Diskussion:Bingo Voting

Da dies mein erster Artikel bei Wikipedia ist, bitte ich um Nachsicht und konstruktive Kritik. Ich gehöre zu den Entwicklern des Verfahrens und habe mich bemüht, so neutral wie möglich zu schreiben. --Christian Henrich 15:47, 8. Feb. 2008 (CET)Beantworten

Für ein Erstlingswerk ist dir der Artikel sehr gut gelungen! Wesentlich besser als der Murks, den ich am Anfang abgeliefert habe… --Forevermore 22:14, 15. Feb. 2008 (CET)Beantworten

Vielen Dank an Feba für das Einfügen der Links. Ich habe den Link zu Commitment entfernt, da hier kryptographische Commitments gemeint sind (zu denen noch kein Artikel existiert) und nicht (wie im ursprünglich verlinkten Artikel) Commitment im Sinne von Einsatz für die Firma. --Christian Henrich 14:54, 9. Okt. 2008 (CEST)Beantworten

Kritik an Bingo Voting

Letzter Kommentar: vor 15 Jahren5 Kommentare2 Personen sind an der Diskussion beteiligt

Inzwischen sind die ersten Angriffe beschrieben und einige Behauptungen zu Sicherheitseigenschaften widerlegt worden. Diese sollten noch eingearbeitet werden. Quellen: Zum Wahlgeheimnis und Statistische Angriffe

Der erste Angriff (Zum Wahlgeheimnis) bricht das Wahlgeheimnis bei korrumpierter Wahlmaschine. Dies ist bekannt und von Beginn an im Artikel so vermerkt. Zitat: "Die Sicherheit des Wahlgeheimnisses basiert auf der Wahlmaschine und dem Vertrauen in die Wahlleitung, die vor der Wahl die Zufallszahlen erzeugt. Speichert die Wahlmaschine, wann welche Stimme abgegeben wurde oder wird die Liste der Zufallszahlen komplett bekannt, ist das Wahlgeheimnis nicht mehr gesichert."

Der zweite Angriff (Statistische Angriffe) ist durch ein Ungenauigkeit in der Beschreibung enstanden. Jede Wahlmaschine hat ihren eigenen Pool Zufallszahlen und an jeder Wahlmaschine kann nur eine begrenzte Anzahl von Stimmen abgegeben werden. Diese Einschränkung werde ich im Artikel durch eine Anmerkung deutlicher machen.

Unterschreibe bitte in Zukunft deine Beiträge (vier Tilden), dann ist es für andere Leser leichter, dem Diskussionsverlauf zu folgen. --Christian Henrich 15:51, 4. Nov. 2008 (CET)Beantworten

Das ist so nicht richtig. Ich habe inzwischen eine Reihe von Schwächen und Angriffen beschrieben, die dies berücksichtigen.

1. Bingo Voting behauptet, es wäre "coercion-free" und würde nur auf vertrauenswürdigem Zufallszahlengenerator beruhen. Die Aussage von Bingo ist ja gerade, daß es nicht darauf beruht, daß die Wahlmaschine vertrauenswürdig ist. Dann kann man nicht nachher kommen und sagen, das wäre ja bekannt, daß das Wahlgeheimnis bei kompromittierter Wahlmaschine nicht sicher ist. Dann kann man eben nicht behaupten, daß man ein Verfahren entwickelt hat, das "coercion-free using a trusted random number generator" wäre. Dann müßte man schon ein "oder" dazwischen setzen.
2. Wenn man eine vertrauenswürdige Wahlmaschine voraussetzt, wozu soll dann Bingo Voting überhaupt gut sein? Wenn die Maschine vertrauenswürdig ist, dann reichen ordinäre Zähler, jede Kryptographie wäre dann eine erhebliche Schwächung und überflüssig. Dann braucht man keine kryptographischen Protokolle.
3. Was soll der Unsinn, auf Vertrauen in die Wahlleitung zu setzen? Welches Problem wird dann gelöst? Es geht doch gerade darum, daß man einer Wahlleitung nicht vertraut. Das ist so wie eine Diebstahlsicherung, die darauf beruht, daß keiner klaut.
4. Jörn Müller-Quade hat als Sachverständiger in der Verhandlung vor dem Bundesverfassungsgericht und im anschließenden Interview in eigener Sache getrommelt und behauptet, daß man Wahlmaschinen ja gar nicht vertrauenswürdig und manipulationsfest hinbekäme, und man ja gerade deshalb Bingo Voting brauche. Wie aber soll "coercion-free" funktionieren, wenn man erstens sagt, daß man eine vertrauenswürdige Wahlmaschine braucht und zweitens sagt, daß es gerade die nicht geben kann und man sich deshalb mit einem Zufallszahlengenerator begnügen muß?
5. Bingo Voting hat nach meinem Verständnis auch eine strukturell-kryptographische Schwäche, die in gewissem Umfang das Brechen des Wahlgeheimnisses ohne jede Manipulation der Maschine allein anhand der veröffentlichten Daten erlaubt.
6. Auch die Aussage mit den statistischen Betrachtungen stimmt so nicht. Nur der erste Teil der Betrachtung geht davon aus, daß man eine Wahlmaschine für das ganze Land hat. Der zweite Teil geht davon aus, daß man das Land in kleine Wahlbezirke mit separaten Wahlmaschinen aufteilt, wie es in der Realität passiert. Die Wahrscheinlichkeit, innerhalb eines Wahlkreises ohne Kollision durchzukommen ist zwar dann einigermaßen hoch, die Wahrscheinlichkeit daß an diesem Wahltag aber alle Wahlkreise ohne Kollision durchkommen ziemlich mäßig, wenn man von 40Bit Zufallszahlen ausgeht.
7. Bingo hat noch andere Schwächen, auch gegen die Korrektheit, die sich teilweise sogar ohne jede Kompromittierung der Maschine (man-in-the-middle) durchführen lassen.

Insbesondere die Sache mit der Unterstellung, daß man der Maschine und der Wahlleitung trauen muß, halte ich für ein ziemlich eindeutiges Merkmal dafür, daß das Verfahren bewußter Schwindel ist.

Hadmut Danisch 18:59, 4. Nov. 2008 (CET)

Das verlinkte Dokument bezieht sich nur in einem sehr geringen Teil auf Bingo Voting.

Zu 1. Dies ist Kritik an Formulierungen der ursprünglichen Veröffentlichung und (ob berechtigt oder nicht) irrelevant für den Wikipedia-Artikel.

Zu 2. Der Wikipedia-Artikel sagt klar, unter welchen Voraussetzungen welche Sicherheit gewährleistet wird. Die Frage, welche Voraussetzungen Unsinn sind und welche nicht, ist sicher diskussionswürdig; aktuell scheint hier jedoch noch kein Stand erreicht, der einen entsprechenden Enzyklopädie-Eintrag rechtfertigen würde.

Zu 3. Auch die Papierwahl benötigt Vertrauen in die Wahlleitung zur Wahrung des Wahlgeheimnisses. Die Wahlleitung könnte durch unauffällige Markierung der Stimmzettel (spezielle Tinte, die im UV-Licht sichtbar wird, Mikrostrukturierung,...) nachvollziehen, wer welchen Stimmzettel ausgefüllt hat und damit das Wahlgeheimnis brechen. Ansonsten siehe Zu 2.

Zu 4. Der Vorteil von Bingo Voting gegenüber herkömmlichen Wahlmaschinen ist, dass man für die Korrektheit der Wahl der Wahlmaschine nicht vertrauen muss. Kritik an Aussagen von Dr. Müller-Quade hat mit diesem Wikipedia-Artikel nichts zu tun.

Zu 5., 6. und 7. Um hierauf antworten zu können, fehlen leider genaue Beschreibungen der Angriffe und Schwächen. --Christian Henrich 17:13, 5. Nov. 2008 (CET)Beantworten

Herr Hadmut Danisch hat soeben ein ausführliches Dokument mit Erklärungen und Kritikpunkten zu diesem Thema unter BingoKritik.pdf in angemessener Form veröffentlicht. Ich bitte die Experten die nötigen Links und neuen Informationen in den Artikel einzuarbeiten. Persönlich bin ich der Ansicht, dass die "Erfinder" des Verfahrens zwar die Kommentarfunktion weiterhin frei benutzen können, aber den Artikel nicht bearbeiten sollten, da auf Grund der Wichtigkeit des Artikels (dem medien/wirtschaftlichen/persönlichen/politischen Einfluss) die nötige Neutralität per se nicht gewährleistet werden kann. Der Hinweis "man ist bemüht neutral zu sein" ist zwar grundsätzlich gut gemeint, aber inhaltlich im Hinblick auf die vorhandenen Kommentare dann doch nicht viel mehr als eine nette kabarettistische Einlage. Sollte sich auch nur ein Kritikpunkt als stichhaltig herausstellen, muss das Gesamtverfahren bereits im Einleitungstext als "gebrochen" (vgl. MD4) gekennzeichnet werden, um auch Neulingen in diesem Thema einen wikipediawürdigen Einstieg zu gewährleisten. --Markosio 15:57, 9. Nov. 2008 (CET)Beantworten

Habe gerade einen Link zum Dokument eingefügt. Sollte sich kein Profi zu diesem Thema finden, der die etlichen "Problemfelder" beschreibt, werde ich versuchen die Kategorie "Schwächen" in die Hand zu nehmen. --Markosio 16:22, 14. Nov. 2008 (CET)Beantworten

Im Folgenden habe ich einige Anmerkungen zur Kritik von Hadmut Danisch zusammengetragen. Die Strukturierung entspricht der der Kritik (ich beziehe mich auf die Version vom 11. November 2008).

Grundsätzliche Kritik und Funktionstauglichkeit

Widersprüchliche und fehlerhafte Voraussetzungen

Es ist bei allen derzeitigen kryptographischen Wahlverfahren so, dass die Geheimhaltung starke Annahmen, wie unkorrumpierte Wahlorganisation oder Wahlmaschine, braucht. Die Annahmen sind im Wikipedia Artikel explizit angegeben.

Die Andeutung, dass "im Papier an unauffälliger Stelle der kurze Satz" steht, der auf die unterschiedlichen Voraussetzungen eingeht, ist irreführend, da dieses Thema in einem eigenen Kapitel (Kapitel 4 der Veröffentlichung) diskutiert wird.

Konstrukt des Wahlleiters

Die Frage, inwieweit man dem Wahlleiter vertrauen kann, ist eine Frage nach dem Sinn der Voraussetzungen. Diese Frage wird von Bingo Voting aufgeworfen, ist aber nicht Gegenstand der Veröffentlichung. Vertrauen in die Wahlleitung ist auch für die Papierwahl notwendig, da eine Manipulation der Papierstimmzettel oder der Wahlkabine das Wahlgeheimnis brechen kann.

Kryptographische Grundsätze missachtet

Der Wikipedia-Artikel (und auch die Veröffentlichung) zu Bingo Voting beschreibt das Grundprinzip des Verfahrens. Der Vorwurf, dass kryptographische Grundsätze missachtet wurden, ist pauschalisierend und bezieht sich auf Details der Umsetzung und nicht auf das Verfahren. Für die beschriebenen Punkte existieren verschiedene Lösungsansätze.

Kollision von Zufallszahlen

Das Verfahren selbst macht keine Aussagen zur Länge der Zufallszahlen. Bei der praktischen Umsetzung muss die Länge der Zufallszahlen entsprechend der Kandidaten- und Wählerzahlen angepasst werden.

Nachträgliche Sabotage - Denial of Service

Bingo Voting kann Angriffe erkennen, bietet aber selbst kaum Möglichkeiten, ohne komplette Aufhebung des Wahlgeheimnisses aufgetretene Fehler zu beheben. Die beschriebenen Angriffe treffen auf das im Artikel beschriebene Verfahren nicht zu, müssen aber berücksichtig werden, wenn die Anfechtung der Wahl möglich ist.

Nachträgliche Sabotage durch Maschine/Wahlleiter

Eine korrumpierte Maschine kann die Wahl manipulieren und damit ungültig machen. Bingo Voting erkennt genau solche Angriffe, ist aber nicht geeignet, so etwas zu verhindern. Die Wahlleitung kann prinzipiell die Veröffentlichung von Wahlergebnissen verweigern.

Nachträgliche Sabotage durch den Wähler

Hadmut Danisch schreibt in seinem Text (Seite 7): "Von fälschungssicheren Wahlquittungen ist nicht die Rede." Diese Aussage ist falsch. "If a voter should not only be able to detect cheating attempts, but also to prove an electoral fraud, then the printed receipts should be difficult to forge." (Seite 3 in der Veröffentlichung).

Der Wikipedia-Artikel stellt den Sachverhalt der Übersicht halber gekürzt dar und besagt nur, dass Manipulationen erkannt werden. Bei einem Einsatz müssen solche Angriffe berücksichtigt werden. Ein Wahlbeleg mit fälschungssicherem Paper (Seite 3 in der Veröffentlichung) ist eine Möglichkeit. Bei einem Wahlbeleg, der nach der Wahl als Beweis zur Anfechtung der Wahl vorgebracht wird, können aufwändige forensische Methoden genutzt werden, um die Echtheit festzustellen.

Angriffe gegen das Wahlgeheimnis

Alle beschriebenen Angriffe gegen das Wahlgeheimnis verletzen die Annahme, dass die Wahlmaschine und der Wahlvorstand unkorrumpiert sind.

Verstoß gegen Grenzen des Wahlgeheimnisses

Die Eigenschaft der Nichterpressbarkeit wird im Vergleich zu einer idealen Wahl betrachtet, bei der die gleichen Grenzfälle auftreten.

Kein Wahlgeheimnis - ein Hütchenspielertrick

Auch dieser Angriff verletzt die Annahme, dass die Wahlmaschine unkorrumpiert ist.

Faule Permutationen

Die Beweise zur Korrektheit der Wahl werden in der Vorstellung des Verfahrens von der Wahlmaschine durchgeführt. Ein korrumpierte Wahlmaschine kann damit durch Seitenkanäle in den veröffentlichten Daten das Wahlgeheimnis brechen. Dies wird im Wikiepdia-Artikel deutlich gesagt und in der Veröffentlichung eingehend diskutiert.

Faule Commitments

Für die Commitments gilt das gleiche wie für die später durchgeführten Beweise.

Ausrechnen der abgegebenen Stimmen

Die hier beschriebenen Kritik am Randomized Partial Checking basiert auf einem Missverständnis. Die Beweise durch RPC werden pro Beleg durchgeführt. Dazu werden für jeden Beleg zufällig entweder die Permutation und Neuverschlüsselung zwischen Spalte 1 und Spalte 2 oder zwischen Spalte 2 und Spalte 3 aufgedeckt. Der Wikipedia-Artikel enhält keine Details der Beweisrealisierung.

Angriffe gegen die Wahlkorrektheit

Erpressung

Erpressung ist möglich, wenn das Wahlgeheimnis gebrochen wird. Dies ist (wie bereits mehrfach erwähnt) möglich, wenn die Wahlmaschine korrumpiert wird.

Die Überlegung, dass es für einen erfolgreichen Angriff schon ausreichen kann, dem Opfer glaubhaft zu machen, dass der Erpresser das Wahlgeheimnis brechen kann, fällt unter social engineering und ist nicht nur für Bingo Voting relevant. Diese Art von Angriff ist durchaus auch für Papierwahlen denkbar, wenn der Erpresser glaubhaft machen kann, dass er das Opfer mit Hilfe einer Spionage-Kamera in der Wahlkabine beobachten kann oder wenn der Wähler gezwungen wird, den Stimmzettel durch eine besondere Form des Kreuzes zu markieren.

Kollision der Zufallszahlen

Das Verfahren selbst macht keine Aussagen zur Länge der Zufallszahlen.

Die Papierkorb-Methode

Der in diesem Abschnitt beschriebene Angriff stellt ein Problem für alle kryptographischen Wahlverfahren mit Beleg dar. Es stimmt zwar nicht, dass jeder Wähler seinen Beleg prüfen muss, aber der Angreifer darf zumindest nicht wissen, welcher Wähler seinen Beleg prüft. Mit dem beschriebenen Angriff, bei dem der Angreifer an Papierbelege gelangt und somit recht sicher sein kann, dass diese nicht überprüft werden, kann der Angreifer gezielt diese Stimmen verfälschen. Bei Punchscan werden als Gegenmaßnahme die Belege sofort veröffentlicht.

Man-in-the-Middle-Attacke durch Skimming

Dieser Angriff verletzt die Annahme, dass der Zufallszahlengenerator nicht korrumpiert ist. Dies muss durch externe Sicherungsmechanismen sicher gestellt werden.

Fazit: Ein Großteil der Angriffe beruht darauf, dass Voraussetzungen verletzt werden, die sowohl in der Veröffentlichung als auch im Wikipedia-Artikel deutlich genannt werden. Die anderen Angriffe betreffen Details der praktischen Umsetzung. --Christian Henrich 16:11, 28. Nov. 2008 (CET)Beantworten

Reale Implementierung

Letzter Kommentar: vor 15 Jahren1 Kommentar1 Person ist an der Diskussion beteiligt

Bei der UAsta-Wahl in Karlsruhe vom 14. bis 18. Januar tragen die Pre-Election-Beweise einen Timestamp vom 16. Januar, der in die Mitte der Wahlhandlung fällt. Spielt der Zeitpunkt der Veröffentlichung der Beweise keine Rolle? Oder waren durch die späte Veröffentlichung die bis zu diesem Zeitpunkt abgegebenen Stimmen prinzipiell manipulierbar?

Die Commitments der Füllstimmen wurden vor der Wahl veröffentlicht. Damit lagen die Füllstimmen fest und konnten nicht mehr verändert werden (auch die Zuweisung, welche Füllstimme zu welchem Kandidaten gehörte, war damit festgelegt). Die Beweise, die aus Zeitgründen später veröffentlicht wurden, dienten nur dazu zu beweisen, dass jeder Kandidat die gleiche Anzahl an Füllstimmen zugewiesen bekommen hatte. Diese Beweise könnte man auch erst nach der Wahl veröffentlichen, ohne die bereits abgegebenen Stimmen zu gefährden. Die vor der Veröffentlichung der Beweise abgegebenen Stimmen waren also nicht manipulierbar. --Christian Henrich 11:58, 7. Jan. 2009 (CET)Beantworten

Neutralität

Letzter Kommentar: vor 15 Jahren2 Kommentare2 Personen sind an der Diskussion beteiligt

Ich halte die Neutralität des Artikels für fragwürdig, da er in wesentlichen Teilen von einem Mitarbeiter des entwickelnden Instituts (E.I.S.S., Europäisches Institut für Systemsicherheit an der Uni Karlsruhe) geschrieben wurde. Daher der Baustein. -- AndreasWolf 04:11, 23. Nov. 2008 (CET)Beantworten

Könntest Du mit Deinem Neutralitätshinweis genauer werden? Natürlich besteht immer ein WP:Interessenkonflikt, wenn jemand sich oder seine Arbeit darstellt. Andererseits ist das kein Problem, solange Wikipedia:Neutraler Standpunkt berücksichtigt ist. Der Baustein gehört nur in den Artikel, wenn konkret ein Problem im Artikel anliegt, nicht wegen eines möglichen Interessenskonflikts. -- Talaris 10:16, 23. Nov. 2008 (CET)Beantworten

Einsatz bei komplexen Wahlen?

Letzter Kommentar: vor 6 Jahren2 Kommentare2 Personen sind an der Diskussion beteiligt

Da steckt m.E. ein Fehler drin, bei 50 Kandidaten und 9 Stimmen sind 450 Listenzufallszahlen notwendig und weitere 9 für die live erzeugten Zufallszahlen (bei 9 Kandidaten und 50 Stimmen wären es übrigens bereits 500) - warum immer die trivialen Beispiele? Viel interessanter ist es aber bei einem eher realistischen Beispiel von 20 Kandidaten und 60mio Stimmen, da währen bereits (20+1)*60E6 Zufallszahlen notwendig, was es erfordern würde, 10 Stellen im Dezimalsystem zu vergleichen. In einem System mit 36 Ziffern (10 Zahlen plus 26 Buchstaben) ließe sich das immerhin auf 6 Stellen (d.h. bei einer Bundestagswahl auf 2 mal 6 Stellen) begrenzen, die lassen sich in 3 2er-Gruppen halbwegs übersichtlich anordnen, aber ich halte das trotzdem für einen ziemlichen Sackgang, nehmen wir ASCII minus 5 fast gleiche, da kommen wir auf 251, das wären dann noch 4 Stellen, das schafft man aber auch mit 200 Zeichen ^^ Und wenn jemand den Wahlcomputer clever hackt (der speichert etwas anderes als er ausgibt), dann war das alles fürn Arsch ^^ Das ganze System muß ja während der gesamten Wahl online bleiben...

Fehler meinerseits, ASCII hat ja bloß 128 Zeichen und da wären es 5 Stellen, aber mit 191 Unicode-Zeichen wären 4 Stellen auch grad so machbar, andererrseits bleiben da mit einigen Dopplungen (= sehr ähnlichen) trotzdem zu wenig...

--87.157.42.211 21:24, 26. Mär. 2017 (CEST)Beantworten

Die Länge der Zufallszahlen muss so gewählt werden, dass es hinreichend unwahrscheinlich ist, dass die während des Wahlvorgangs gezogene Zufallszahl mit einer Dummy-Zufallszahl übereinstimmt. Da die Dummy-Zufallszahlen pro Wahlmaschine organisiert sind, müssen sie nicht einzigartig sein. In meiner Dissertation (PDF) habe ich das genauer analysiert und außerdem einige Verbesserungen beschrieben, um die Länge der Zufallszahlen zu reduzieren.

Die Arbeit schlägt vor, 32 verschiedene Zeichen (Zahlen und Buchstaben) in Dreiergruppen zu verwenden (lässt sich leichter vergleichen). Damit hat man 15 Bit pro Dreiergruppe. Mit den vorgeschlagenen Verbesserungen sind zwei Dreiergruppen für die Bundestagswahl ausreichend, und drei Dreiergruppen für sehr große Wahlen wie die Wahl in Indien.

Das Hacken eines Wahlcomputers bringt übrigens nichts, das Verfahren ist genau dafür da, dass auch ein gehackter Wahlcomputer keine Stimme unbemerkt verändern kann. Wenn der Wahlcomputer etwas anderes speichert als er ausgibt, fällt das auf, wenn die Belege veröffentlicht und mit den Papierbelegen verglichen werden. Online sein müssen die Wahlcomputer während der Wahl auch nicht, die Füllstimmen werden vorher auf die Wahlcomputer verteilt und das Ergebnis nach der Wahl abgeholt.

Christian Henrich (Diskussion) 15:19, 18. Jul. 2017 (CEST)Beantworten