DRE-i med förbättrad integritet

Direct Recording Electronic with Integrity and Enforced Privacy (DRE-ip) är ett end-to-end (E2E) verifierbart e-röstningssystem utan att involvera några stämmande myndigheter, föreslagit av Siamak Shahandashti och Feng Hao 2016. Det förbättrar en tidigare DRE- i -system genom att använda en realtidsberäkningsstrategi och ge förbättrad integritet. En pekskärmsbaserad prototyp av systemet testades i Gateshead Civic Centers vallokal den 2 maj 2019 under lokalvalet i Storbritannien 2019 med positiv feedback från väljarna. Ett förslag som inkluderar DRE-ip som en lösning för storskaliga val rankades på 3:e plats i 2016 års Economist Cybersecurity Challenge som organiserades gemensamt av The Economist och Kaspersky Lab .

Protokoll

DRE-ip-protokollet är tillämpligt för både vallokalsröstning på plats och fjärrimplementering av internetröstning. I specifikationen nedan beskrivs det för vallokalsröstning. Protokollet består av tre steg: inställning, röstning och sammanställning.

Uppstart

Låt ${\displaystyle p}$ och ${\displaystyle q}$ vara två stora primtal, där ${\textstil q\,|\,p-1}$ . ${\displaystyle G_{q}}$ är en undergrupp av ${\displaystyle Z_{p}^{*}}$ av prime ordningen ${\displaystyle q}$ . Låt ${\displaystyle g_{1}}$ och ${\displaystyle g_{2}}$ vara två slumpgeneratorer av ${\displaystyle G_{q}} ,$ vars diskreta logaritmförhållande är okänt. Detta kan realiseras genom att välja ett icke-identitetselement i ${\displaystyle G_{q}}$ som ${\displaystyle g_{1}}$ och beräkna ${\displaystyle g_{2}}$ baserat på att tillämpa en etta -way hash-funktion med inkludering av valspecifik information såsom datum, valtitel och frågor som input. Alla modulooperationer utförs med avseende på modulen ${\displaystyle p}$ . Alternativt kan protokollet implementeras med hjälp av en elliptisk kurva , medan protokollspecifikationen förblir oförändrad.

Röstning

För enkelhetens skull beskrivs röstningsprocessen för ett enkandidatval (Ja/Nej) som hålls i en vallokal med hjälp av en DRE - maskin med pekskärm. Det finns standardsätt att utöka ett enda kandidatval för att stödja flera kandidater, t.ex. tillhandahålla ett Ja/Nej-val för var och en av kandidaterna eller använda olika kodade värden för olika kandidater som beskrivs av Baudron et al.

Efter att ha autentiserats vid en vallokal får en väljare en autentiseringsinformation, som kan vara ett slumpmässigt lösenord eller ett smartkort. Autentiseringsuppgifterna tillåter väljaren att logga in på en DRE-maskin i en privat valbås och rösta, men maskinen känner inte till väljarens verkliga identitet.

En väljare avger en röst på en DRE-maskin i två steg. Först presenteras han för "Ja" och "Nej" alternativ för den visade kandidaten på skärmen. När väljaren gör ett val på pekskärmen skriver DRE ut den första delen av kvittot, innehållande ${\displaystyle i,R_{ i}=g_{2}^{r_{i}},Z_{i}=g_{1}^{r_{i}}g_{1}^{v_{i}}} där jag {\$ displaystyle $}$ är ett unikt indexnummer för röstsedlar, ${\displaystyle r_{i}}$ är ett nummer som väljs enhetligt slumpmässigt från ${\displaystyle [1,q-1]}$ och ${\displaystyle v_{i}}$ är antingen 1 eller 0 (motsvarande "Ja" respektive "Nej"). Chiffertexten kommer också med ett noll kunskapsbevis för att bevisa att ${\displaystyle R_{i}}$ och ${\displaystyle Z_{i}}$ är välformade. Detta nollkunskapsbevis kan realiseras genom att använda en teknik som beror på Ronald Cramer , Ivan Damgård och Berry Schoenmakers (även kallad CDS-tekniken). Den interaktiva CDS-tekniken kan göras icke-interaktiv genom att tillämpa Fiat-Shamir-heuristik.

I det andra steget har väljaren möjlighet att antingen bekräfta eller avbryta valet. Vid "bekräfta" uppdaterar DRE de aggregerade värdena ${\displaystyle t}$ och ${\displaystyle s}$ i minnet enligt nedan, tar bort individuella värden ${\displaystyle r_{i}}$ och ${\displaystyle v_{i}}$ och markerar valsedeln som "bekräftad" på kvittot.

${\displaystyle t=\summa v_{i},s=\summa r_{i}}$ .

I händelse av "avbryt", avslöjar DRE ${\displaystyle r_{i}}$ och ${\displaystyle v_{i}}$ på kvittot, markerar valsedeln som "avbruten" och uppmanar väljaren att välja igen. Väljaren kan kontrollera om den tryckta ${\displaystyle v_{i}}$ stämmer överens med hans tidigare val och ta upp en tvist om den inte gör det. Väljaren kan avbryta så många omröstningar han vill men kan bara avge en bekräftad omröstning. Avbrytningsalternativet gör det möjligt för väljaren att verifiera om uppgifterna som skrivs ut på kvittot under det första steget överensstämmer med den korrekta krypteringen av väljarens val, vilket säkerställer att rösten "avges som avsett". Detta följer samma tillvägagångssätt för väljarinitierad revision som föreslagits av Joshua Benaloh. Men i DRE-ip realiseras väljarinitierad granskning utan att väljaren behöver förstå kryptografi (väljaren behöver bara kontrollera om den utskrivna klartexten v $\displaystyle v_{i}}$ är korrekt).

Efter avslutad omröstning lämnar väljaren valbåset med ett kvitto på den bekräftade valsedeln och noll eller fler kvitton för de inställda valsedlarna. Samma data som är tryckt på kvittonen publiceras också på en spegelwebbplats för offentliga val (även känd som en offentlig anslagstavla) med en digital signatur för att bevisa uppgifternas äkthet. För att säkerställa att rösten "bokas som avgiven" behöver väljaren bara kontrollera om samma kvitto har publicerats på valwebbplatsen.

Sammanställning

När valet har avslutats publicerar DRE de slutliga värdena ${\displaystyle t}$ och ${\displaystyle s}$ på valwebbplatsen, förutom alla kvitton. Vem som helst kommer att kunna verifiera sammanställningens integritet genom att kontrollera publicerade revisionsdata, i synnerhet om följande två ekvationer håller. Detta säkerställer att alla röster är "tallade som registrerade", vilket tillsammans med den tidigare försäkran om "avgivna som avsett" och "registrerade som avgivna" garanterar att hela röstningsprocessen är "end-to-end verifierbar".

Ett "end-to-end verifierbart" röstsystem sägs också vara "mjukvaruoberoende", en fras myntad av Ron Rivest . DRE-ip-systemet skiljer sig från andra E2E-verifierbara röstningssystem genom att det inte kräver stämmande myndigheter, därför är valhanteringen mycket enklare.

${\displaystyle \prod R_{i}=g_{2}^{s}}$ och ${\displaystyle \prod Z_{i}=g_{1 }^{s}g_{1}^{t}}$ .

Rättegång i verkligheten

Antal väljarpreferenser i Gateshead e-röstningsprövningen

En pekskärmsbaserad prototyp av DRE-ip hade implementerats och testats i en vallokal i Gateshead den 2 maj 2019 under lokalvalet i Storbritannien 2019. Under rättegången röstade väljarna först som vanligt med pappersröstsedlar. När de lämnade vallokalen bjöds de in att delta i en frivillig prövning av att använda ett DRE-ip e-röstningssystem för ett dummyval. I genomsnitt tog det bara 33 sekunder för varje väljare att rösta på DRE-ip-systemet.

Som en del av rättegången ombads väljarna att jämföra sina rösterfarenheter av att använda pappersröstsedlar och e-röstningssystemet DRE-ip, och ange vilket system de skulle föredra. Bland de deltagande väljarna valde 11 "föredrar starkt papper", 9 valde "föredrar papper", 16 valde "neutralt", 23 valde "föredrar e-röstning" och 32 valde "föredrar starkt e-röstning".