelner genügt), dieses in Kauf nimmt um den Betrug aufzudecken halte ich für hoch.

- Es muss überprüft werden, ob in den Auszählungsergebnissen, die anderen Teilnehmern präsentiert wurden, die eigene Kennung mit der korrekten Stimme ebenfalls wiederzufinden ist.
Hier stimme ich nicht zu. Ich gehe davon aus, dass die Wahlergebnisse auch anonym einsehbar sind. Somit ist es nicht möglich, jedem Benutzer eine eigene “Realität” vorzutäuschen.

- Die Abstimmung wäre dennoch nicht geheim, da z.B. Betreiber oder Administratoren in das persönliche Abstimmungsverhalten Einsicht nehmen könnten.
Dies kann ich nicht nachvollziehen. Wie sollte dies möglich sein? Prinzip des Verfahrens ist ja gerade, dass nur der Wähler über seine eigene Stimme Bescheid weiß.

Ich verweise hierzu auch auf http://www.cs.colostate.edu/~indrajit/wecwis01ext.pdf , eine Spezifizierung für ein anonymes Wahl-Protokoll, das ein ähnliches Verfahren verwendet.

Mit dem Prinzip des Delegated-Voting lässt sich eine geheime Wahl aber natürlich nicht vereinbaren, schließlich hat jeder Delegierende ein berechtigtes Interesse, die Wahl seines Delegierten zu erfahren.