Direktinspelning Elektronisk med integritet

Direct Recording Electronic with Integrity (DRE-i) är ett end-to-end (E2E) verifierbart e-röstningssystem, designat av Feng Hao och Matthew Kreeger 2010 och formellt publicerat 2014 med ytterligare författare Brian Randell , Dylan Clarke, Siamak Shahandashti och Peter Hyun-Jeen Lee.

DRE-i är det första E2E verifierbara e-röstningssystemet utan att involvera några räkningsmyndigheter. Författarna kallar ett sådant avstämningsfritt E2E-röstningssystem för "självförstärkande e-röstning". Avlägsnandet av stämmande myndigheter förverkligas i DRE-i genom att förberäkna krypterade röstsedlar på ett strukturerat sätt så att efter valet, multiplicering av chiffertexterna kommer att ta bort alla slumpmässiga faktorer, vilket gör det möjligt för alla offentliga observatörer att verifiera räkningens integritet. En förbättrad version kallad DRE-i med förbättrad integritet (DRE-ip), som använder en realtidsberäkningsstrategi istället för en förberäkningsstrategi, testades framgångsrikt i en vallokal i Gateshead under lokalvalet i Storbritannien 2019.

Protokoll

Låt $p$ och $q$ vara två stora primtal, där ${\textstil q\,|\,p-1}$ . Låt $g$ vara en generator för undergruppen av $Z_{p}^{*}$ av primeordningen $q$ . Parametrarna $(p,q,g)$ är offentligt överenskomna före valet. Alla modulooperationer utförs med avseende på modulen $p$ . Protokollet kan också implementeras med hjälp av en elliptisk kurva , medan specifikationen förblir densamma.

I följande exempel förklaras protokollet i samband med ett Ja/Nej-val med en enda kandidat som hålls på övervakade vallokaler med pekskärms DRE - maskiner. Det finns standardsätt att utöka ett enstaka kandidatval för att stödja flera kandidater, t.ex. tillhandahålla ett Ja/Nej-val för var och en av kandidaterna eller använda kodade värden för kandidater. Protokollet kan också implementeras för internetröstning som gjorts för verifierbar klassrumsröstning.

DRE-i-protokollet består av tre faser: inställning, röstning och sammanställning.

Uppstart

En DRE-i-implementering kan inkludera en server och distribuerade DRE-klienter som ansluter till servern via en säker kanal. Före valet förberäknar servern en tabell enligt nedan.

Valupplägg
Valsedel nr $i$	Slumpmässig offentlig nyckel $g^{x_{i}}$	Omstrukturerad offentlig nyckel $g^{y_{i}}$	Kryptogram för ja-röst	Kryptogram för nej-röst
$1$	$g^{x_{1}}$	$g^{y_{1}}$	$g^{x_{1}y_{1}}$ , 1-av-2 ZKP	$g^{x_{1}y_{1}}g$ , 1-av-2 ZKP
$2$	$g^{x_{2}}$	$g^{y_{2}}$	$g^{x_{2}y_{2}}$ , 1-av-2 ZKP	$g^{x_{2}y_{2}}g$ , 1-av-2 ZKP
...	...	...	...	...
$n$	$g^{x_{n}}$	$g^{y_{n}}$	$g^{x_{n}y_{n}}$ , 1-av-2 ZKP	$g^{x_{n}y_{n}}g$ , 1-av-2 ZKP

Tabellen innehåller $n$ rader där varje rad motsvarar en valsedel. Antalet $n$ är större än det maximala antalet röstberättigade röstberättigade för att tillgodose röstgranskning. För var och en av de $n$ valsedlarna väljer servern en slumpmässig hemlig nyckel $x_{i}\in _{R}[1,q-1]$ och beräknar motsvarande publika nyckel $g^{x_{i}}$ . När detta har gjorts för alla omröstningar, beräknar servern en omstrukturerad publik nyckel för varje omröstning enligt följande:

g^{y_{i}}=\prod _{j<i}g^{x_{j}}/\prod _{j>i}g^{x_{j}}

Ja/nej-värdet i varje omröstning krypteras i form av $C_{i}=g^{x_{i}y_{i}}\cdot g^ {v_{i}}$ där $v_{i}$ = 0 för "Nej" och 1 för "Ja". Dessutom beräknar maskinen ett 1-av-2 Zero-knowledge proof (ZKP) för varje Ja/Nej-värde. Detta för att säkerställa att den krypterade rösten är väl utformad. Med andra ord kan värdet på rösten $v_{i}$ bara vara antingen 0 eller 1. När förberäkningen är klar publicerar servern alla slumpmässiga publika nycklar och omstrukturerade publika nycklar (de tre första kolumner i inställningstabellen) samtidigt som ja och nej-kryptogrammen hålls hemliga (de två sista kolumnerna).

Röstning

Efter autentisering vid en vallokal får en väljare ett slumpmässigt lösenord eller ett smartkort och loggar in på en DRE-klient i en privat valbås. Att lägga en röst innebär två grundläggande steg.

I steg ett väljer väljaren ett val, "Ja" eller "Nej", för den kandidat som visas på pekskärmen. Vid valet skriver DRE-maskinen ut följande data på papperskvittot: valsedelns serienummer $i$ och kryptogrammet för det valda valet, tillsammans med en digital signatur för att bevisa datans äkthet.

I steg två har väljaren möjlighet att antingen bekräfta eller avbryta det tidigare valet. Om alternativet för bekräftelse väljs, skriver maskinen ut en "finish" på papperskvittot med en digital signatur för att indikera att en giltig valsedel har avgivits. Å andra sidan, om alternativet avbryt är valt, skriver maskinen ut det annullerade kandidatvalet i vanlig text och det andra kryptogrammet tillsammans med en digital signatur. I det här fallet har en blindröst gjorts. Väljaren bör kontrollera om det annullerade kandidatvalet tryckt på kvittot stämmer överens med deras val; om inte, bör en tvist tas upp till valpersonalen vid vallokalen. Detta "bekräfta/avbryt"-alternativ gör det möjligt för en väljare att verifiera att rösten är "avgiven som avsett". Väljaren kan avge så många attrappröster de vill (med förbehåll för en rimlig gräns), men får avge endast en giltig röst.

Alla kvitton publiceras på en offentlig anslagstavla (dvs. en speglad offentlig webbplats), tillsammans med digitala signaturer för att bevisa uppgifternas äkthet. Efter röstningen lämnar väljaren valbåset med ett kvitto (eller mer än ett kvitto om väljaren väljer att avbryta omröstningen). Väljaren kontrollerar om samma innehåll på kvittot finns publicerat på anslagstavlan. Detta säkerställer att deras röst "registreras som avgiven".

Sammanställning

När valet är avslutat meddelar servern antalet "Ja"-röster. Dessutom publicerar den kryptogrammen "Ja" och "Nej" för alla oanvända valsedlar på anslagstavlan, som om de hade ställts in av väljarna. Ett exempel på anslagstavlan efter valet visas nedan.

Ett exempel på anslagstavla efter valet
Valsedel nr $i$	Slumpmässig offentlig nyckel $g^{x_{i}}$	Omstrukturerad offentlig nyckel $g^{y_{i}}$	Publicerade röster $V_{i}$	ZKPs
$1$	$g^{x_{1}}$	$g^{y_{1}}$	Giltigt: $g^{x_{1}y_{1}}$	en 1-av-2 ZKP
$2$	$g^{x_{2}}$	$g^{y_{2}}$	giltigt: $g^{x_{2}y_{2}}$	en 1-av-2 ZKP
$3$	$g^{x_{3}}$	$g^{y_{3}}$	Avbruten: $g^{x_{3}y_{3}}$ , $g^{x_{3}y_{3}}\cdot g$	två 1-av-2 ZKP
...	...	...	...	...
$n$	$g^{x_{n}}$	$g^{y_{n}}$	Oanvända: $g^{x_{n}y_{n}}$ , $g^{x_{n}y_{n}}\cdot g$	två 1-av-2 ZKP

För att verifiera den av servern meddelade räkningen multiplicerar man helt enkelt alla publicerade röster $V_{i}$ . För inställda (dummy) och oanvända röster ingår endast nej-röster i multiplikationen.

\prod _{i}V_{i}=\prod _{i}g^{ x_{i}y_{i}}g^{v_{i}}=\prod _{i}g^{v_{i}}=g^{\sum _{i}v_{i}}

I ovanstående beräkning raderas alla slumpmässiga faktorer ut på exponenten eftersom ${\textstyle \sum _{i}{x_{i}y_{i}}=0}$ baserat på en avstängningsteknik som används i anonymt vetonätverk . Detta lämnar bara ${\textstyle \sum _{i}v_{i}}$ på exponenten. För att verifiera stämman $t$ som meddelats av servern behöver man bara kontrollera om följande ekvation håller. Detta säkerställer att alla röster "talas som registrerade", vilket tillsammans med den tidigare försäkran om "avgivna som avsett" och "registrerade som avgivna" säkerställer att hela röstningsprocessen är verifierbar från början till slut.

\prod _{i}V_{i}\;{\overset {?}{=}}\;g^{t}

Implementering och praktiska tillämpningar

En prototyp av ett verifierbart klassrumsröstningssystem, baserat på DRE-i-protokollet, har implementerats för pedagogiska ändamål och används för klassrumsröstning och studentpristävlingar.

Begränsning

DRE-i-protokollet fungerar genom att förberäkna de krypterade valsedlarna. De förberäknade röstsedlarna måste dock förvaras säkert. Om de förberäknade röstsedlarna avslöjas kommer rösthemligheten att äventyras (dock förblir den sammanställda integriteten intakt, vilket garanteras av verifierbarheten från början till slut). Denna begränsning åtgärdas genom att använda en annan realtidsberäkningsstrategi som leder till ett förbättrat protokoll som kallas DRE-i med förbättrad integritet ( DRE-ip). Både DRE-i- och DRE-ip-protokollen är verifierbara från ända till ände utan stämmande auktoriteter, till skillnad från andra E2E-verifierbara e-röstningsscheman som involverar räkningsmyndigheter för att utföra dekrypterings- och räkningsoperationer.

Se även

DRE röstmaskin