Ist es möglich, Blockchain oder öffentliche Bücher für Abstimmungen zu verwenden?

Als Softwareentwickler wird mir diese Frage regelmäßig gestellt und ich sehe sie auch häufig online gestellt; Es schien eine großartige Frage für die wunderbare StackExchange-Community zu sein.

Für einen kurzen Kontext: Die allgemeine Idee öffentlicher Hauptbücher ist, dass jeder anonyme Informationen (in diesem Fall die abgegebenen Stimmen) sehen kann und sie auch kryptografisch validiert werden können, sodass jeder garantieren kann, dass auch alles korrekt ist.

Glauben Sie also im Wesentlichen, dass es möglich ist, ein digitales öffentliches Hauptbuchsystem (wie zum Beispiel Blockchain) bei großen demokratischen Wahlen zu verwenden? Würde es die Anforderungen erfüllen, die wir von einer demokratischen Wahl erwarten?

Auf den ersten Blick scheint es perfekt für Abstimmungen zu sein; Schließlich sollte es den Prozess weitaus transparenter, schneller und weitaus weniger anfällig für Korruption machen und möglicherweise die sinkenden Wahlbeteiligungen umkehren, da Sie von überall aus wählen können. Oder doch?

Kommentare gelöscht. Bitte verwenden Sie keine Kommentare, um die Frage zu beantworten. Wenn Sie die Frage beantworten möchten, schreiben Sie bitte eine echte Antwort.
Obligatorischer XKCD-Link, der leider als Programmierer leider zutreffend ist: xkcd.com/2030
"Glaubst du, es ist möglich?" ist meinungsbasiert und daher off-topic.

Antworten (17)

Sie könnten eine zufällig generierte GUID erhalten, die Ihre Stimme identifizieren kann, aber nicht rückentwickelt werden kann, um Sie zu identifizieren, es sei denn, Sie teilen jemand anderem Ihre Stimm-GUID mit

Das erscheint mir absurd, es ist trivial, das zu stehlen oder brutal zu erzwingen.

Brute-Force eine GUID? Nein. Stehlen, ja, das ist das Problem: Jeden Ausweis von ausreichender Länge wird es den meisten Menschen unmöglich sein, sich daran zu erinnern, und wenn Sie ihn ausdrucken oder auf andere Weise speichern, gefährdet das die Geheimhaltung. Selbst wenn nicht, gibt es das Problem, Menschen zu foltern (oder zu bestechen), bis sie Ihnen ihren Ausweis mitteilen, damit Sie überprüfen können, ob sie so gewählt haben, wie Sie es möchten.

Stimmt es, dass „es unmöglich ist, eine geheime Abstimmung UND eine Rückverfolgbarkeit der tatsächlichen Abstimmungen durchzuführen“?

Wenn es für einen Wähler eine Möglichkeit gibt, seine Stimme zu verfolgen, kann er auf grundlegender Ebene gezwungen werden, sie offenzulegen, was der Geheimhaltung schadet.

Aber was Verschlüsselungstechnologie (möglicherweise eine Blockchain, aber nicht unbedingt) möglich machen könnte, ist eine „plausible Leugnung“, bei der das System Ihnen nicht eine, sondern zwei (oder mehrere) IDs gibt, die auflösen, um verschiedene Optionen zu bestätigen, für die gestimmt wurde, so dass, wenn jemand erzwingt Wenn Sie Ihre Stimme offenlegen, können Sie ihnen sagen, was sie hören möchten. Beachten Sie, dass ich geschrieben habe, dass dies möglich sein könnte , da ich nicht sofort erkennen kann, wie dies so erfolgen könnte, dass der Wähler selbst noch bestätigen kann, dass die von ihm abgegebene Stimme tatsächlich die gezählte ist und nicht eine der Fälschungen Einsen. Es könnte ein cleveres Schema geben, das dies ermöglicht.

Letztendlich ist dies jedoch alles technokratische Masturbation ohne reale Relevanz: Jedes solche Schema, egal wie theoretisch technisch solide, wäre so komplex, dass es allzu leicht versteckte Schwächen in seiner Implementierung und (vielleicht noch wichtiger) haben könnte für 99,99 % der Bevölkerung völlig unverständlich wäre, was seine Legitimität untergraben würde.

Papierstimmzettel sind und bleiben die beste Wahl für die Stimmabgabe, da jeder verstehen und bestätigen kann, wie sie funktionieren, und obwohl es im Prinzip einfach ist, mit ihnen zu betrügen, ist es in der Praxis fast unmöglich, dies in einem Ausmaß zu tun, ohne dass sich die Ergebnisse ändern leicht zu entdeckende Spuren und/oder Zeugen hinterlassen.

"während es im Prinzip leicht ist, mit ihnen zu betrügen". Es ist verdammt schwer, mit ihnen zu betrügen, zumindest wenn persönliche Abstimmungen verwendet werden. Sie können zusehen, wie die leere Urne verschlossen wird, Sie können zusehen, wie nur Wahlberechtigte ihre Stimmzettel einwerfen, Sie können zusehen, wie die Urne entsiegelt wird und wie die Stimmen ausgezählt werden. Die USA machen dem einen Strich durch die Rechnung, weil Urnen transportiert werden und man den Transport nicht bestätigen kann, aber wenn die Auszählung im Wahllokal stattfindet und ein Bürger sein Recht auf Zuschauen ausübt, ist es verdammt schwer zu betrügen.
Vergleichen Sie das mit der elektronischen Stimmabgabe, bei der der Durchschnittsbürger genau nichts tun kann, um irgendetwas zu validieren ...
Gibt es eine Möglichkeit, nachweislich zu sehen, dass Ihre Stimme zur Gesamtsumme hinzugefügt wurde, ohne dass dies für andere nachvollziehbar ist?
@Polygnome wie ist es möglich zu sehen, dass nur berechtigte Wähler ihre Stimmzettel abgeben, wenn die Identität des Wählers nicht auf sinnvolle Weise bestätigt wird (z. B. in vielen Bundesstaaten der USA)? Und werden die Stimmen nicht schließlich in ein elektronisches System eingegeben, das wiederum die meisten Wähler nicht verstehen?
@endolith: Das wäre die von OP erwähnte GUID. Wenn Sie abstimmen, erhalten Sie eine lange, zufällig generierte Vor-Ort-Nummer, die mit der gerade abgegebenen Stimme erfasst wird, aber nirgendwo anders und insbesondere in keiner Weise mit Ihnen in Verbindung steht. Nach der Wahl wird die Liste aller solcher GUIDs und der mit ihnen abgegebenen Stimmen veröffentlicht. Jeder kann überprüfen, ob seine GUID mit der von ihm abgegebenen Stimme übereinstimmt, und jeder kann überprüfen, ob die Gesamtzahl korrekt ist. Wie ich bereits geschrieben habe, besteht das Problem darin, dass Menschen gezwungen werden können, ihre GUID preiszugeben.
@MichaelBorgwardt Nein, ich meine etwas Vorübergehendes, mit dem Sie sehen können, wie Ihre Stimme in die Gesamtsumme eingeht, aber ohne dass jemand anderes es sieht oder identifiziert, wer die Gesamtsumme erhöht hat. Jeder Wähler beobachtet, wie seine eigene Stimme die Zählung erhöht, und die Gesamtzahl wird mit der Gesamtzahl der Personen verglichen, die an diesem Wahllokal abgestimmt haben, sodass jede Person überprüfen kann, ob ihr Stimmzettel gezählt wurde, und jeder kann überprüfen, ob keine zusätzlichen Stimmzettel hinzugefügt wurden. und jeder kann davon ausgehen, dass die Zahlen korrekt sind, da jeder seine eigene Stimme verifiziert hat, aber niemand sonst kann eine bestimmte Stimme einem Wähler zuordnen.
@MichaelBorgwardt Ich bin nicht davon überzeugt, dass "wenn es für einen Wähler eine Möglichkeit gibt, seine Stimme zu verfolgen, er gezwungen werden kann, sie offenzulegen". Ich möchte nur nachweisen können, dass meine Stimme (1) erhalten und (2) verwendet oder (3) nicht in die Berechnung der endgültigen Stimmen einbezogen wurde. Wenn ich beweise, dass meine Stimme in der Endauszählung verwendet wurde, können Sie daraus schließen, dass ich für Trump, Biden oder Jorgenson gestimmt habe. Wenn ein einzelner Wähler nachweisen kann, dass seine erhaltene Stimme bei der Berechnung der endgültigen Auszählung nicht verwendet wurde, muss die gesamte Wahl verworfen und wiederholt werden.
@MichaelBorgwardt Ich habe keine Ahnung, ob das möglich ist, aber kannst du beweisen, dass es unmöglich ist?
@emory: Ich würde sagen, dass es mindestens genauso wichtig ist, dass ein Wähler bestätigen kann, dass seine Stimme für den gewünschten Kandidaten gezählt wurde, wie ob sie überhaupt gezählt wurde.
@endolith: Wenn ein Wähler beobachtet, wie seine Stimme die Zahl für seinen Kandidaten in der Öffentlichkeit erhöht, ist dies nicht geheim, und wenn er es privat beobachtet, kann er nicht wissen, ob das, was ihm gezeigt wird, tatsächlich gezählt wird, insbesondere angesichts der Tatsache, dass die meisten Wahllokale mehrere haben Wähler parallel abstimmen.
@MichaelBorgwardt Du hast recht. In einem perfekten Abstimmungssystem sollten Sie sich und anderen nachweisen können, dass Ihre Stimme erhalten und verwendet wurde. Sie sollten sich selbst, aber nicht anderen beweisen können, dass Ihre Stimme an den richtigen Kandidaten gegangen ist. Nur die Anforderungen zu beschreiben ist knifflig – ganz zu schweigen von deren Umsetzung.
@MichaelBorgwardt Ist es unmöglich , ein System zu entwickeln, bei dem ein Wähler beobachten kann, wie seine eigene Stimme die Gesamtzahl erhöht, ohne dass diese Informationen auch vollständig für die Öffentlichkeit zugänglich sind?
@endolith nein - das GUID-System tut genau das mit den erwähnten Nachteilen. In meiner Antwort erwähne ich, dass Kryptografie es ermöglichen könnte, diese zu eliminieren, aber ein solches System wäre für die meisten Menschen viel zu komplex, um es zu verstehen, sie müssten nur Experten vertrauen, dass es die behaupteten Garantien bietet.

Ich sehe nicht, was Blockchain mit GUIDs zu tun hat, und es scheint, dass bei den Änderungen ein gewisser Kontext verloren geht. In jedem Fall empfehle ich, einen Blick auf diese Abstimmungssoftware im Zusammenhang mit XKCD zu werfen . Die meisten Experten stimmen diesem XKCD-Comic zu.

Wenn Sie einem Wähler eine eindeutige, zufällige GUID geben, ist es unmöglich, einen Wähler anhand einer GUID zu identifizieren – das heißt, wenn Sie andere Vektoren ignorieren. Zunächst müssen Sie sich ansehen, wo die GUID generiert wird. Wenn eine GUID generiert und an einen Wähler gesendet wird, können Sie als Regierungsbehörde, die diese GUIDs sendet, die GUID einfach mit dem Wähler verbinden und herausfinden, wie er gewählt hat. Wenn die GUID on the fly auf dem Wahlgerät generiert wird und das Gerät nicht weiß, wer gerade abstimmt, könnte das vermieden werden.

Nehmen wir dann an, es gibt eine Website, auf der die Wähler überprüfen können, ob ihre Stimme gezählt wurde. Ein Wähler gibt seine GUID ein und sieht die für ihn gespeicherte Stimme. Jetzt hat diese Website IP und GUID, was zB für eine Regierungsbehörde ausreichen kann, um einen Wähler mit einer Abstimmung zu verbinden.

Schließlich könnte es Druck von außen geben. Ein Chef kann verlangen, dass jemand seine GUID bereitstellt, um sicherzustellen, dass alle seine Mitarbeiter für seinen bevorzugten Kandidaten gestimmt haben. Mit einem einfachen Papierstimmzettel werfen Sie ihn ein und alle Nachweise Ihrer Stimme befinden sich in der Schachtel. Wenn jemand wissen möchte, wie Sie gewählt haben, können Sie lügen, und niemand kann es widerlegen. Das ist einer der Gründe, warum manche Länder das Fotografieren in der Wahlkabine verbieten. Sie können nicht gezwungen werden, auf eine bestimmte Art und Weise abzustimmen - was in der Tat ein Problem bei der Briefwahl ist, bei der Sie sich beim Ausfüllen nicht in einer geschützten Umgebung befinden.

Die Überprüfung, ob eine Stimme anhand der GUID gezählt wurde, könnte auf geheimhaltungserhaltende Weise erfolgen, indem einfach alle GUIDs und ihre entsprechenden Stimmen veröffentlicht werden. Jeder kann die gesamte Liste herunterladen (sollte auch wirklich gut komprimieren). Um es praktischer zu machen, könnten Sie es basierend auf einem kleinen Präfix oder Suffix in Stücke schneiden.
@MichaelBorgwardt - Sehr wahr, aber "Wähler anhand der IP identifizieren" ist zunächst ziemlich wackelig. Wer sagt, dass Sie Ihre eigene Stimme nachschlagen und nicht einen Ausweis, den Sie von jemandem erzwungen haben (wie im letzten Punkt)? Oder dass Sie sich an einer nachvollziehbaren IP befinden, im Gegensatz zu einem öffentlichen Hotspot oder TOR/VPN? Die anderen Punkte in der Antwort sind die wirklichen Bedenken.
@MichaelBorgwardt, das würde für Wähler mit technischen Kenntnissen funktionieren. Ich schaudere, wenn ich daran denke, wie meine Großmutter versuchen würde, ihre Stimme aus einem Datendump zu validieren. Das würde dazu führen, dass Websites nicht-technischen Wählern einen „Validate your vote“-Dienst anbieten, der es diesen Websites ermöglichen würde, Wähler mit ihren Stimmen zu verbinden. Mit ein wenig dem üblichen Google Analytics auf diesen Drittanbieter-Websites weiß Google plötzlich, wie Sie abgestimmt haben.
Vielleicht bin ich naiv / uninformiert, aber wenn Sie keinen Wähler zurückverfolgen können, wie kann dann jemand zusätzliche Stimmen hinzufügen? Vielleicht vergleichen Sie die Anzahl der Personen, die nach Bezirk gewählt haben, aber da Sie nicht zurückverfolgen können, scheint es unmöglich, herauszufinden, wo\wann die ungültigen Stimmen eingegeben wurden? Oder noch wichtiger, welche der Stimmen waren die erbeuteten (ohne dass anschließend jeder Einzelne seine Stimmen zugeben und eliminieren muss?)? Während es den Leuten also die Möglichkeit geben würde, zu überprüfen, ob ihre eigene Stimme privat gezählt wurde, wäre es in Bezug auf Fragen zum Hinzufügen von Stimmen so, wie es jetzt ist?
@JeopardyTempest Das nennt man Stimmzettelfüllung. Bei physischen Wahlurnen beobachten die Wahlhelfer die Wahlurnen. Normalerweise sind sie von mehreren Parteien, also ist es in ihrem Interesse, dies zu verhindern. Abgesehen davon gibt es manchmal internationale Wahlbeobachter, die über solche Dinge berichten. Die Auswirkungen sind in der Regel sehr gering, da man sich die Zahl der Wahlberechtigten ansieht und nur Kreise mit geringer Einwohnerzahl Einparteienhelfer haben werden. Alle Bezirke mit genügend Bevölkerung, um sich zu lohnen, werden ebenfalls von beiden Seiten beobachtet. (Fortsetzung)
@JeopardyTempest Für die Online-Abstimmung ist dies ein echtes Problem, das schwer zu lösen ist, und ich bin mir nicht sicher, wie es gelöst werden könnte, ohne die Abstimmung nicht geheim zu machen (indem die Abstimmung mit dem Wähler verbunden wird).
@Morfildur Das hängt davon ab, wie es implementiert wird. have i been pwned tut etwas Ähnliches ohne Probleme. Mein Verständnis ist, dass der Client eine Teilmenge der Datenbank anfordert und die endgültige Suche selbst durchführt. Der Server lernt wenig. Dies könnte sogar mit einem webbasierten Client erfolgen, der die gesamte Datenbank herunterlädt und die Suche lokal durchführt.
@Morfildur Google weiß bereits, wie Sie abgestimmt haben.
Man könnte eine Website einrichten, auf der Leute anonym ihre Stimmen überprüfen können, indem sie so etwas wie das System von haveibeenpwnd verwenden. Der Client sendet nur ein Präfix der GUID. Dann sendet der Server alle Stimmen für Guids mit diesen Präfixen. Schließlich verwirft der Client alle Stimmen außer derjenigen, die seiner eigenen GUID entspricht. Offensichtlich gibt es noch andere Probleme mit der elektronischen Stimmabgabe.
„Ich empfehle, einen Blick auf diese Abstimmungssoftware im Zusammenhang mit XKCD zu werfen“ – die Art und Weise, wie ich XKCD gelesen habe, ist, dass die Leute (möglicherweise) unangemessen skeptisch gegenüber computergestützten Abstimmungen sind, angesichts all der anderen Dinge, die wir mit Technologie erreicht haben (was genau das Gegenteil ist der beabsichtigten Nachricht hier). Es liefert auch keine konkreten Gründe, warum es eine schlechte Idee ist (was fair ist, da es nur ein Webcomic ist, aber das bedeutet, dass es als Referenz nicht so nützlich ist).
@NotThatGuy wie immer auf xkcd bietet der Alt-Text der Comics mehr Kontext: „Es gibt viele sehr kluge Leute, die faszinierende Arbeit an kryptografischen Abstimmungsprotokollen leisten. Wir sollten sie finanzieren und ermutigen und alle unsere Wahlen mit Papierstimmzetteln durchführen, bis alle derzeit in diesem Bereich tätig ist, ist in den Ruhestand getreten." was darauf hinweist, dass der Comic so verstanden werden soll, wie er hier verwendet wird - in den meisten technischen Bereichen sind Ingenieure ziemlich zuversichtlich, dass die Sicherheitssysteme funktionieren. Bei elektronischen Wahlsystemen ist das einfach nicht der Fall.
Natürlich ist eines der Probleme des Comics, dass er Sicherheitssysteme mit Sicherheitssystemen vergleicht, und nun ja – sowohl Flugzeuge als auch Aufzüge sind anfällig für böswillige Akteure.
@Morfildur Betreff: „Das würde dazu führen, dass Websites nicht-technischen Wählern einen „Validiere deine Stimme“-Dienst anbieten“ – es ist jetzt technisch möglich, Websites direkt auf einer Blockchain zu hosten, ohne einen Gateway-Dienst verwenden zu müssen. Sie haben wahrscheinlich Recht, dass es betrügerische Websites geben wird, die versuchen, Informationen zu stehlen, aber es ist durchaus möglich, eine leistungsfähige, benutzerfreundliche Website direkt auf der Blockchain zu erstellen. Ich sage nicht, dass Blockchain-Voting eine gute Idee ist, aber diese spezielle Hürde ist kein Thema mehr. Siehe zB mashable.com/article/linkedup-dfinity

Nein, es ist nicht möglich.

Zumindest nicht, ohne mehrere Grundprinzipien der Demokratie zu verletzen oder sie ernsthaft angreifbar zu machen. Dies liegt in erster Linie an dem Problem der Authentizität gegenüber der Anonymität der Wähler. Bedenken Sie:

  • Ein Wähler muss ein Bürger sein (authentisch)
  • Ihre Wahlentscheidungen dürfen nicht bekannt sein, insbesondere nicht in einem öffentlichen Hauptbuch (anonym).
  • Die von ihnen abgegebene Stimme ist nicht manipuliert (Gültig)
  • Ein Wähler sollte nicht nachweisen können, wen er gewählt hat (Bestechung)
  • Eine öffentliche Schlusszählung, damit mehrere Personen das System als Ganzes validieren können.

Ledger-Systeme sollen Gültigkeit garantieren – niemand kann die Zahlen nachkochen – aber beobachten Sie, was passiert, wenn es in diesem Beispiel-Wahlsystem um Authentizität und Anonymität geht :

  1. Ich erstelle ein kryptografisches „Schlüsselpaar“ – einen privaten Schlüssel, den nur ich kenne, und einen öffentlichen Schlüssel, den jeder sehen kann. Die Regierung signiert meinen öffentlichen Schlüssel als Beweis dafür, dass ich ein Bürger bin, der einen privaten Schlüssel der Regierung verwendet .
  2. Ich gebe meine Stimme ab. Ich unterschreibe meine Wahl mit meinem privaten Schlüssel und füge sie zusammen mit der Unterschrift der Regierung dem öffentlichen Hauptbuch hinzu, damit jeder sie sehen kann.

Es hat diese Eigenschaften:

  • Niemand kennt den privaten Schlüssel der Regierung, daher können sie keine nicht authentischen Stimmen abgeben.
  • Niemand sollte meinen privaten Schlüssel kennen, damit er meine Stimme auch nicht manipulieren kann.
  • Die Unterschrift der Regierung bietet Authentizität und es befinden sich keine weiteren Informationen im Hauptbuch, daher ist es auch anonym.
  • Die endgültige Auszählung ist öffentlich, da jeder die Stimmen zusammenzählen kann.

Schön, oder? Nö! Es erzielt tatsächlich 1/5 :

  • Die Regierung kann die Unterschrift verwenden, um mich und meine Stimme zu identifizieren. Schließlich stammt die Unterschrift von ihnen, als sie mich als Bürger verifiziert haben, und sie befindet sich auch direkt dort auf dem Hauptbuch neben meinen Entscheidungen.
  • Die Regierung kann so viele „Bürger“ schaffen, wie sie will, was sowohl die Authentizität als auch die Gültigkeit vollständig untergräbt. Wer ins Hauptbuch schaut, wird nichts bemerken können.
  • Die Überprüfung einer Unterschrift gibt eine kryptografische Garantie dafür, für wen ich genau gestimmt habe; es ist gültig, sicher, aber es eröffnet den Leuten auch einfache Möglichkeiten, mich zu bestechen.

Anonymität steht also im Konflikt mit Authentizität und Validität steht im Widerspruch zu Bestechungsmöglichkeiten. Huch.

Beachten Sie jedoch, dass zwei Signaturen beteiligt sind. Dies kann eine „Vertrauenskette“ zwischen der Regierung und meiner Stimme definieren. Vielleicht würde das Hinzufügen einiger zusätzlicher „Glieder“ in der Kette die Regierung zumindest davon abhalten, sich so stark einzumischen? Leider ist auch dies fehlerhaft - Sie können die Kette unendlich lang machen und eine Entität entlang dieser Kette wird immer in der Lage sein, den Wähler und seine Stimme zu identifizieren. Irgendwann muss Authentizität gegen Anonymität tauschen. Am Tauschpunkt sind sowohl Ihre Stimme als auch Ihre Identität verfügbar.

Warum ist eine öffentliche Endauszählung wichtig?

Zunächst ein kurzer Seitenweg: Wie in der Antwort von Hopelessn00b erwähnt, ist dies möglich, wenn Sie eine geheime Endzählung haben . Das öffentliche Hauptbuch enthält verschlüsselte Daten, die für jeden außer der Regierung ein wenig nutzlos werden. Estlands E-Voting-System hat derzeit eine geheime Endauszählung – es ist kein öffentliches Hauptbuch, aber das Prinzip ist dasselbe. Eine öffentliche Auszählung ist besonders wichtig, wenn, wie in Estland, der endgültige Stimmenzähler ein einzelner Server ist, der sich als aus der Ferne kompromittiert hat . Das bedeutet, dass ihre gesamte Demokratie von einer winzigen Gruppe von Menschen abhängt, die eine Reihe von Anfängerfehlern machen .

Wie wäre es mit einer Art Hybrid? Da können wir doch was gebrauchen ?

Versteh mich hier nicht falsch; So ein System würde ich gerne sehen. Vielleicht kommt eines Tages der Durchbruch. Ein großer digitaler Schub für die Demokratie überall – eine Demokratie, die so persönlich ist, dass sie in unsere Häuser eindringt. Lassen Sie uns die Idee einfach mit einer Mischung aus physischer Abstimmung unterhalten und sehen, was passiert.

Wir müssen also die Verbindung zwischen Authentizität und Anonymität aufheben, und wir können das tun, indem wir den Abstimmungsprozess umdrehen – anstatt Ihre Stimme in einen Zufallsstapel zu legen, heben Sie etwas von einem Zufallsstapel auf. Konkret holen Sie einen vorsignierten Bürgerausweis ab. Als nächstes baust du, um es nutzbar zu machen, eine Vertrauenskette gegenüber anderen Bürgern auf – zum Beispiel könnten deine Eltern deinen neuen Ausweis unterschreiben.

Wir bauen hier Vertrauensketten von Bürgern auf. Es ist jedoch immer noch völlig fehlerhaft - die Regierung kann immer noch so viele falsche Bürger schaffen, wie sie heimlich will, und es wird immer leicht zu bestechen sein, aber zumindest sind mehrere Personen (2 ...) erforderlich, um durchzukommen.

Zusammenfassung

Um Stimmen in einem öffentlichen Hauptbuch aufzulisten, damit jeder sie zählen kann, um die Ergebnisse abzuschließen und zu bestätigen, dass seine Stimme berücksichtigt wurde, müssen wir die geheime Abstimmung aufgeben. Alternativ geben wir die öffentliche Zählung auf, machen damit aber das öffentliche Hauptbuch unbrauchbar. Wir machen uns auch anfällig für gefälschte Bürger, die von der Regierung mit Leichtigkeit geschaffen werden, große digitale Sicherheitsbedrohungen und Verwaltungsfehler aufgrund der Komplexität. Beachten Sie, dass viele davon auch für E-Voting im Allgemeinen gelten.

Es ist dennoch ein interessantes Konzept, aber es kommt nicht annähernd an die Einfachheit und Effektivität von Papier heran.

Natürlich gelten die meisten dieser Einwände für bestehende papierbasierte Systeme, mit der wichtigen Bedingung, dass es teurer ist und mehr Leute involviert, um das System zu kapern.
@origimbo Genau - Briefwahl verletzt die Anonymität, aber zumindest ist es schwieriger, bestochen zu werden, weil sie nicht verifiziert werden können. Das System mit vielen gefälschten Papierstimmzetteln zu überfluten, wäre schwierig, wenn nicht gar offensichtlich, aufgrund der großen Anzahl von beteiligten Personen.
Was passiert, wenn alle Wahlberechtigten wählen müssen? -- aus Diskussionsgründen davon ausgehen, dass dies eine realistische Möglichkeit ist. Könnte das die Sorge um den „Zombiehort“ beseitigen/reduzieren? Meine Intuition sagt nein...
@tolos Interessanter Gedanke; Ich neige dazu, zuzustimmen, dass es es nicht zu sehr reduziert; hauptsächlich auf der Grundlage, dass es große Teile der Bevölkerung gibt, die nicht wählen können (körperlich unfähig usw.) - die Kluft zwischen Bevölkerung und Wählerschaft bietet einen schönen Raum für Zombies, um sich unbemerkt einzufügen!
Ich bin mir bei "Niemand kennt meinen privaten Schlüssel, also können sie meine Stimme auch nicht manipulieren" nicht ganz sicher. Ich muss den privaten Schlüssel meiner Frau nicht kennen. Alles, was ich brauche, ist Zugriff auf das Gerät, das sie verwenden wird.
@MichaelJ. Es ist eine relativ abstrakte Übersicht, aber ich habe sie bearbeitet, um stattdessen zu sagen: "Niemand sollte es wissen" - danke.
Beachten Sie, dass Ihre Kritik für Blockchain-Modelle gilt, die auf einem nicht anonymisierten öffentlichen Ledger-System beruhen. Einige neuere Kryptowährungen wie Monero sind darauf ausgelegt, Transaktionen zu anonymisieren und könnten aufgrund dieser Designüberlegung theoretisch für Abstimmungszwecke angepasst werden.
@HopelessN00b Ich denke, Sie haben es dort vielleicht falsch gelesen - es gilt für alle öffentlichen Hauptbuchsysteme, da die Unterstützung der Hauptbücher für Anonymität nicht unbedingt das ist, worum es hier geht. Vielmehr hängt es eher mit der demokratischen Forderung nach Anonymität zusammen und wie dies nicht mit der Authentizität zusammenarbeitet, wenn die Abstimmungsinformationen öffentlich sind. Als Nebenbemerkung habe ich auch an einem Design für ein öffentliches Hauptbuch in Finanzsystemen gearbeitet.
Ihr Anspruch ist nur gültig, wenn wir davon ausgehen, dass niemandem vertraut werden kann. Es wäre jedoch möglich, so etwas wie ein Schwellenverschlüsselungsschema zu verwenden, das Gültigkeit + Anonymität garantiert, sofern nicht mehr als kEntitäten beschädigt werden (und Sie können kso groß wählen, wie Sie möchten ...).
@LukeBriggs Ringsignatur-Kryptographie. ( Monero .)
Könnte die Zulassung einer Anzahl von Eintrittskarten für jeden Landkreis/Bezirk auf der Grundlage von Volkszählungsdaten und Informationen zur Wählerregistrierung die Regierung daran hindern, „falsche Bürger“ zu schaffen?
@RedOculus Ich denke, das würde nur funktionieren, wenn es überall eine hohe Wahlbeteiligung gäbe - es gibt immer große Teile der Bevölkerung, die sich einfach nicht die Mühe machen, abzustimmen, was einen schönen großen Spielraum für falsche Wähler ergibt. Zum Beispiel würde eine Wahlbeteiligung von 1 % bei den US-Wahlen – wahrscheinlich genug, um das Ergebnis umzukehren – eine Wahlbeteiligung von 55 % als 56-57 % erscheinen lassen.

Die Sicherheitsprobleme bei der elektronischen Stimmabgabe sind völlig anders als alle anderen Sicherheitsprobleme.

Sie müssen sicherstellen, dass jede gültige Stimme korrekt aufgezeichnet und zur Gesamtzahl des Kandidaten, für den sie abgegeben wurde, addiert wurde, aber gleichzeitig verhindern, dass jeder Wähler einem Dritten nachweisen kann, auf welche Weise er abgestimmt hat. Diese beiden sind grundsätzlich gegensätzlich, denn wenn der Wähler überprüfen kann, ob seine Stimme korrekt im Stimmzettel eingetragen ist, dann kann er das auch vor einem Dritten tun, der ihn dann entweder bezahlen oder entsprechend verprügeln kann.

Blockchain und seine Verwandten tun nichts, um dieses grundlegende Problem zu lösen. Es ist möglich, dass etwas mit homomorpher Verschlüsselung gemacht wird (dh bestimmte Berechnungen für einen Stimmenblock durchführen können, ohne ihn zu entschlüsseln), aber ich bin kein Kryptograf genug, um das zu kommentieren.

Papierwahlzettel im Vereinigten Königreich lösen dieses Problem, indem jeder Stimmzettel mit einer Nummer versehen wird, die dann neben dem Namen des Wählers auch auf Papier notiert wird. Theoretisch könnten Sie einen Stapel Stimmzettel durchsehen und die Stimmzettelnummer einem Wähler zuordnen. In der Praxis erfordert dies einen physischen Zugang zu den Stimmzetteln, und dies für alle Stimmzettel wäre ein umfangreicher Vorgang, der viel Personal erfordert. Das ist also leicht zu verhindern, erlaubt aber stichprobenartige Kontrollen bei Vorwürfen von weitverbreitetem Stimmzettel-Stuffing.

Betr.: Jede Stimme wird gezählt / 2. Absatz. Ich bin mir nicht sicher, ob Sie wirklich das richtige Problem hervorheben. Es ist üblich, das Internet nutzen zu können, um den Status von (zB) Wahlkarten zu überprüfen, ohne Informationen darüber zu erhalten, welche Stimmen bei dieser Wahl abgegeben wurden.
@BurnsBA Ja, Sie können überprüfen, ob sich Ihr Stimmzettel in einer Datenbank befindet, aber das gibt keine Gewissheit, dass er korrekt in die gemeldeten Gesamtzahlen aufgenommen wurde. Dafür müssen Sie dem Zählsystem vertrauen (das ziemlich robust ist, um es mal so zu sagen). Es schützt auch nicht vor Ballot Stuffing.
Ich denke, es gibt nur eine Sprachverwirrung. Es klingt so, als beziehe sich „Sie müssen versichern, dass jede legale Stimme gezählt wurde“ nicht auf die Stimmenauszählung, sondern bedeutet tatsächlich „Sie müssen einer Person eine Möglichkeit bieten, zu überprüfen, ob das, was offiziell aufgezeichnet wurde, dasselbe ist wie wie sie gewählt haben."
@BurnsBA Ja, das meinte ich. Ich werde die Antwort korrigieren.

Der gesamte Bereich der elektronischen Stimmabgabe ist im Allgemeinen eher dubios. Viele Orte übertreffen die US-Stimmenauszählungsgeschwindigkeit mit Papierstimmzetteln und ohne die zusätzliche Besorgnis, ob berechtigt oder nur wahrgenommen, über Hacking, das bei der elektronischen Stimmabgabe auftritt. Umso mehr, als Softwareanbieter in den USA in diesem Bereich normalerweise nicht für ihre Transparenz und ihren Sicherheitsfokus bekannt sind.

Bei einigen der Kernthemen dieser Wahl, wie etwa der Unterdrückung von Wählern, geht es weniger um blitzschnelle Technologie um ihrer selbst willen als vielmehr um eine Rechtsreform mit gesundem Menschenverstand, die es den Wahlberechtigten ermöglicht, zu wählen. Zum Beispiel Regeln, die es lokalen Politikern verbieten, den Prozess aus parteiischen Gründen zu manipulieren.

Dennoch möchte ich „Blockchain“ besonders hervorheben. Das ist sicher eine interessante neue Technologie. Aber es wird auch oft als Lösung auf der Suche nach einem Problem wahrgenommen. Seine einzige große „Erfolgsgeschichte“ war bisher Bitcoin und seitdem ist Blockchain der Liebling der Investorengemeinschaft und zum IT-Buzzword du Jour geworden. Seine Ausfallrate ist auch zum Gegenstand vieler Witze geworden, bis zu dem Punkt, an dem "aber ... aber ... Blockchain!" ist ein laufender Witz für einen Großteil der IT-Community.

Allenfalls wäre ich skeptisch, solchen Schlamassel mit E-Voting zu beheben. Aber speziell bin ich doppelt skeptisch, wenn es darum geht, „Blockchain-Welpenstaub“ auf jedes Problem zu streuen, es sei denn, es gibt einen sehr klaren Grund dafür. Ein paar lautstarke Aktivisten, die darüber schwatzen, vertreten dies nicht.

Wenn ich mir den Betrug, die Energieverschwendung, die kriminellen Aktivitäten und den allgemeinen Mangel an Transparenz über den Hauptanwendungsfall Blockchain-Währungen anschaue, würde ich argumentieren, dass dies genau die Art von Technologie ist, die ich nicht mit einer 30-Fuß-Stange zur Abstimmung anfassen würde.

Selbst wenn Sie davon ausgehen, dass mein Hinweis auf Fehler in einem Bereich, den Währungen, sich nicht auf einen anderen Bereich, die Abstimmung, überträgt, bleiben Sie immer noch mit einem Problem der öffentlichen Wahrnehmung zurück. Würde die Öffentlichkeit einer Technologie in einem kritischen Bereich, der Abstimmung, vertrauen, die in einem anderen mit Betrug in Verbindung gebracht wird? Wieso den? Und wie wir gerade sehen, ist die Wahrnehmung ein wichtiger Aspekt von Wahlsystemen – das derzeitige US-amerikanische ist einigermaßen sicher und transparent, aber das hinterlässt immer noch ein Vertrauensdefizit.

Die Rückverfolgbarkeit auf individueller Stimmabgabeebene ist im Grunde ein nutzloses Feature.

Der Grund, aus dem Sie prüfen möchten, ob eine Stimme richtig aufgezeichnet wurde, besteht darin, festzustellen, ob eine Stimmensumme korrekt ist. Aber wenn nur Einzelpersonen nachvollziehen können, wie ihre Stimme berechnet wurde, dann, wenn nicht alle auf die Geheimhaltung verzichtet haben, um nachzuvollziehen, wie ihre Stimme aufgezeichnet wurde, und dann kooperieren, um die Ergebnisse gemeinsam zu teilen, ist die Rückverfolgung einer oder sogar eines erheblichen Anteils der abgegebenen Stimmen nicht aussagekräftig Sie, wenn die Summe korrekt ist.

Dies gilt insbesondere, wenn man bedenkt, dass die Rückverfolgbarkeit eine Funktion ist, die mehr oder weniger ausschließlich dazu dient, vorsätzliche oder systematische Fehlzählungen von abgegebenen Stimmen zu bekämpfen, eine Art Betrug, der leicht zwischen die Aufzeichnung einzelner Stimmen und die tabellarische Erfassung eingreifen kann der Gesamtzahl der Stimmen, oder indem man falsche Stimmen in die Aufstellung einfügt.

Die Technologie der alten Schule, eine Auswahl auf Papier zu markieren und in eine sichere Box zu werfen und dann die Zettel in der sicheren Box zu prüfen, ist ein weitaus zuverlässigerer und weitaus kostengünstigerer Weg, um Gewissheit über das Ergebnis zu erzielen.

Die Rückverfolgbarkeit könnte eine Möglichkeit sein, bestimmte abgegebene Stimmzettel rückgängig zu machen, von denen festgestellt wird, dass sie von nicht berechtigten Wählern abgegeben wurden, nachdem sie in einen aggregierten Stimmenpool aufgenommen wurden, was mit einem Stück Papier, das in eine sichere Box-Methode geworfen wird, nicht möglich ist . Aber historisch gesehen beträgt die Anzahl der Wettbewerbe dieser Art für einen ganzen Staat bei einer bestimmten Wahl Dutzende oder weniger, und die Anzahl der Wahlen, die so knapp ausfallen, ist tatsächlich gering.

Viele Staaten, wie z. B. Colorado, stellen einen Tracking-Code bereit, der demjenigen ähnelt, der zum Verfolgen von Briefen und Paketen in Post- oder Kuriersystemen verwendet wird, mit dem ein Wähler bestätigen kann, ob eine an einen Wahlverwalter gesendete Stimme tatsächlich erhalten wurde, ohne jedoch Informationen darüber anzuhängen was der Stimmzettel gesagt hat.

Dies ist nützlicher, da es einem Wähler, der den Verdacht hegt, dass seine Stimme nicht abgegeben wurde, ermöglicht, einzugreifen und eine Ersatzstimme abzugeben, wenn beispielsweise der Postwagen, der seine Stimmzettel ausliefert, in einen Unfall gerät und die Stimmzettel im Inneren im Hollywood-Stil zerstört Explosion (etwas Ähnliches geschah mit etwa 150 Stimmzetteln, die in diesem Jahr von einem psychisch kranken Mann in Boston absichtlich in einer einzigen Kiste zerstört wurden). Dies ist ein viel niedrigeres Tech-System, das einen viel größeren Nutzen bietet.

Einfach ausgedrückt gibt es fast keinen Umstand, in dem die Blockchain-Technologie die Wahlsicherheit erheblich verbessert.

Möglicherweise

Es hängt alles vom Protokoll ab. Die Antwort von Luke Briggs gibt die Anforderungen für ein solches Protokoll hervorragend an und zeigt ein Protokoll, das nicht funktionieren würde. Die Frage ist, ob es ein Protokoll gibt, das die Anforderungen erfüllen könnte.

Ich glaube nicht, dass einer gefunden wurde, aber man kann ziemlich nahe kommen, indem man einen Umweg hinzufügt. Unten ist ein Protokoll, das ich mir gerade ausgedacht habe (ich bezweifle, dass es originell ist), das ziemlich nahe kommt, aber auf einer Stufe fehlschlägt. Kann dieser Fehler geschlossen werden? Ich bin mir nicht sicher, aber man kann mit Kryptografie sehr interessante Dinge tun, wie z. B. Zero-Knowledge-Proofs , also bin ich hoffnungsvoll.

Beispielprotokoll

Jeder registrierte Wähler hat ein privates/öffentliches Schlüsselpaar (nur er kennt den privaten Schlüssel), ebenso wie die Regierung.

Für jede Stimme generiert der Wähler ein privates/öffentliches Schlüsselpaar und sendet den generierten öffentlichen Schlüssel an die Regierung, die mit seinem persönlichen privaten Schlüssel signiert ist (sie senden auch ihren persönlichen öffentlichen Schlüssel). Sie verschlüsseln die Nachricht mit dem öffentlichen Schlüssel der Regierung.

Die Regierung entschlüsselt die Nachricht, verifiziert die Signatur und überprüft, ob die Person zuvor keinen Schlüssel für diese Wahl gesendet hat. Er tut dies, indem er eine Liste der persönlichen öffentlichen Schlüssel des registrierten Wählers mit einem booleschen Flag führt, das er umdreht, wenn er einen verifizierten Schlüssel erhalten hat.

Die Regierung veröffentlicht dann den generierten Schlüssel in einem von der Regierung unterzeichneten öffentlichen Blockchain-Ledger. Der veröffentlichte Schlüssel kann Metdaten enthalten, z. B. Staat, Landkreis, um bei Statistiken zu helfen, fragwürdige Über-/Unterabstimmungen usw. Beachten Sie, dass die Regierung die Beziehung zwischen den persönlichen und generierten Schlüsseln nicht speichert oder veröffentlicht.

Sobald der generierte öffentliche Schlüssel veröffentlicht ist, stimmt der Wähler ab, indem er einen Eintrag in einem öffentlichen Hauptbuch mit der Stimme und dem generierten öffentlichen Schlüssel erstellt, die beide mit dem generierten privaten Schlüssel signiert sind.

Die Stimmen können dann von jedermann überprüft werden, indem a) bestätigt wird, dass die Stimme tatsächlich mit dem entsprechenden Schlüssel unterzeichnet wurde und b) dass noch niemand mit diesem Schlüssel abgestimmt hat.

Nach der Validierung wirft der Wähler dann seinen generierten privaten Schlüssel weg.

Vorteile dieses Systems:

  1. Nur registrierte Wähler können wählen und nur einmal
  2. Der Abstimmungsteil des Programms ist vollständig öffentlich und öffentlich überprüfbar
  3. Der Abstimmungsteil kann nicht auf einen einzelnen Wähler zurückgeführt werden
  4. Es ist öffentlich, wie viele Wähler wählen werden

Nachteile:

  1. Eine skrupellose Regierung kann die Beziehung zwischen dem Wähler und seiner Stimme kennen, indem sie die Beziehung zwischen dem persönlichen und dem generierten öffentlichen Schlüssel speichert.
  2. Eine skrupellose Regierung kann „Wähler schaffen“, indem sie generierte Schlüssel hinzufügt, die nicht an Wähler gebunden sind, und mit ihnen abstimmt. Dies kann mit Metadaten wie beschrieben oder durch das Veröffentlichen der (Wähler-, Flaggen-)Liste, die andere Probleme aufweist, gemildert werden.
Leider ist dies der „Chain of Trust“-Ansatz (oder zumindest scheint es so zu sein!), bei dem Sie Gov – Person – Vote haben. Wenn die Regierung etwas speichern kann, gehen Sie im Allgemeinen davon aus, dass sie es wahrscheinlich tun wird. Der schwierige Teil ist, dass die Regierung auf die Schaltfläche „Zombiehort generieren“ klicken und so viele unterzeichnete „Bürger“ erstellen kann, wie sie möchten – das ist auch hier noch möglich.
@LukeBriggs Ich verstehe die Behauptung "Zombiehort generieren" nicht, denn nach dem, was ich aus beiden Antworten verstanden habe, könnten Sie einfach vorschreiben, dass jedes Schlüsselpaar mit einer bestimmten Person in den Umfragelisten verknüpft sein muss, um "Zombies" leicht zu erkennen. . Die fehlende Anonymität ist jedenfalls kein "Nachteil", sondern ein fataler Fehler, weil sie ein Grundprinzip negiert, das die freie Stimmabgabe der Wähler gewährleistet.
@Luke Briggs Ich stimme Ihnen im ersten Teil zu und erwähne dies als Haupteinschränkung. Weniger im zweiten Teil. Wenn die Schlüssel veröffentlicht werden, insbesondere wenn sie mit einigen Metadaten veröffentlicht werden, wird es schwieriger sein, Probleme mit der Bruttoanzahl zu verbergen, viel mehr als heute.
@ SJuan76 Das Problem "Zombiehort" tritt auf, wenn Sie eine Stimme nicht unabhängig direkt an eine Person binden können, was Sie in meinem Schema (absichtlich) nicht können. So könnte eine skrupellose Regierung einen Schlüsselbund generieren und damit abstimmen. In Lukes Schema ist dies viel schwieriger, da Sie die Stimme direkt an den Wähler binden können (also müssten sie das Wählerverzeichnis fälschen), aber es bedeutet, dass jeder weiß, für wen Sie gestimmt haben.
@SJuan76-Schlüsselpaare sind einfach zu erstellen, sodass das Erstellen vieler digitaler Bürger (wie Estland) und das anschließende Abstimmen mit ihnen einfach und schnell ist. Die Abstimmungen sind in der Regel so eng, dass es nur relativ wenige braucht, um sie zu schwingen. Ähnlich wie bei Alex' Anmerkung helfen Metadaten - dh eine tatsächliche Person so weit wie möglich öffentlich zu identifizieren -, aber sie geraten sehr nahe an die Verletzung der Anonymität (dh wo ist die Grenze), weil es einfach so einfach ist, die öffentlichen Daten in Beziehung zu setzen.
Ich habe das "Zombiehort"-Problem als Nachteil hinzugefügt. Ich erwähne auch eine "Lösung", die darin besteht, die Liste der Wähler zu veröffentlichen und ob sie einen veröffentlichten Schlüssel haben. Das würde den Hort verhindern, aber der Welt zeigen, wer gewählt/nicht gewählt hat (obwohl die Öffentlichkeit die Wähler nicht auf Stimmen zurückführen kann). Ob Sie die Veröffentlichung der Stimmberechtigten für akzeptabel halten, ist natürlich eine andere Frage.
Solange wir über Zombies sprechen, lohnt es sich wahrscheinlich, pedantisch zu sein und von einer Zombiehorde zu sprechen .
Dieses Szenario ist ebenfalls anfällig für Bestechung, da der Wähler seinen privaten Schlüssel behalten und an andere weitergeben kann, um seine Stimme im öffentlichen Hauptbuch zu bestätigen. Oder gezwungen werden, es zu behalten, es vor der Abstimmung abzugeben usw.

Zusätzlich zu den obigen Antworten können Blockchain und öffentliche Bücher mit Mail-In-Voting kombiniert werden, um ein besseres Mail-In-Voting-System zu schaffen. Der USPS reicht ein Patent für ein Blockchain-System ein, das bei der Briefwahl helfen könnte, um mehr Sicherheit zu bieten und die Zählung dieser Stimmen zu erleichtern. Gemäß dem Patent selbst funktioniert das System, wenn „ein registrierter Wähler einen computerlesbaren Code per Post erhält und seine Identität bestätigt und die korrekten Stimmzettelinformationen bei einer Wahl bestätigt. Das System trennt die Wähleridentifikation und die Stimmen, um die Anonymität der Stimmen zu gewährleisten, und speichert die Stimmen in einem verteilten Hauptbuch in einer Blockchain.“

Bild für USPS-Patent für Blockchain-Abstimmung

Das ist eine großartige Einstellung – E-Mail bei Abstimmungen wird in Bezug auf die Anonymität immer fehlerhaft sein, also könnte man in der Zwischenzeit genauso gut Technologie einsetzen, um ihre Transparenz zu verbessern.

Nicht in den USA, da dort von Natur aus ein Wählerausweis erforderlich ist.

In den modernen USA ist die Wähleridentifikation ein politisiertes Thema, das Gegenstand aktiver Debatten ist, wobei eine Partei vehement dagegen ist, da sie es als eine Form der Unterdrückung von Wählern betrachtet, und die andere Partei sich dafür einsetzt, um den Wahlbetrug zu reduzieren .

Infolgedessen ist ein System, bei dem alle Wähler einen ausgefallenen elektronischen Ausweis besitzen müssen, im Grunde ein Nichtstarter.

Da die Frage nicht als US-spezifisch gekennzeichnet ist, ist diese Antwort irrelevant. Die meisten Länder der Welt, mit Ausnahme von Großbritannien und einigen seiner ehemaligen Kolonien, verlangen eine Art Ausweis für die Stimmabgabe.
@Gnidiff Ok bearbeiteter Beitrag. Besser?

Blockchains oder Public Ledger sind (vielleicht) die halbe Lösung. Blockchains sind eine Technologie , und Technologie allein kann soziale Probleme nicht lösen, genauso wenig wie Baumaschinen allein eine Stadt bauen können. Das implizite soziale Problem des Franchise ist die Spannung zwischen Rechenschaftspflicht und Geheimhaltung, und obwohl Blockchains dazu beitragen, die Geheimhaltung zu gewährleisten, sind sie nicht besonders gut darin, die Rechenschaftspflicht zu gewährleisten.

Geheimhaltung ist ein wesentlicher Bestandteil des Wahlrechts, um Einschüchterung oder Vergeltung gegen Bürger wegen ihrer Wahlentscheidungen zu verhindern. Im Gegensatz zu einigen der anderen gegebenen Antworten wären Blockchains sehr effektiv, um dies bereitzustellen. Ja, es gibt einen nachvollziehbaren Weg zurück zum wahlberechtigten Bürger, solange man kryptografische Details sichern kann, und das könnte grundsätzlich zu Belästigungen, Drohungen oder Strafmaßnahmen führen. Aber in der Praxis ist diese Art der Einschüchterung nicht skalierbar. Die Einschüchterung von Wählern ist nur dann sinnvoll, wenn Wähler in großer Zahl aus einer Position relativer Anonymität eingeschüchtert werden können: z. oder wenn unbekannte Gruppen Flyer in Minderheitenvierteln aufhängen und vor nicht näher bezeichneten Angriffen warnen, wenn diese Menschen zur Wahl gehen (beides ist oder war übrigens gängige Praxis). Blockchains würden jedoch garantieren, dass sich potenzielle Einschüchterer direkt an einzelne Bürger wenden müssten (um Zugang zu ihren kryptografischen Informationen zu erhalten), was das Risiko einer öffentlichen Bloßstellung dramatisch erhöht und gleichzeitig den „Fußabdruck“ ihrer Einschüchterungsbemühungen verringert. Einfacher ausgedrückt ist es einfach, sich einen Chef vorzustellen, der (durch einen beiläufigen Kommentar) bekannt gibt, dass er alle Mitarbeiter sehen wird, die für das Unternehmen stimmen Blockchains würden jedoch garantieren, dass sich potenzielle Einschüchterer direkt an einzelne Bürger wenden müssten (um Zugang zu ihren kryptografischen Informationen zu erhalten), was das Risiko einer öffentlichen Bloßstellung dramatisch erhöht und gleichzeitig den „Fußabdruck“ ihrer Einschüchterungsbemühungen verringert. Einfacher ausgedrückt ist es einfach, sich einen Chef vorzustellen, der (durch einen beiläufigen Kommentar) bekannt gibt, dass er alle Mitarbeiter sehen wird, die für das Unternehmen stimmen Blockchains würden jedoch garantieren, dass sich potenzielle Einschüchterer direkt an einzelne Bürger wenden müssten (um Zugang zu ihren kryptografischen Informationen zu erhalten), was das Risiko einer öffentlichen Bloßstellung dramatisch erhöht und gleichzeitig den „Fußabdruck“ ihrer Einschüchterungsbemühungen verringert. Einfacher ausgedrückt ist es einfach, sich einen Chef vorzustellen, der (durch einen beiläufigen Kommentar) bekannt gibt, dass er alle Mitarbeiter sehen wird, die für das Unternehmen stimmenandere Kerl ungünstig, aber es ist lächerlich, sich vorzustellen, dass politische Agenten zur Tür gehen, um die Wähler einen nach dem anderen einzuschüchtern.

Das Problem der Rechenschaftspflicht ist schwieriger zu lösen. Ja, ein Wähler kann angeblich seine kryptografisch gesicherten Informationen verwenden, um zu überprüfen, ob seine eigene Stimme richtig aufgezeichnet wurde, aber diese Technologie eröffnet die Möglichkeit einer doppelten Abrechnung: z. und eine andere Liste, die zur Erstellung von Gesamtsummen verwendet wird, in der die Stimmen einiger Bürger unterschiedlich erfasst werden. Dies ist mit Low-Tech-Papierwahlstimmen äußerst schwierig, da eine große Anzahl von Personen, die an der Auszählung beteiligt sind, an der Tat mitschuldig sein müssten. Aber die Digitalisierung und Verschlüsselung der Wahlinformationen bringt immer mehr Informationen in die Hände von immer weniger Menschen: Es schränkt die Rechenschaftspflicht ein und erhöht das Potenzial für Fehlverhalten.

Das Verantwortlichkeitsproblem könnte durch ein klassisches Check-and-Balance-System gelöst werden. In einem solchen System würden die verschlüsselten Abstimmungsdaten nicht zu einer zentralen Stelle gehen, um gezählt zu werden. Stattdessen würde jede politische Partei – sowie interessierte Organisationen wie Zeitungen – einen eigenen Klon der zentralen Abstimmungsdaten erhalten. Jegliche Diskrepanzen in der Stimmenauszählung zwischen diesen Interessen könnten auf einzelne Stimmzettel zurückgeführt werden, die Unterschiede zwischen den Klonen der Daten aufweisen, und einzelne Wähler könnten mehrere Quellen überprüfen, um sicherzustellen, dass ihre Stimme nicht von der einen oder anderen Gruppe entführt wurde. Je mehr Gruppen die Stimmlisten verteilen, desto unwahrscheinlicher ist es, dass eine Gruppe die Stimmzettel zu ihrem eigenen Vorteil manipulieren kann.

Haben Sie eine Referenz für die Behauptung der „doppelten Buchführung“ ? Ich bin kein Experte für Blockchain, aber es scheint mir, dass das gesamte Verkaufsargument die Überprüfbarkeit ist.
@JJJ: Ich bin auch kein Experte für Blockchain. Aber ich weiß, dass die Schwäche technischer Systeme technologische Angriffe sind. Wenn es sich nicht um diese (zugegebenermaßen) vereinfachte doppelte Buchführung handelt, können wir verdammt sicher sein, dass viele, viele Leute nach Schlupflöchern, Hintertüren und Schachzügen suchen werden, die sie ausnutzen können. Die einzige Lösung für diesen Unsinn besteht darin, das System selbst transparent und verteilt zu machen, sodass alle Betrüger einander angezeigt werden . Nichts hält einen Dieb so effektiv auf wie andere Diebe nach dem gleichen Preis. Wenn Sie das für zynisch halten, geben Sie Madison die Schuld...

Es ist möglich, sowohl den Datenschutz als auch die Rückverfolgbarkeit der Wähler zu gewährleisten. Hier ist nur ein akademischer Artikel (unter vielen), der beschreibt, wie Sie Bisimulation und Graphentheorie verwenden können, um die Korrektheit der Datenschutzeigenschaften von elektronischen Abstimmungsprotokollen mathematisch zu beweisen .

Die Kryptographie hinter den Kulissen ist ziemlich komplex. Die Protokolle können eine plausible Leugnung liefern. Es ist nicht dezentralisiert, die Wähler benötigen einen speziellen Token (z. B. eine elektronische Karte oder ähnliches), der von einer zentralen Behörde ausgegeben wird (von der wir annehmen, dass Sie ihr vertrauen können).

Außerdem geht das Protokoll von der Verwendung von Wahlkabinen aus, sodass es keine Fernabstimmung gibt. Die eigentliche Stimmabgabe erfolgt sicher und vor böswilligen Blicken verborgen.

Wenn die Wahl abgeschlossen ist, werden alle Stimmen und Protokollnachrichten veröffentlicht, nicht nur die Auszählung. Jeder Wähler kann dann überprüfen, ob seine Stimme vorhanden und richtig ist. Sie können mit ihrem Token nachweisen, ob es fehlt oder falsch ist.

(Im Moment habe ich keine Zeit für eine ausführlichere Antwort. Ich schlage vor, Sie werfen vorerst einen Blick in den Link-Artikel für die Details).

Aus Neugier, was ist der Vorteil einer solchen digitalen Lösung, wenn Sie es immer noch persönlich in einer Wahlkabine tun müssen?
@KevinWells 1. Sofortige Ergebnisse, unabhängig von der Komplexität des Stimmzettels. 2. nachweisbares Zählen; Jeder kann die Zählung selbst durchführen.
Datenschutz ist nicht genug. Die Rückverfolgbarkeit an sich untergräbt das Wahlgeheimnis und ermöglicht Nötigung und Stimmenkauf gemäß akzeptierter Antwort.
Ich schätze, dass Sie keine Zeit für eine ausführlichere Antwort haben, aber so wie es aussieht, fehlen zu viele wichtige Details, um zu klären, wie es sowohl Datenschutz als auch Rückverfolgbarkeit hat.

Ja.

Zunächst einmal gibt es in der einfachsten Implementierung keinen Grund, warum selbst ein öffentliches Hauptbuchsystem nicht geeignet wäre, Papierstimmzettel oder aktuelle E-Voting-Systeme zu ersetzen. Der allgemeine Abstimmungsablauf bei gegenwärtigen Systemen beinhaltet, dass ein Wähler zu einem Wahllokal erscheint, die Beamten am Wahllokal ihre Berechtigung zur Stimmabgabe überprüfen und dann dem Wähler erlaubt wird, seine Stimme auf einem Stimmzettel oder einem Computer-Wahlsystem abzugeben. Papierwahlzettel und/oder die Verwendung von E-Voting-Maschinen könnten in diesem Szenario leicht durch eine Blockchain-Adresse mit einmaliger Verwendung ersetzt werden, und eine Person wäre nicht einfacher mit ihrer Stimme verknüpft als unter dem aktuellen System. Anstatt einen Papierstimmzettel aufzuheben, den Sie in ein mechanisches Wahlgerät einführen, könnten Sie eine Smartcard aufheben, die Sie in ein Blockchain-verbundenes Wahlgerät einführen.

Außerdem sind nicht alle Blockchains gleich oder sogar ähnlich.

Die ältesten und derzeit beliebtesten Kryptowährungen (wie BitCoin) verwenden ein relativ einfaches Blockchain-Design, das im Wesentlichen ein öffentliches Hauptbuch ist. Die Selbstantwort auf diese Frage erklärt gut, warum diese Art von System für die Stimmabgabe bei Wahlen problematisch ist, aber dies ist nicht die einzige Art von Blockchain, die es gibt.

Zum Beispiel verwendet Etherium ein etwas anderes Modell, das Abstimmungen und bestimmte Arten der Vertragsdurchsetzung ermöglicht, und wird tatsächlich von der ukrainischen Regierung für bestimmte Arten von Wahlen und Abstimmungen getestet .

Es gibt auch Kryptowährungen, die Blockchain-Technologien verwenden und anonyme Transaktionen bieten, wobei Monero das beste Beispiel ist .

Die Verwendung einer auf Ringsignatur-Kryptografie basierenden Blockchain könnte es theoretisch ermöglichen, eine wiederverwendbare Abstimmungs-Blockchain-Adresse zu haben, die authentifiziert werden könnte, wobei die Transaktionen/Stimmen anonym, aber auch überprüfbar sind und alle grundlegenden Anforderungen von a Abstimmungssystem, und wir wissen, dass es möglich ist, Abstimmungsmechanismen in eine Blockchain aufzunehmen, weil Etherium dies tut. Wir sind weit davon entfernt, so etwas tatsächlich in der Praxis zu sehen, aber es ist zumindest theoretisch möglich.

Es gibt tatsächlich große Mängel bei dieser Art von Setup - die gesamte umgebende Infrastruktur ist extrem anfällig (zum Beispiel ein Wahlgerät, das nicht wirklich tut, was seine Schnittstelle sagt). Auch die abschließende Zählung ist nur im Geheimen möglich, was letztlich die zusätzliche Komplexität untergräbt.
@LukeBriggs Das ist ein Problem mit analogen Abstimmungssystemen und auch mit den aktuellen Implementierungen digitaler Abstimmungen, daher sehe ich nicht, warum es für die Diskussion über die Verwendung von Blockchains für Abstimmungen relevant ist. Die Frage, die Sie gestellt haben, ist nicht, ob Blockchains eine Wunderwaffe sind, um perfekte Abstimmungssysteme zu ermöglichen, sondern ob sie für öffentliche Abstimmungen verwendet werden können oder nicht. Sie können (und sind es sogar).
E-Voting ist jedoch viel anfälliger, einfach weil eine kleine Softwareänderung weit verbreitet sein kann. Derzeit werden sie jedoch nicht für öffentliche Abstimmungen verwendet. recherchiert ja - e-vox ist im Wesentlichen ein intelligentes Vertragssystem, das derzeit keine Lösung für eine breitere allgemeine Wahl zu haben scheint . Die Kammerabstimmung hat natürlich ganz andere Anforderungen.
@LukeBriggs Ich bin mir dessen bewusst. Diese Schwachstellen (und die Kosten eines öffentlichen Fernabstimmungssystems) sind Antworten auf die Frage, warum noch niemand ein solches System gebaut hat, aber keine Antworten auf die von Ihnen gestellte Frage, ob es möglich ist, ein solches System zu bauen oder nicht unter Verwendung von Blockchain- oder Public-Ledger-Technologien.
Sehr richtig; Ich würde immer noch argumentieren, dass es "ohne Verletzung von Grundlagen nicht möglich ist", jedoch auf der Grundlage der geheimen Endzählung; Ich werde meine Antwort aktualisieren, um darauf einzugehen.

tl;dr Ja, Sie können mit Krypto im Grunde alles bekommen, was Sie wollen. Krypto kann sowohl den Datenschutz (durch das Verbergen von Informationen) als auch die Öffentlichkeit (durch die Bereitstellung überprüfbarer Wahrheitsaussagen, die von Dritten zuverlässig überprüft werden können) ermöglichen. Möglicherweise muss noch etwas Social-Engineering-Arbeit geleistet werden, aber die Technologie wäre relativ einfach.

Krypto-Konzepte.

Das wichtigste Arbeitstier ist ein asymmetrisches Schlüsselpaar , das aus zwei Teilen besteht:

  1. ein öffentlicher Schlüssel , der im Grunde eine neue Identität (wie eine E-Mail-Adresse oder Telefonnummer) ist, die Sie kontrollieren;

  2. einen privaten Schlüssel , der wie Ihr geheimes Passwort für den öffentlichen Schlüssel ist.

Menschen können ihre öffentlichen Schlüssel veröffentlichen, damit jeder auf der Welt sie sehen kann, aber private Schlüssel sollten niemals geteilt werden.

Dies ermöglicht eine Menge cooler Sachen:

  1. Jeder kann eine Nachricht in Ihrem öffentlichen Schlüssel verschlüsseln (vorausgesetzt, er kennt ihn), aber nur Sie können die Nachricht entschlüsseln.

  2. Sie können Ihre Identität nachweisen, indem Sie Ihre Fähigkeit demonstrieren, zufällige Daten zu entschlüsseln.

  3. Sie können Daten elektronisch signieren, indem Sie Ihren privaten Schlüssel zum Generieren der Signatur verwenden. Personen mit Ihrem öffentlichen Schlüssel können überprüfen, ob eine Signatur mit dem von Ihnen signierten Ding übereinstimmt, was beweist, dass Sie es signiert haben.

Sobald wir diese grundlegenden Tricks haben, können wir tolle Sachen damit machen.

In groben Zügen:

  1. Alles hat sein eigenes asymmetrisches Schlüsselpaar. Beispielsweise sollte jeder Wähler, jede Wahlmaschine, jeder Wahlhelfer usw. mindestens ein Schlüsselpaar haben.

  2. Wenn Sie so etwas wie Ihre Stimme abgeben, erhalten Sie immer eine Quittung und überprüfen sofort, ob die Quittung korrekt ist.

    • Eine korrekte Quittung kann verwendet werden, um zu beweisen, dass die andere Partei den Inhalt der Quittung gesehen und mit ihrem privaten Schlüssel signiert hat.

    • Eine falsche Quittung ist nutzlos. Wenn Sie eine von einem Wahlgerät erhalten, verhalten Sie sich im Grunde genauso, als ob das Wahlgerät Ihnen eine Out-of-Order-Fehlermeldung gegeben hätte.

  3. Verwenden Sie Redundanz, um sich vor konspirativem Betrug zu schützen. Zum Beispiel sollten die Stimmen alle elektronisch mit der US-Regierung, der Republikanischen Partei, der Demokratischen Partei und wem auch immer geteilt werden – jeder kann seine eigene Auszählung durchführen (superschnell und einfach, da es elektronisch ist), und jeder sollte ankommen zum exakt gleichen Ergebnis ohne Fehler. Wenn jemand anderer Meinung ist, kann jeder unterschriebene Quittungen vorzeigen, um die Wahrheit zu beweisen; Lügen werden leicht und nachweisbar entlarvt.

  4. Verwenden Sie kettensignierte Zertifikate, um untergeordnete Identitäten herzustellen. Zum Beispiel muss ein offizielles US-Wahlgerät beweisen, dass es offiziell ist, aber es sollte nicht den wichtigsten privaten Schlüssel der USA haben (da dies eine enorme Sicherheitsbelastung darstellen würde). Stattdessen sollte das Wahlgerät seinen eigenen privaten Schlüssel haben, und dann unterschreiben die USA eine Quittung mit dem offiziellen privaten Schlüssel, der besagt, dass das Wahlgerät legitim ist. Dann kann das Wahlgerät beweisen, dass es legitim ist, indem es den Leuten die amtlich unterschriebene Quittung zeigt, die dies bestätigt.

  5. Die Implementierung muss automatisiert, Open Source und überprüfbar sein.

    • Die Automatisierung hält all dies einfach und benutzerfreundlich. Ähnlich wie Computer komplex sind, aber die meisten Leute müssen nicht wissen, wie sie funktionieren, um Netflix zu sehen.

    • Open-Source und überprüfbar, damit Menschen vertrauenswürdige Experten Dinge für sie überprüfen lassen können. Zum Beispiel würden sich US-Republikaner wahrscheinlich sicherer fühlen, wenn die republikanische Partei unabhängig überprüfen würde, ob ihre Wahlberechtigung gut ist, und Menschen, die einer einzelnen Partei nicht vertrauen, könnten mehrere Parteien bitten, alle die Richtigkeit zu überprüfen.

Komplikationen.

Mögliche Komplikationen sind:

  1. Anfänglicher Mangel an Vertrauen.
    Ich denke, Leute, die diese Art von System bekommen, würden es lieben und es jeder Alternative vorziehen/vertrauen. Aber kurzfristig, wenn ein Großteil der Bevölkerung mit diesen Konzepten nicht vertraut ist, würde die Öffentlichkeit wahrscheinlich Zusicherungen von vertrauenswürdigen Stimmen benötigen, um die anfängliche Akzeptanz zu fördern.

  2. Zu viel Vertrauen.
    Personen mit Stimmzetteln können nachweisen, für wen sie gestimmt haben. Einige haben Bedenken geäußert, dass die Bereitstellung dieser Fähigkeit den Menschen helfen könnte, ihre Stimme zu verkaufen oder einen Kontrolleur überprüfen zu lassen, ob sie wie angewiesen gewählt haben.

  3. Bedarf an öffentlicher Bildung.
    Die Leute müssten lernen, wie das alles funktioniert, also könnte es dort eine Lernkurve geben. Allerdings scheint Technologie wie diese sowieso zu einem zentralen Bestandteil zukünftiger Lebensstile zu werden, daher könnte die Förderung der öffentlichen Aufklärung zu diesem Thema eine ziemlich gute Sache sein.

Diskussion.

Ich gehe davon aus, dass ein solches System die Zukunft sein wird. Es würde die Dinge definitiv viel einfacher, schneller und zuverlässiger machen.

Erstakzeptanz und soziale Missstände sind die komplizierte Hürde. Es ist leicht, zu unter-/überschätzen, wie schlecht sie sein könnten, oder falsch einzuschätzen, wie sie sich entwickeln könnten, also zögere ich, zu viel anzunehmen.

Terminologie: „ Netz des Vertrauens “.

Das meiste, was oben skizziert wurde, ist eher Web-of-Trust als Blockchain. Gegebenenfalls könnten Blockchain-Elemente hinzugefügt werden, aber aus Gründen, die hier nicht diskutiert werden sollten, bezweifle ich, dass dies in dieser Anwendung sinnvoll wäre.

Ich denke, "es könnte dort eine Lernkurve geben" ist eine riesige, Elefanten-im-Raum-Untertreibung. Die Anzahl der Leute, die verstehen würden, was passiert, würde genug sein, um a) das System und b) die Ergebnisse sinnvoll zu prüfen, wäre ein winziger Bruchteil der Leute, die abstimmen. Für alle anderen wäre es "Geben Sie Ihre Wähler-ID in diesen Slot ein, wenn Sie abstimmen, und diesen Slot, wenn Sie dies überprüfen möchten", wobei alles andere auf blindes Vertrauen gesetzt wird. Vergleichen Sie das mit einem Stapel Papierstimmzettel, bei dem buchstäblich jeder zusehen kann, wie die Wahlurne geöffnet und die Zettel zu Stapeln gezählt werden.
@IMSoP: Eine gute Lösung wäre wahrscheinlich eher eine alternative Abstimmungsmethode als ein obligatorischer Ersatz, die es den Menschen letztendlich ermöglichen würde, virtuelle Anmeldeinformationen analog zum Online-Banking zu verwenden, wobei physische Anmeldeinformationen und physische Beweise verfügbar sind unter physische Standorte für die Abwärtskompatibilität mit Leuten, die es nicht verstehen. Wir könnten sogar alles mit Papierausdrucken erledigen lassen, sogar Kopien elektronischer Abstimmungen ausdrucken, nur um eine Papierspur zu haben, wenn das einige bequemer macht.
@IMSoP: Praktisch gesehen denke ich, dass der entscheidende Faktor sein wird, ob es sich offensichtlich lohnt. Ich meine, das aktuelle System scheint gut genug zu funktionieren, also selbst wenn ein neueres System viel besser funktionieren würde, wäre nur ein begrenzter Gewinn daraus zu ziehen. Der wichtigste Faktor wäre wahrscheinlich, wenn so etwas wie Trump auftaucht, um das öffentliche Misstrauen weiter zu schüren; Wenn das derzeitige System ernsthaft in Frage gestellt wird, könnte der Übergang zu etwas Besserem von Vorteil sein. Andernfalls könnte der Übergang zu einem System wie diesem wahrscheinlich warten, bis Umweltfaktoren es einfach machen.
@IMSoP: Ich mag das Problem mit der Lernkurve jedoch irgendwie. Ich meine, die Gesellschaft muss sich fast zwangsläufig ändern, um Elemente des Vertrauens/der Beweise wie diese besser zu integrieren, und unsere Welt sollte ein besserer Ort dafür sein.
Ja, der Nutzen muss definitiv da sein; In den USA, wo es bereits komplexe maschinelle Abstimmungen gibt, ist der Fall etwas einfacher. Bei den meisten Wahlen in Großbritannien wählen wir einen Kandidaten in einem Wettbewerb aus, also ist das Schreiben von „X“ auf ein Blatt Papier und das Ablegen in einer Schachtel ziemlich schwer zu schlagen; Gelegentlich haben wir zwei Wettbewerbe gleichzeitig (für verschiedene Ebenen der lokalen Vertretung) und verwenden einfach separate Zettel.

Blockchain wird in einigen Teilen der Schweiz bereits für kleinere Abstimmungen eingesetzt. Siehe zB https://www.swissinfo.ch/eng/crypto-valley-_-switzerland-s-first-municipal-blockchain-vote-hailed-a-success/44230928 Internet-Voting wird bei wichtigen Wahlen in Estland verwendet: https://e-estonia.com/solutions/e-governance/i-voting/ Ungeachtet dessen, was in einigen Kommentaren unten vorgeschlagen wird, ist es durchaus möglich, den Zählserver auf Blockchain zu hosten. Es ist also möglich. Allerdings gibt es eine Reihe von technischen, sozialen und ethischen Fragen, die angegangen werden müssen, bevor die Blockchain-Abstimmung breiter eingesetzt werden kann.

Einen Aspekt möchte ich besonders ansprechen: Der Wunsch, dass Stimmen nach einiger Zeit vergessen werden. Es gibt die Vorstellung, dass eine Blockchain alle ihre Daten für die gesamte Geschichte speichern muss und dass dies das Recht auf Vergessenwerden gefährdet.

Zunächst einmal hält eine Blockchain nicht unbedingt die gesamte Geschichte für immer fest; Das Speichern von Daten für immer ist teuer, und jede Blockchain, die garantiert, dass Daten für immer gespeichert werden, wird auf lange Sicht sehr teuer sein, wenn sie erhebliche Datenmengen verarbeitet. Eine Blockchain muss jedoch nicht alle Daten speichern, um für die Validierung historischer Daten nützlich zu sein. Eine typische Blockchain ist ein Merkle-Baum, ein Baum von Hashes von Hashes von Hashes von Hashes, und ganz unten haben Sie die Blätter des Baums mit Daten. Wenn Sie nur den Hash der Wurzel haben, etwa 64 Bytes an Daten, haben Sie bereits genug Informationen, um eine Behauptung zu verifizieren, dass ein bestimmtes Blatt einen bestimmten Wert hat. Die Zwischen-Hashes müssen als Beweis bereitgestellt werden, dann ist Ihre Aufgabe als Validator einfach. Somit ist es möglich, Informationen aus der Blockchain zu löschen, aber dennoch starke Beweise für historische Ergebnisse zu haben. Sogenannte Transparenzprotokolle verwenden dies, um DNS-Einträge in Ihrem Browser jetzt zu überprüfen.

Zweitens gibt es die Idee, dass alle Daten auf einer Blockchain öffentlich sind, also müssten alle Abstimmungen öffentlich sein. Das ist nicht der Fall. Eine Blockchain garantiert den replizierten Zustand, sodass alle Maschinen eine Berechnung durchführen und sich auf die Ausgabe einigen. Diese Berechnung könnte so einfach sein wie das Hinzufügen einer Signatur zu einem normalen Array. In diesem Fall wären alle Stimmen öffentlich und für jeden sichtbar, die Blockchain könnte jedoch die Stimme zählen und die Wähler-ID ohne die Stimme speichern, um eine wiederholte Abstimmung zu verhindern. Diese einfache Lösung reicht nicht aus, um eine gute Sicherheit zu bieten, aber sie reicht aus, um den Punkt zu veranschaulichen, dass Blockchain nicht bedeutet, dass alle Daten öffentlich sind.

Die kurze Antwort ist ja, es ist möglich. Die lange Antwort ist, dass es einige Zeit dauern wird, um dorthin zu gelangen. Wenn diese Frage gestellt wird, konzentrieren sich die meisten Personen auf die tatsächliche Abstimmung einer Person und verpassen das Bild. Die Idee einer Blockchain ist eine großartige Idee, wenn sie richtig umgesetzt wird, mit dem Kernwert, die Rechte derjenigen zu wahren, die wählen. In den meisten Fällen soll die Abstimmung anonym erfolgen. In Anbetracht dessen schlage ich Folgendes vor:

Phase 1: Alle aufgezeichneten Blockchain-Transaktionen haben nichts mit dem tatsächlichen Stimmwert zu tun. Stattdessen konzentrieren sie sich auf die Unterstützung der Wählerintegrität, indem sie alle Transaktionen rund um einen legalen Wähler von der Registrierung bis zu seiner Entfernung aus dem System aufzeichnen. Das könnten Hunderte, wenn nicht Tausende von öffentlichen Transaktionen sein.

Beispiel: Eine Einzelperson, John Doe, nimmt an der Zeremonie zum Erhalt der US-Staatsbürgerschaft teil. Dies ist eine öffentliche Transaktion, die normalerweise von einem Richter durchgeführt wird und den Beginn vieler Transaktionen markieren kann. Jede Transaktion zeichnet Geolocaiton Rooftop, Datum, Uhrzeit, Ortsname/Straßenadresse, Amtsträger auf, der die Transaktion durchführt. Direkt außerhalb der Zeremonie kann der Außenminister ein mobiles Registrierungszentrum haben. Sie registrieren John Doe als Registerwähler in der Gerichtsbarkeit. Es gibt hier nur wenige Transaktionen, die aufgezeichnet werden können. Am wichtigsten sind der Name des Staatsbediensteten, der alle Aktivitäten ausführt, alle Aktivitäten und die Details der Person. Jedes Dokument, das berührt, verifiziert oder überprüft wird, wird mit den Ergebnissen aufgezeichnet.

Vielleicht entscheidet sich John Doe eines Tages, von seinem Wahlrecht Gebrauch zu machen. Wir werden ein einfaches Szenario verwenden, in dem er persönlich abstimmt. Basierend auf staatlichen Gesetzen können für jeden Staat unterschiedliche Verfahren erforderlich sein, aber der Einfachheit halber versuchen wir Folgendes:

Max Mustermann betritt das Gebäude und erhält einen Zettel zum Ausfüllen: Das ist eine Transaktion. Diese Transaktion zeichnet auf, wer ihm den Zettel gegeben hat, wann war das usw. Er füllt die Zettel aus und gibt sie jemandem zurück. Dies ist eine separate Transaktion, die aufzeichnet, wer sie erhalten hat. Diese Informationen werden dann überprüft (in einigen Fällen durch Vergleich der Status-ID). Diese Transaktion wird auch aufgezeichnet, wer das wann tut.

Der Wähler bewegt sich nach unten und es gibt eine weitere Transaktion der zweiten Verifizierung, falls ein Wähler auf der voraufgezeichneten Liste vorhanden ist. Die Transaktion wird aufgezeichnet, wer durchgeführt hat und was die Ergebnisse sind.

Wähler erhält Stimmzettel zur Abstimmung (Papier wird verwendet). Transaktion wird aufgezeichnet von wem, wann usw.

Der Wähler übergibt den oberen Teil des Stimmzettels an den Wahlhelfer. Die Transaktion wird aufgezeichnet, wer sie erhalten hat.

Der Wähler stimmt ab, indem er den Stimmzettel in die Maschine schiebt. Die Transaktion wird aufgezeichnet, wenn dieses Ereignis eingetreten ist.

Nachdem die Umfragen geschlossen wurden, muss jede Operation in der Kette als Anzahl der aufgeschlüsselten Transaktionen neu aufgezeichnet werden: Wer hat was wann getan usw.

Die Anzahl der Ergebnisse wird in der Kette aufgezeichnet. Versiegelte Stimmzettel werden dann per GPS-Routen verfolgt und Routen werden per Geolocaiton aufgezeichnet, einschließlich Höhe und Zeit, wer sie transportiert hat usw.

Diese Art von Transaktionen kann zu Tausenden verwendet werden, um öffentliche Informationen in der Kette zu speichern.

Das Risiko, dass ein Wähler während einer Wahl etwas Illegales tut, ist sehr gering und wurde aus diesem Grund in Phase 2 verschoben. Das größte Risiko für die Wählerintegrität ist alles, was möglicherweise in großen Mengen manipuliert werden könnte. Hier könnte Blockchain von Nutzen sein, aber auch hier schützt sie nicht zu 100% vor korrupten Absichten (falls vorhanden).

Diese Antwort erklärt, wie die Wählerregistrierung über eine Blockchain abgewickelt werden könnte, aber sie behandelt nicht, wie die eigentliche Abstimmung auf einer Blockchain durchgeführt werden kann. Es wird immer noch davon ausgegangen, dass die Abstimmung auf Papierstimmzetteln erfolgt und die Auszählung auch von Hand erfolgt. Wenn Leute über Blockchain-Voting sprechen, gehen sie von einem System aus, bei dem die Stimmen selbst in der Blockchain aufgezeichnet werden und von jedem mit Zugang zu dieser Blockchain ausgezählt werden können, während gleichzeitig irgendwie sichergestellt wird, dass jede Stimme von einem legitimen Wähler abgegeben wurde, kein Wähler mehr mehr als eine Stimme und Stimmen können dem Wähler dennoch nicht zugeordnet werden.

Das scheint nicht allzu schwierig zu sein, und ich sehe nicht wirklich, wie Blockchain einen sinnvollen Beitrag leisten würde. Es sollte möglich sein, eine Lösung bereitzustellen, die mindestens so sicher ist wie die Papierwahl, obwohl sie ein ähnliches Maß an Vertrauen in die Organisationen erfordert, die sie durchführen.

Erstens haben Sie eine Gatekeeper-Website. Dies ist physisch und operativ von der Stimmenauszählung getrennt. Sie melden sich hier an und geben alle Anmeldeinformationen an, die erforderlich sind, um zu beweisen, dass Sie die Person sind, für die Sie sich ausgeben. Ihr Browser führt dann lokal eine JavaScript-Anwendung aus, die Ihre Stimme sammelt, aber bevor sie an den Gatekeeper gesendet wird, wird sie durch einen öffentlichen Schlüssel für einen Dritten – den Tabulator – verschlüsselt.

Sobald der Gatekeeper Ihre verschlüsselte Stimme erhalten hat, markiert er in der Registrierung, dass Sie abgestimmt haben. Dies ist vergleichbar mit dem Wahlhelfer an einer Papierwahlstation – sie wissen, wer Sie sind und dass Sie gewählt haben, und sie sind im Besitz Ihres Stimmzettels, können aber nicht sehen, was Ihre Stimme tatsächlich ist, weil sie in einer Box eingeschlossen ist (oder verschlüsselt mit einem Schlüssel, den sie in diesem Fall nicht haben). Der Torwächter ist, genau wie die Wahlhelfer, die einen persönlichen Abstimmungsort besetzen, dafür verantwortlich, Ihre Stimme an den zentralen Ort zu übermitteln.

Der Schlüssel zum Vertrauen ist hier, dass das auf dem Client ausgeführte JavaScript prüffähig ist (da JavaScript interpretiert wird, wird die Quelle dem Client zur Verfügung gestellt – Verschleierung wäre verboten, um seine Lesbarkeit aufrechtzuerhalten). Außerdem könnten dieselben Organisationen, die für die Gewährleistung der Wahlsicherheit verantwortlich sind, die Gatekeeper beobachten – der Quellcode für den Server wäre Open Source und alle erforderlichen Mittel, um zu bestätigen, dass der Gatekeeper keinen Zugriff auf den Entschlüsselungsschlüssel hat und so Es würde eine ordnungsgemäße Weiterleitung von Stimmen an den Tabulator bereitgestellt, mit der Option für eine öffentliche Beobachtung auf irgendeine Weise (ein Dashboard, das möglicherweise relevante Daten anzeigt). Experten (IT-Experten, sowohl überparteilich als auch überparteilich) würden die Einrichtung und Installation der Server beobachten, um sicherzustellen, dass der Open-Source-Code (wiederum von allen Parteien auditiert) als einziges installiert ist und dass es unverändert installiert wird. Freiwillige und bezahlte Experten können physisch beobachten, dass der Server während des Betriebs und während der Wahl unbehelligt ist. Richtige Maßnahmen zur Erkennung von Eindringlingen würden dazu beitragen, dass die Server nicht gehackt oder anderweitig aus der Ferne verändert werden. Die elektronischen Sicherheitsvorkehrungen sind ziemlich Standard, und die Erlaubnis für Beobachter ist ziemlich ähnlich wie heute bei der Stimmauszählung.

Der Gatekeeper signiert die Stimme mit seinem privaten Schlüssel, bevor er sie an den Tabulator weiterleitet, sodass bestätigt werden kann, dass alle vom Tabulator empfangenen Stimmen von einem Gatekeeper stammen, wodurch die Wahrscheinlichkeit gefälschter Stimmen verringert wird. Der Tabulator würde natürlich auch nur Stimmen über verschlüsselte Verbindungen von bekannten Gatekeeper-IP-Adressen akzeptieren. Natürlich würden auch andere Best Practices zur Gewährleistung des Vertrauens berücksichtigt.

Sobald die Stimme zum Auszählen an die Zähleinrichtung gesendet wird, geht dies nicht viel anders vor als die derzeitige elektronische Stimmabgabe. Die Abstimmung wird per Software entschlüsselt und ausgezählt, obwohl der Code im Gegensatz zu aktuellen elektronischen Wahlmaschinen vollständig Open Source wäre. Auch hier wäre es unparteiischen und überparteilichen Beobachtern gestattet, zu bestätigen, dass der Prozess ehrlich abläuft – mit Experten, die die Einrichtung, Konfiguration und Installation sowie den Betrieb der Computerausrüstung überwachen.

Sie müssen also den Leuten vertrauen, die die Hardware und Software validieren, und denen, die den Code prüfen – die, denken Sie daran, sowohl überparteilich als auch überparteilich sind, um Fairness zu gewährleisten – genauso wie Sie den Wahlhelfern und den Stimmenzählern vertrauen müssen aktuelle Papierwahlen. Ist es idiotensicher? Nein, aber es ist mindestens so narrensicher wie Papier- oder Briefwahlzettel.

Es kann mehrere Gatekeeper geben, und welchen Sie verwenden, kann von Ihrem Distrikt oder anderen Faktoren abhängen. Die Torwächter müssten die Übermittlung einer Stimme an die zentrale Behörde verzögern, bis sie bestätigen kann, dass dieser Wähler nicht gewählt hat (z. nicht viel anders als aktuell. Standard-Transaktionswarteschlangensoftware/-algorithmen könnten verwendet werden, um sicherzustellen, dass Dienstunterbrechungen keine Stimmen verlieren, ähnlich wie Banken die Sicherheit von Transaktionen gewährleisten.

Sobald Sie abgestimmt haben, könnten Sie eine Bestätigungsseite ausdrucken, aber die angezeigten Informationen wären minimal – vielleicht eine Transaktions-ID und ein Datum/eine Uhrzeit, aber selbst das könnte zu spezifisch sein – sagen Sie, ob der Tabulator eine Stimme von einem bestimmten Gatekeeper erhalten hat zu diesem bestimmten Zeitpunkt (oder genauer gesagt, eine kleine Menge von Stimmen in der Warteschlange kurz danach, nachdem der Gatekeeper die Einzigartigkeit Ihrer Stimme nach einer häufigen Synchronisierung der Wählerliste bestätigt hatte). Die Informationen hier sind einstellbar. In Anbetracht der Tatsache, dass Sie von einem regulären Wahllokal nichts anderes als einen „Ich habe gewählt“-Aufkleber erhalten, könnte dies einfach ein einfaches „Wir haben Ihre Stimme erhalten!“ sein. Botschaft.

Aus Gründen der Redundanz könnten die Gatekeeper lokale Kopien der erhaltenen Stimmen aufbewahren, einfach getrennt von allen identifizierenden Informationen (einschließlich IP-Adressen, die in Webserver-Protokollen gespeichert sind). Dies ist optional, könnte aber bei der doppelten Überprüfung der Stimmenzählung nützlich sein. Ich sollte hier anmerken, dass dies keine vollständig ausgearbeitete Idee ist und daher einige Details von Experten in solchen Dingen verfeinert werden müssen, weshalb dies ein optionaler Punkt ist und warum einige der Details der Audits dies nicht sind explizit.

Außerdem mache ich mir Sorgen, dass dieser Plan einen Fehler enthält, den ich übersehe – Experten haben diesem Problem viel mehr Zeit gewidmet als ich und sind größtenteils zu dem Schluss gekommen, dass sichere und anonyme Abstimmungen außerhalb von Papierwahlen nicht möglich sind, so wie ich wahrscheinlich in die alte Sicherheitsfalle "Ich sehe keinen Fehler, also muss es idiotensicher sein!". Aber ich poste es trotzdem demütig hier, da ich keinen ähnlichen vorgeschlagenen Plan gefunden habe und neugierig bin, welche Mängel es gibt.

Was schließlich das Argument betrifft, dass "die Leute die Technologie nicht verstehen und ihr daher nicht vertrauen", erkenne ich das nicht als gültig an, weil die Leute die ganze Zeit über Technologien verwenden, die sie nicht verstehen. Die meisten Leute verstehen die Verschlüsselung mit öffentlichen Schlüsseln nicht, und dennoch nutzen sie sie jeden Tag für ihre Bankgeschäfte und Einkäufe. Aktuelle Wahlen verwenden schicke Maschinen, um Stimmen zu zählen und zu tabellieren, und niemand blinzelt wirklich, weil es sicher hinter den Kulissen begraben ist (wo sie ignorant annehmen können, dass jede Stimme von Hand gezählt wird). Mit den von vertrauenswürdigen Experten geprüften (unabhängig von Ihren politischen Neigungen) sollte dies nicht anders sein.

Ich bin mir nicht sicher, welcher Teil dieser Antwort mich am meisten interessieren sollte. "Ihr Browser führt dann lokal eine JavaScript-Anwendung aus, die Ihre Stimme sammelt", das bettelt nur für einen XSS-Angriff. "Das auf dem Client ausgeführte JavaScript ist prüffähig", nein, ist es nicht, Sie wissen nicht, welche Version des Skripts eine zufällige Person ausführt oder ob sie dieses Skript sogar anstelle von etwas anderem ausführt. "Bestätigen Sie, dass der Gatekeeper keinen Zugriff auf den Entschlüsselungsschlüssel hat", wie genau könnte das gemacht werden? Wie können wir sicherstellen, dass Daten vom Gatekeeper später nicht auf den Tabulator geladen werden können ...
... und dort entschlüsselt? "Der Quellcode für den Server wäre Open Source", wie würden Sie zweifelsfrei bestätigen, dass der bereitgestellte Code der Code ist, der tatsächlich auf dem Server ausgeführt wird? Wenn eine Gruppe von Leuten Zugriff auf den Server hat (wie Sie vorschlagen), wie können Sie feststellen, ob sie den Code geändert haben, um etwas Schändliches zu tun? "Sobald Sie gewählt haben, können Sie eine Bestätigungsseite ausdrucken", wenn etwas schief gelaufen ist (auf dem Server oder im Javascript) und Ihre Stimme nicht richtig gezählt wurde, wie würden Sie das jemals wissen?...
Einfach nur eine JavaScript-App zu sein, macht sie nicht unsicher gegen XSS, zumal die meisten Browser über einen robusten Schutz gegen solche Angriffe verfügen. Wie ich bereits erwähnt habe, werden Best Practices von externen Beobachtern vorgeschrieben und sichergestellt. Der Client-Code ist insofern überprüfbar, als sich jeder Bürger mit dem entsprechenden Know-how mit dem Server verbinden und prüfen kann, ob der vom Server verteilte Code den Erwartungen entspricht. Schließlich bestätigen externe Beobachter von beiden Seiten der politischen Kluft den Torwächter. Nachdem die Stimme abgegeben wurde, kann nicht einmal der Torwächter eine Stimme einer ID zuordnen, so stellen wir sicher.
... "Die Torwächter könnten lokale Kopien behalten", sobald sie anonymisiert sind, wie würden Sie verhindern, dass jemand böswillig gefälschte Stimmen zu diesem Backup hinzufügt, um eine Nachzählung zu verhindern? Abgesehen von all diesen potenziellen Bedenken wäre dieses System reif für Phishing-Angriffe. Denken Sie darüber nach, wie viele Menschen auf betrügerische E-Mails und Pop-up-Werbung hereinfallen, und fragen Sie sich dann, wie Sie Phisher davon abhalten werden, Menschen dazu zu bringen, über eine gefälschte Abstimmungswebsite abzustimmen, auf der Sie die Identifizierungsinformationen von Personen sammeln können, wie sie abstimmen wollten und dann stimmen Sie für sie, wie der Angreifer will
Die Personen, die "Zugriff auf den Server" haben, sind Beobachter. Sie sind nicht Teil des Installationsprozesses, sie stellen lediglich sicher, dass der Installationsprozess ordnungsgemäß befolgt wird, und bestätigen, dass er nicht kompromittiert wurde oder etwas Schändliches getan wurde. Wenn Sie an einem physischen Ort wählen und der Wahlhelfer Ihren Stimmzettel verliert, woher wissen Sie das? Auch hier streben wir nicht nach Perfektion, sondern nach Parität mit dem, was wir jetzt haben.
Wenn Sie in einem normalen System wählen, können Sie die Wählerverzeichnisse überprüfen, um zu sehen, ob Sie als Wähler erscheinen, und wenn nicht, können Sie gehen und einen vorläufigen Stimmzettel abgeben. Jemand hat Zugriff, um die Software zu installieren. Wie können Sie also bestätigen, dass er tatsächlich die Software installiert hat, von der Sie glauben, dass er sie installiert hat? Es ist nicht unmöglich, aber es ist eine zusätzliche Komplikation und Schwachstelle. Das Problem bei der Abkehr von Papierwahlzetteln besteht darin, dass die Papierwahl Hunderte von Jahren Stresstests unterzogen wurde, um viele der Mängel auszuarbeiten, jedes neue System völlig unbekannt ist und Wahlen viel zu wichtig sind, um sie zu riskieren.
Sie würden verhindern, dass böswillige Stimmen hinzugefügt werden, indem Sie a) die Beobachter während des gesamten Prozesses anwesend lassen und b) verlangen, dass die anonymisierten Stimmen vom Gatekeeper-System signiert werden, was bedeutet, dass solange der private Schlüssel für den Gatekeeper ordnungsgemäß geschützt ist (wieder - Best Practice und Beobachter von Drittanbietern) wäre die einzige Möglichkeit, falsche Stimmen zu generieren, die Verwendung des Gatekeeper-Servers, der von Beobachtern überwacht und allgemein physisch und virtuell geschützt wird. Auch hier ist, wie bei Papierabstimmungen, ein gewisses Maß an Vertrauen erforderlich, und Beobachter werden überall dort eingesetzt, wo es sinnvoll ist.

Ronald L. Rivest hat etwas Passendes geschrieben. Die hier verbrachte Zeit ist gut verbracht.

Dieser Mann ist das R in RSA.

https://people.csail.mit.edu/rivest/pubs/PSNR20.pdf

Ist es möglich, Blockchain oder öffentliche Bücher für Abstimmungen zu verwenden?
AntwortenHierDatenschutz-Bestimmungen1y, 0v