E-voting szanse i zagrożenia technologiczne Prof. Mirosław Kutyłowski, Inst. Matematyki i Informatyki

E-voting Maszyny do głosowania w komisjach wyborczych Systemy papierowe przeciwdziałające oszustwom wyborczym new! Głosowanie online – poza lokalem wyborczym W Polsce zainteresowaniu jesteśmy głównie (3), w USA, Holandii – głównie (1) i (2)

Plan wystąpienia Dagstuhl Accord Założenia i wymagania wobec systemów wyborczych Polska, Estonia Możliwości weryfikacji systemów wyborczych Systemy typu End-to-end

Dagstuhl Accord, http://dagstuhlaccord.org

Dagstuhl Accord, http://dagstuhlaccord.org Participants of the 2007 Dagstuhl Conference on Frontiers of E-Voting agree that: Taking advantage of technology to improve large-scale elections has recently captured the interest of researchers coming from a number of disciplines. The basic requirements pose an apparently irreconcilable challenge: while voter confidence hinges on transparently ensuring integrity of the outcome, ballot secrecy must also be ensured. Current systems can only address these essential requirements by relying on trust in those conducting the election or by trust in the machines and software they use. Some promising new systems dramatically reduce the need for such trust. What are called “end-to-end” voting systems, for example, allow each voter to ensure that his or her vote cast in the booth is recorded correctly. They then allow anyone to verify that all such recorded votes are included in the final tally correctly. Surprisingly, typically through use of encryption, these systems can also provide privacy of votes. They do this without introducing any danger of “improper influence” of voters, as in vote buying and coercion. Moreover, such systems offer all these properties without relying on trust in particular persons, manual processes, devices, or software. Care must still be taken to ensure proper implementation and education of voters in order to avoid misuse or incorrect perceptions. Some are also concerned that the level of understandability and observability of hand-counting of paper ballots in polling places will not be matched by electronic systems.

Dagstuhl Accord, http://dagstuhlaccord.org The challenge for government and civil society should be to find ways to foster development and testing of new election paradigms in general and to allow them to be assessed and expeditiously rise to meet their potential to improve elections. The challenges for the technical research community now forming around election technology includes further exploration and refinement of these new types of systems. Particularly promising and important areas include analysis, formal modeling, and rigorous proofs regarding systems and potential threats. Initial deployments of these systems are starting to provide valuable real-world experience, but effective ways to communicate and expose their workings may also be important. The goal is systems that increase transparency regarding the correctness of the election results and yet maintain secrecy of individual votes. Improved voter confidence may follow. Voting over electronic networks has various attractions, is starting to be deployed, and is regarded by some as inevitable. No solution, however, has yet been proposed that provides safeguards adequate against various known threats. Problems include attacks against the security of the computers used as well as attacks that impede communication over the network. Improper influence of remote voters is also a significant problem, although it is tolerated with vote by mail in numerous jurisdictions. Securing network voting is clearly an important research challenge. We cannot, however, prudently recommend any but unavoidable use of online voting systems in elections of significant consequence until effective means are developed to address these vulnerabilities.

Dagstuhl Accord, http://dagstuhlaccord.org Voting over electronic networks has various attractions, is starting to be deployed, and is regarded by some as inevitable. No solution, however, has yet been proposed that provides safeguards adequate against various known threats.

Dagstuhl Accord, http://dagstuhlaccord.org Problems include attacks against the security of the computers used as well as attacks that impede communication over the network. Improper influence of remote voters is also a significant problem, although it is tolerated with vote by mail in numerous jurisdictions.

Dagstuhl Accord, http://dagstuhlaccord.org We cannot, however, prudently recommend any but unavoidable use of online voting systems in elections of significant consequence until effective means are developed to address these vulnerabilities.

Dagstuhl Accord, http://dagstuhlaccord.org W międzyczasie: istotne postępy w poszukiwaniu odpowiednich technologii dla online voting

Sygnatariusze Dagstuhl Accord Organizers  David Chaum USA, Miroslaw Kutylowski Poland, Ronald Rivest USA, Peter Ryan United Kingdom Participants  Roberto Araujo Brazil, Josh Benaloh USA, Olivier De Marneffe Belgium, Benjamin Hosp USA, Rui Joaquim Portugal, Aggelos Kiayias USA, David Lundin United Kingdom, Tal Moran Israel, Olivier Pereira Belgium, Stefan Popoveniuc USA, Jean-Jacques Quisquater Belgium, Mark Ryan United Kingdom, Steve Schneider United Kingdom, Bruno Simeone Italy, Vanessa Teague Australia, Poorvi Vora USA, Filip Zagorski Poland

Wymagania: zaufanie bezpieczeństwo systemu wyborczego nie powinno opierać się na założeniu o uczciwości określonego software'u, hardware'u, określonej osoby lub grupy osób

Wymagania: zaufanie bezpieczeństwo systemu wyborczego nie powinno opierać się na założeniu o uczciwości określonego software'u, hardware'u, określonej osoby lub grupy osób zaufany komponent = to element systemu poza kontrolą, potencjalny cel ataku

Wymagania: zaufanie Problemy: komisje fałszujące głosy lub wynik software „obliczający” wyniki korzystne dla … hardware - „fałszywki” nieuczciwy wyborca

Wymagania: zaufanie Postulat: System wyborczy powinien funkcjonować w sposób prawidłowy nawet gdy poszczególne komponenty starają się działać lub działają w sposób nieuczciwy Mechanizm realizacji : nieuczciwe i nieprawidłowe działanie powinno być łatwo wykrywalne

Wymagania: tajność Niewykonalne powinno być uzyskanie informacji jak kto głosował (poza informacjami wynikającymi wprost z wyników) Powinno to dotyczyć w szczególności niemożności udowodnienia przez wyborcę jak głosował.

Wymagania: odporność na sprzedaż głosów Powinno to dotyczyć w szczególności niemożności udowodnienia przez wyborcę jak głosował. -- to jedyny skuteczny środek przeciwko sprzedaży głosów

Wymagania: odporność na fałszerstwa Niemożliwa powinna być zmiana głosu po jego oddaniu (w tym unieważnienie go) przez komisje wyborcze, jego usunięcie a także dodanie głosów.

Wymagania: weryfikowalność wyników Powinno być możliwe sprawdzenie, czy wynik ogłoszony i wynik rzeczywisty są takie same.

Wymagania: powszechność Procedura wyborcza nie może ograniczać w istotny sposób możliwości udziału w wyborach żadnej grupie wyborców.

Stan obecny: działający system w Polsce zaufanie: wymagane zaufanie do Obwodowych Komisji Wyborczych, komisja może dowolnie zmienić wynik tajność: technika umożliwia znaczenie kart do głosowania niewidoczne dla wyborcy, … fałszerstwa: łatwo unieważnić głos, liczba nieważnych głosów stosunkowo duża, szczególnie z dala od dużych ośrodków miejskich

Stan obecny: działający system w Polsce dorzucanie głosów: zerowe ryzyko sprzedaż głosów: metodą chain voting, … weryfikowalność wyników: tylko w zakresie sumowania wyników z komisji obwodowych, wyniki w komisjach obwodowych nieweryfikowalne

Stan obecny: działający system w Polsce dostępność: ograniczona dla osób z problemami w poruszaniu się, osob podróżujących, oraz przebywających poza granicami Polski

Mail voting, Briefwahl Zapewnienie dostępności za cenę: możliwości sprzedaży głosu możliwości niszczenia głosów na poczcie (nadchodzących z obwodów gdzie przewagę ma przeciwnik wyborczy) Doświadczenia z głosowaniem pocztowym: Niemcy – dobre, USA - złe

Estonia – głosowanie przez Internet W uproszczeniu głos ma postać: c, s gdzie: s= podpis elektroniczny wyborcy pod c c= zaszyfrowany głos

Estonia – głosowanie przez Internet Sposób szyfrowania – asymetryczny: szyfrowanie kluczem publicznym komisji wyborczej, deszyfrowanie kluczem prywatnym (tajnym) komisji wyborczej

Estonia – głosowanie przez Internet Podwójne szyfrowanie: wyborca wybiera kandydata X PC szyfruje X przy pomocy klucza K2: c1:= Enc(K2,X) PC szyfruje c1 przy pomocy klucza K1: c:= Enc(K1,c1) „podwójny sejf, który każdy może zamknąć a tylko komisja wyborcza może otworzyć”

Estonia – złożenie głosu Nadchodzi (c,s) KW weryfikuje podpis s pod c i czy wyborca uwidoczniony w s jest na liście i czy już nie głosował Jeśli ok, to c „wrzucane do urny”

Estonia – liczenie głosów Komisja nr 1: Deszyfruje każdy głos c z urny: c1:= Dec(PrivateK1, c) Wyniki miesza losowo i przekazuje Komisji nr 2 „otwieranie zewnętrznych sejfów”

Estonia – liczenie głosów Komisja nr 2: Deszyfruje każdy głos c1 otrzymany od Komisji nr 1: X:= Dec(PrivateK2, c1) Wyniki miesza losowo i przekazuje Komisji nr 2 „otwieranie wewnętrznych sejfów”

Estonia - unieważnianie Wyborca może unieważnić swój głos przekazany przez Internet i zagłosować tradycyjnie (przeciwdziałanie sprzedaży głosów online - sprzedaję i głosuję po swojemu)

Estonia - problemy Skąd wiem co zakodował mój komputer? Komisje nr 1 i nr 2 „mieszczą się w sąsiednich pokojach” – skąd wiem, że rząd nie prowadzi dossier każdego wyborcy?

Wybory typu estońskiego – moje rekomendacje Dla dyktatur pragnących stworzyć alibi nowoczesnego systemu demokratycznego: wysoko rekomendowane rozwiązanie Dla imperiów pragnących podporządkować małe kraje: wysoko rekomendowane rozwiązanie (poprzez odpowiednie luki w produkowanych u siebie systemach operacyjnych)

Wybory typu estońskiego – moje rekomendacje Dla krajów gdzie wszyscy są uczciwi samowystarczalnych informatycznie: rekomendowane rozwiązanie Dla krajów gdzie główne zagrożenie to zamieszki wyborcze: rekomendowane rozwiązanie W Estonii nie głosowałbym przez Internet.

Możliwości weryfikacji systemów wyborczych Bezpieczeństwo przez tajność: pouczający przykład Holandii (maszyny do głosowania okazały się „dziurawe”) „Tiger Team” dokonujący audytu może okazać się skorumpowany, niewystarczająco kompetentny, może nie mieć fizycznie możliwości wszystkiego sprawdzić

Możliwości weryfikacji systemów wyborczych Możliwość audytu rozwiązań informatycznych: sprawdzenie czy rozwiązanie nie posiada zaszytych „dodatkowych opcji” jest praktycznie niemożliwe – szukanie igły w stogu siana Sprawdzeniu musiałyby podlegać kody źródłowe systemu, kompilator, wykorzystywane biblioteki, systemy operacyjne.

Możliwości weryfikacji systemów wyborczych Możliwość audytu rozwiązań hardware’owych: możliwość wbudowania „malicious cryptography” – zewnętrzne testy nie wykażą żadnej nieprawidłowości, zaś wytwórca sprzętu będzie wiedział wszystko, łącznie z prywatnymi kluczami zainstalowanymi na karcie

End-to-end systems rozwiązania zakładające że każdy komponent systemu może być nieuczciwy W przypadku nieuczciwości wychodzi to na jaw ze znaczącym prawdopodobieństwem

End-to-end systems Najtrudniejsze pod względem koncepcyjnym rozwiązania informatyczno-matematyczne. Konieczność pogodzenia sprzecznych wymagań funkcjonalnych (np. weryfikowalność z tajnością)

End-to-end systems 11 przykazanie: nie będziesz ufał swojemu komputerowi Idee: komputer liczy dla wyborcy kody kryptograficzne, ale nie wie co wyborca wybrał, wyborca nie może nawet tego udowodnić online. komputer może oszukać, ale zostanie z dużym prawdopodobieństwem przyłapany.

End-to-end systems Idee: Oprócz samego głosu do Komisji Wyborczej przesyłane kody kontrolne nieodróżnialne od głosów. Komisja oszukując podczas dekodowania może manipulować nie głos ale kody kontrolne – i zostać przyłapana, bo wyborca może ujawnić złożony kod kontrolny

End-to-end systems Idee: Można odwołać złożony głos w sposób niezauważalny dla kupującego głos. Wtedy: sprzedaję głos tak wiele razy ile się da (karząc naiwnego kupującego) na końcu głosuję jak sam chcę

kontakt http://kutylowski.im.pwr.wroc.pl miroslaw.kutylowski@pwr.wroc.pl

Wrocław Information Technology Initiative Program Urząd Miasta Wrocław i PWr "E-voting - szanse, zagrożenia, perspektywy technologiczne„ prelegenci: Prof. Leszek Balcerowicz, SGH Prof. Mirosław Kutyłowski, PWr popołudnie, 4.04.2008 dokładne miejsce i godzina: zostanie podane na stronie www.pwr.wroc.pl