Ist es möglich, ein elektronisches Wahlsystem zu implementieren, das so sicher ist wie die Abstimmung mit Stift und Papier?

Dies hängt davon ab, was Sie als "die gewünschten Eigenschaften der Papierabstimmung" betrachten. Angewandte Kryptografie listet diese Anforderungen für sichere Online-Wahlen auf:

1. Nur registrierte Wähler können wählen
2. Wähler können nur einmal abstimmen
3. Niemand kann die Stimme eines bestimmten Wählers bestimmen
4. Niemand kann die Stimme eines Wählers ändern, nachdem sie abgegeben wurde
5. Niemand kann die Wahl eines anderen Wählers duplizieren (für dieselbe Person stimmen, auch ohne zu wissen, wer es ist).
6. Wähler können überprüfen, ob ihre Stimme korrekt gezählt wurde

Die elektronische persönliche Stimmabgabe ist im Wesentlichen die gleiche wie die Stimmabgabe durch physische Stimmzettel, sodass die meisten Bedingungen erfüllt sind. Das Problem ist das Fehlen einer Papierspur: Es gibt keine Garantie dafür, dass die Maschine die von Ihnen abgegebene Stimme tatsächlich aufgezeichnet hat, unabhängig davon, was auf dem Bildschirm steht (andererseits gibt es keine Garantie dafür, dass der Wahlhelfer nicht gezündet hat Ihr Stimmzettel brennt, sobald Sie sich umdrehen). Dennoch könnte dies gelöst werden, indem jedem Wähler eine eindeutige ID zugewiesen und ihm eine Webschnittstelle zur Verfügung gestellt wird, die die ID der Stimme zuordnet, damit er sie von zu Hause aus überprüfen kann.

Die Online-Abstimmung ist viel komplizierter und stellt alle Anforderungen in Frage. Vermutlich haben Sie eine Möglichkeit, jedem registrierten Wähler eine einzigartige Nonce auszustellen, selbst wenn es darum geht, sie ihm zuzusenden. Vor diesem Hintergrund gibt es kryptografische Schemata, mit denen jeder seine Stimmen an einen zentralen Tabulator (oder sogar ein dezentrales System, obwohl dies in der Regel nicht machbar und hier ohnehin nicht erforderlich ist) abgeben kann, das alle diese Anforderungen erfüllt. Der einfachste Weg, eine geheime Wahl zu gewährleisten , besteht darin, die anfängliche Nonce-Verteilung zu anonymisieren, obwohl es für die Wähler schwierig ist, sicher zu wissen, dass dies geschehen ist (dh es erfordert ein gewisses Maß an Vertrauen in die zentrale Behörde).

Ich habe einen wirklich coolen TED-Vortrag zu diesem Thema gesehen. Mithilfe von Kryptographie ist es möglich, den Wählern einen Code zu geben, damit sie überprüfen können, ob ihre Stimme richtig gezählt wurde, aber ohne dass die Regierung weiß, was Sie gewählt haben.

Die meisten Menschen gehen davon aus, dass die Regierung, um Ihre Stimme zu überprüfen, eine Datenbank haben müsste, die auflistet, was alle gewählt haben, anstatt nur eine Bilanz zu führen. Sie können jedoch stattdessen eine verschlüsselte Version Ihrer Stimme speichern (E). Nach der Stimmabgabe erhält der Wähler einen Code, der zur Entschlüsselung von E notwendig ist. Es ist auch möglich, das System so zu gestalten, dass der Wähler nicht nur sieht, was er gewählt hat, sondern es tatsächlich beweisen kann. dh. Das System macht es unmöglich, einen gefälschten Code zu erstellen, der zeigt, wer für jemand anderen gestimmt hat, um der Regierung Wahlbetrug anzuhängen

Gewünschte Funktionen

Ich denke, man muss sehen, welche Merkmale man sich für eine Wahl im Allgemeinen wünscht, und sehen, wie verschiedene Systeme damit umgehen.

Eine Wahl sollte folgendes bieten:

• Transparenz : Der gesamte Abstimmungs- und Auszählungsprozess muss von jedem Bürger nachvollziehbar sein.
• Unabhängige Abstimmung : Alle Bürger können ohne äußeren Druck nach ihrer Meinung abstimmen.
• Sicherheit : Jeder kann nur 0 oder 1 Mal abstimmen, und seine Stimme kann nicht von jemand anderem geändert werden.
• Universalität : Das Wahlverfahren ist kostenlos und steht allen offen, unabhängig von Alter, sozialem Status, Geschlecht, ethnischer Zugehörigkeit usw.

Ich bin größtenteils mit westeuropäischen Abstimmungen vertraut, daher werden die Beispiele und Abbildungen eher darstellen, was dort passiert.

Die Universalität ist im Prinzip am einfachsten einzuhalten. Sie erheben keine Gebühr und bieten jedem Bürger den gleichen Zugang/die gleiche Auswahl an Zugängen. Es gibt Sonderfälle, die weiter unten behandelt werden.

Transparenz bedeutet, dass man überprüfen sollte, dass vorher keine Abstimmungen stattgefunden haben oder dass niemand mehr als einmal abstimmt. In Stift und Papier geschieht dies durch transparente Stimmzettel, die zunächst leer sind (und von den Erstwählern gesehen werden können) und unter der Aufsicht einer von zwei Personen (die normalerweise verschiedene politische Parteien vertreten). Die Transparenz impliziert auch, dass der Abstimmungsprozess öffentlich ist. Jeder Bürger kann kommen und sehen, dass die Abstimmung korrekt durchgeführt wird. Nicht jede Stimme für eine Partei doppelt zu zählen. Dies wird auch von verschiedenen politischen Parteien überwacht, was einen fairen Prozess gewährleisten (sollte).

Unabhängigkeit und Sicherheit sind schwer zu bekommen. Denn Sicherheit impliziert die Identifikation des Wählers und Unabhängigkeit seine Anonymität. Bei Papier und Stift erfolgt dies in zwei Schritten. Die Person wird einmalig überprüft, der verschlossene Umschlag sorgt aber dafür, dass der Inhalt der Abstimmung anonym bleibt. Und je mehr Wähler, desto anonymer wird die Abstimmung, da es am Ende unmöglich wird, jeden Briefumschlag jedem Wähler zuzuordnen.

Und das Interessante an Stift und Papier ist, dass das Ergebnis angefochten und die Stimmen erneut gezählt werden können. Es verlangsamt alles, aber es wird selten herausgefordert.

Fall für elektronischen Prozess

Ich würde drei Systeme in Betracht ziehen und sehen, was sie bieten sollten, um die oben genannten Anforderungen zu erfüllen.

• Online-Voting,
• Elektronische Stimmabgabe vor Ort mit Ausweis (EA),
• Elektronische Stimmabgabe mit manueller ID (EM).

In diesem Abschnitt würde ich nur die "reine" Implementierung davon betrachten und keine Mischung.

Abgesehen von Spezialfällen, die weiter unten besprochen werden, ist die Universalität dieser recht einfach zu implementieren. Die elektronischen Maschinen sind vor Ort, ebenso wie die Papierstimme. Online, wird auf "jeden, der eine Internetverbindung hatte" beschränkt, es sei denn, einige dedizierte (kostenlose) Internet-Spots können für die anderen organisiert werden.

In Online- und EA-Fällen erfolgt die Identifizierung der Wähler mit einer eindeutigen ID, die jedem Wähler gegeben wird. Es ist unklar, wie sichergestellt werden kann, dass der Wähler seine Stimme nicht an jemand anderen (möglicherweise gegen Geld) abgibt. Aber genau so können sie auch selbst abstimmen, je nach vorher erhaltenem Geld. Nichts in den derzeitigen Systemen verhindert diese Art von Betrug, außer den damit verbundenen Risiken. Das wäre für Online und EA gleich.

Bei EM erfolgt die Identifizierung ziemlich genau wie bei der aktuellen. Dies "so gut es geht", da es vom Abstimmungsprozess getrennt ist. Ein Chip oder eine Zeitbeschränkung können jemanden daran hindern, mehr als einmal abzustimmen.

Unabhängige Abstimmung ist nicht einfach. Für das EM funktioniert es einfach, da es unabhängig von der Identifikation ist. Sie können Menschen immer noch zwingen, für Ihren Kandidaten zu stimmen, mit Druck außerhalb des Wahllokals, ohne Vorhang oder irgendetwas, um Sie zu isolieren usw. Aber dieses Problem besteht bereits heute. Wenn es also nicht besser wird, wird es nicht schlechter.

Online und EM sind schwieriger: Identifikation und Abstimmung sind nicht wirklich getrennt. Dies kann mit einigen Kryptoalgorithmen erreicht werden, die gekapselt und verschlüsselt in ein Identifikationssystem abstimmen. Das wurde in einer anderen Antwort diskutiert (möglicherweise in der verwandten Frage).

Die eingekapselte Verschlüsselung ist auch eine Möglichkeit, ein gewisses Maß an Sicherheit bei der Änderung der Abstimmung bereitzustellen. Dies ist besonders kritisch auf Online-Systemen, um MitM-Angriffe zu vermeiden. Vorausgesetzt, die EA/EM-Maschinen sind vertrauenswürdig.

Dies führt meiner Meinung nach zum Hauptproblem bei jeder Form von elektronischen Systemen: der Transparenz. Wie kann sichergestellt werden, dass keine Stimmen hinzugefügt/entfernt werden? Wie kann der Wähler sicherstellen, dass seine Stimme wirklich gezählt und nicht verändert wurde? Usw.

Es gibt für normale Bürger keine Möglichkeit, die Abstimmungsergebnisse zu kontrollieren: Sie möchten sie schützen, um Änderungen zu verhindern. Außerdem möchten Sie nicht, dass Frühwähler die späteren Wähler beeinflussen, sodass Sie die Ergebnisse nicht in Echtzeit veröffentlichen können. Wie auch immer, Sie könnten denken, dass Sie im Vergleich zur Standard-Papier-und-Stift-Abstimmung weniger transparent sind. Am besten ist es, wenn unabhängige Personen kontrollieren, dass die Zählungen korrekt sind. Normale Bürger verlassen sich auf ihr Urteil.

Freigegebener Open-Source-Code würde eine Form von Transparenz bieten, die, wenn sie nicht die gleiche Universalität in der Transparenz bietet, allen IT-ausgebildeten Leuten die Möglichkeit bietet, sie tatsächlich zu überprüfen. In EA/EM-Fällen können Sie jedoch nicht sicherstellen, dass der freigegebene Code auch tatsächlich bereitgestellt wird.

Für ein korrektes Programm sollte der Zählfehler im Vergleich zur Papier-und-Stift-Abstimmung stark reduziert werden. Aber Sie können die Ausgabe nicht herausfordern, ohne die Wahl (zumindest lokal) neu zu organisieren.

Spezialfälle

Es gibt einige Fälle, die in allen Systemen berücksichtigt werden müssen, und ich bin mir nicht sicher, was die besten Lösungen für alle sind.

• Alte Leute. Sehr alte Menschen können sich nicht zur Wahl bewegen. Auch die Nutzung elektronischer Geräte und des Internets scheint nicht in Frage zu kommen. Mit zunehmendem Alter der Bevölkerung in den meisten westlichen Ländern wird dies ein zunehmendes Problem sein.
• Kranke Menschen. Einige Menschen sind möglicherweise krank und gezwungen, am Tag der Wahl zu Hause zu bleiben. Sie müssen eine Form der Fernabstimmung in Betracht ziehen.
• Reisen. Ob geschäftlich oder privat, immer mehr Menschen reisen, auch am Wochenende. Wie können sie abstimmen?
• Im Ausland leben. Dies ist ein Extremfall von Reisen. Es kann nicht erwartet werden, dass die Menschen von Sibirien nach Alabama fliegen, um zu wählen. Wie können sie abstimmen, ohne zu weite Strecken zurückzulegen?

Ich kenne drei Elemente, um damit umzugehen. Möglichkeit, die Stimme zu übertragen . Jemand kann für Sie stimmen, und wenn Sie wählen, wen Sie wählen, können Sie dieser Person vertrauen. Post. Sie stimmen per Post ab und spezielle Stimmzettel werden organisiert, um diese Post zu sammeln. Vertretung im Ausland. Es ist möglich, in Konsulaten zu wählen . Dies funktioniert jedoch gut, wenn Sie in einem Land mit einer hohen Anzahl von Mitbürgern abreisen, da Sie erwarten würden, dass Konsulate nicht allzu weit von Ihrem Wohnort entfernt sind. Aber auch hier könnte es mitten in Sibirien kompliziert werden.

Fazit

Wie so oft gibt es keine perfekte Lösung. Elektronische Abstimmungen scheitern meist an Transparenz. Sie verbessern das (ehrliche) Problem mit dem Zählen und könnten die Geschwindigkeit der Abstimmung verbessern. Internet/Online-Abstimmung kann einige Sonderfälle lösen. Aber im Großen und Ganzen verbessern sie das bestehende System in Bezug auf die erforderlichen Funktionen nicht und werden oft niedriger.

Ein Punkt, der bei diesen Antworten übersehen wird, ist die relative Sicherheit der Abstimmung mit Stift und Papier. Ich erkenne an, dass die elektronische Stimmabgabe, da sie eine Abkehr von der traditionellen und heute akzeptierten Art der Stimmabgabe darstellt, von Natur aus als anfälliger angesehen wird als die elektronische Stimmabgabe. Wenn der Standard jedoch ein System ist, das objektiv im Prinzip so sicher ist wie die Abstimmung mit Stift und Papier, ist die persönliche elektronische Abstimmung mit einer Papiersicherung aus den Gründen, die @MichaelMrozek in seiner Antwort anführt, genauso sicher.

Der Standard sollte jedoch darin bestehen, die Sicherheit der Abstimmung mit Stift und Papier zu verbessern und nicht nur die gleichen Mängel auszugleichen, die sie bereits hat.

Briefwahl ist überhaupt nicht sicher und viel anfälliger für Manipulationen als die elektronische Stimmabgabe.

Seine Hauptvorteile bestehen darin, dass jeder in der Lage ist, grundlegende Manipulationsprüfungen durchzuführen, und dass Manipulationen nicht skaliert werden. Der Schaden, den Sie einem einzelnen Stimmzettel, einer einzelnen Wahlurne, einem einzelnen Gerichtsgebäude usw. zufügen können, erfordert ausnahmslos eine wachsende Zahl von Mitverschwörern, deren Zahl und Aufwand proportional zu den manipulierten Stimmen ist.

Das macht die Papierstimmenmanipulation ineffizient. Es kommt häufig genug vor, dass Stimmennachzählungen üblich sind, manchmal mit merklichen Diskrepanzen, die auf eine systematische Verzerrung der Wahrnehmungen einiger einzelner Zähler hindeuten. Aber alles in allem sind die Korrekturen sehr selten Game Changer.

Im Gegensatz dazu kann die elektronische Stimmabgabe durch einen einzigen erfolgreichen Angriffsvektor viel verfälschen.

Ein empirisches Beispiel ist Estland. In dem osteuropäischen Land führte die Regierung 2005 die elektronische Stimmabgabe (i-Voting) ein, die heute als allgemeiner Standard für Wahlen gilt. Sie diskutierten auch eine ganze Weile über die Sicherheitsfragen und wie es hier bei E-Estonia.com zeigt , scheint es ziemlich sicher zu sein (100%ige Sicherheit ist nicht möglich und kein Abstimmungssystem kann vollständig sicher sein) und auch einen Blick auf ein aktuelles geworfen Kommentar zum estnischen Wahlsystem bei Forbes.com Ich finde die folgende Aussage im Forbes -Text zur Wahlsicherheit ziemlich überzeugend:

„[...] [Eine der häufigsten Bedenken bezüglich der Internetwahl ist die Möglichkeit, dass die eigene Stimme entweder durch einen Virus auf Ihrem Computer oder während Ihr Stimmzettel das Internet auf seinem Weg zu den Servern der Zentralregierung durchläuft, geändert werden könnte. Um dem entgegenzuwirken, fügt Estlands Stimmabgabesystem eine neue Wendung hinzu: die Möglichkeit, Ihr Mobiltelefon zu verwenden, um sich separat mit den Wahlservern über einen anderen Satz von Tools und Diensten zu verbinden, um zu sehen, wie Ihre Stimme aufgezeichnet wurde, und um zu überprüfen, ob sie korrekt ist So können Sie Ihre Stimme mit Ihrem Desktop-Computer zücken und die Ergebnisse überprüfen, die tatsächlich von den zentralen Wahlservern empfangen wurden. Die Ergebnisse werden verschlüsselt, sodass kein Regierungsbeamter sehen kann, wie Sie individuell abgestimmt haben, sondern nur Sie können Ihre individuelle Stimmabgabe sehen Entscheidungen,selbst wenn sie zu den nationalen Gesamtzahlen aggregiert werden.“

Das ist also nicht perfekt, aber es scheint einige Vorzüge zu haben, die bei zukünftigen Ideen zu Wahl- und Abstimmungssystemen genau berücksichtigt werden sollten.

Eine politikwissenschaftliche Studie aus dem Jahr 2009 dazu ist hier erhältlich (Achtung, Paywall)

Ich glaube, du stellst die falsche Frage.

Ist es möglich, ein elektronisches Wahlsystem zu implementieren , von dem die meisten Wähler glauben , dass es so sicher ist wie die Abstimmung mit Stift und Papier?

Ist eine bessere Frage.

Ein Abstimmungssystem muss fair sein und als fair angesehen werden , sonst werden die Unterstützer des Verlierers das Ergebnis nicht akzeptieren. Niemand hat bisher ein elektronisches Wahlsystem entwickelt, das 99 % der Menschen so detailliert verstehen kann, wie es funktioniert, um persönlich zu wissen, dass es sicher ist.

In diesem Thread geht es um Wahlgeräte – DREs und Opscans – die sich in Wahllokalen befinden. Ein sicheres Internet-Wahlsystem hätte keine Wahllokale. Lange Warteschlangen und Zeitverschwendung bei der Anfahrt zu den Wahllokalen und der Suche nach Parkplätzen in der Nähe sind ein größeres Problem als der Sicherheitsvergleich. In den USA wurde jedoch kein Wähler wegen Betrugs an Wahlgeräten verurteilt. Es werden nur Sensationsgeschichten verwendet, um Leute auf Websites zu locken und Bücher und Zeitungen zu verkaufen. Alle Wahlbetrugsfälle in der Geschichte der USA betreffen Papier. Es ist offensichtlich, was sicherer ist. Siehe meinen Kommentar unter Welche Herausforderungen bleiben für die Online-Abstimmung? für mehr über Internet-Voting.