End-to-end auditerbara röstsystem

Del av serie om
en
valteknikteknik
Frånvarande omröstning Tchad DRE röstmaskin Elektronisk röstning Elektronisk röstningsmaskin Optisk scan röstsystem Provisorisk omröstning Röstmaskin Väljarverifierad pappersrevisionsspår Rösträkningssystem
Terminologi
Centralräkning eller CCOS Överrösta Precinct count eller PCOS Underrösta Återstående röstning eller avhopp
Testning
Acceptanstestning Kvalifikationsprov Programvaruverifiering Användbarhetstestning
Tillverkare
Valsystem och programvara Hart InterCivic Dominion Röstning Smartmatic
Besläktade aspekter
Certifiering av röstmaskiner Independent Testing Authority (ITA) NVLAP VVSG End-to-end auditerbara röstsystem Hjälp America Vote Act Oberoende verifieringssystem Säker elektronisk registrering och röstningsexperiment Programvaruoberoende

En del av serien Politik
Röstning
Omröstning Valsedlar Frånvarande omröstning Provisorisk omröstning Exempel på röstsedel Kandidater och omröstningsåtgärder Inskriven kandidat Väljarkår Skiffer Biljett Samling Valurna Obligatorisk röstning Förtidsröstning Elektronisk röstning Öppen omröstning Vallokal Brevröstning Polisdistrikt Röstcentrum Valstuga Räkning Populär röst Tally Röstmaskin
Valsystem Pluralitet och majoritetssystem Omröstning först efter posten Två-runda system Omröstning omedelbart Omröstning med pluralitet i stort Allmän biljett Vanligt omdöme Proportionella och semi-proportionella system En enda röst som inte kan överföras Kumulativ röstning Binomialsystem Parti-lista Enstaka överlåtbar röstning Extra röst System med blandade medlemmar Blandad medlem proportionell Ytterligare medlemssystem Blandad enstaka röst (överföring av positiv röst) Scorpo (överföring av negativ röst) Överlåtbar röst med blandad röst Alternativ Rösta Plus Dubbelledad proportionell Landsbygds-stadsproportionell Majoritetsbonussystem Parallellomröstning (majoritet med blandad ledamot)
Röstningsstrategier Fråga om röstning Fusionsröstning Omröstning med delad biljett Raka biljettröstning Taktisk röstning Rösta parning Proteströster Röstnedläggelse Åsnan röst Valbojkott Inget av ovanstående Avvisade omröstning Bortskämd röst
Röstmönster och effekter Coattail effekt Trolig väljare Omröstningens paradox Passiv valkamp Röstdelning Väljarapati Väljartrötthet Valdeltagandet Proteströster
Valfusk Valsedlar skörd Valsedlar fyllning Förbrytelse av rösträtt Väljarundertryckning Väljarbur Förebyggande Val bläck Sluten omröstning Väljarregistrering
Politik portal

End-to-end auditable eller end-to-end voter verifiable ( E2E ) system är röstsystem med stränga integritetsegenskaper och starkt manipuleringsmotstånd . E2E-system använder ofta kryptografiska metoder för att skapa kvitton som gör det möjligt för väljarna att verifiera att deras röster räknades som avgivna, utan att avslöja vilka kandidater som röstades fram. Som sådana kallas dessa system ibland för kvittobaserade system.

Översikt

Elektroniska röstningssystem kommer fram till sin slutliga röstsumma genom en serie steg:

1. varje väljare har en ursprunglig avsikt,
2. väljare uttrycker sin avsikt med röstsedlar (oavsett om det är interaktivt, som på den övergående displayen på en DRE-röstningsmaskin , eller varaktigt, som i system med väljarkontrollerbara pappersspår ),
3. röstsedlarna tolkas för att generera elektroniska röstregister,
4. avgivna röster räknas upp, vilket genererar totaler
5. där räkningen görs lokalt, till exempel på distrikts- eller länsnivå, kombineras resultaten från varje lokal nivå för att producera den slutliga räkningen.

Klassiska förhållningssätt till valintegritet tenderade att fokusera på mekanismer som fungerade vid varje steg i kedjan från väljaravsikt till slutsumman. Röstning är ett exempel på ett distribuerat system, och i allmänhet har distribuerade systemdesigners länge vetat att ett sådant lokalt fokus kan missa vissa sårbarheter samtidigt som de överskyddar andra. ^{[ citat behövs ]} Alternativet är att använda end-to-end- mått som är utformade för att mäta hela kedjans integritet.

Under 2002 påpekades misslyckandet hos konventionella röstningssystem för optisk skanning för att uppfylla en end-to-end-standard.

Omfattande bevakning av valintegritet involverar ofta flera steg. Väljare förväntas verifiera att de har markerat sina valsedlar som avsett, omräkningar eller revisioner används för att skydda steget från markerade valsedlar till valurnasummor, och publicering av alla delsummor möjliggör offentlig verifiering av att totalsummorna korrekt summerar valurnan. totalt.

Även om åtgärder som väljarverifierade pappersrevisionsspår och manuella omräkningar mäter effektiviteten av vissa steg, erbjuder de endast en svag mätning av integriteten hos de fysiska eller elektroniska valurnorna. Röstsedlar kan tas bort, ersättas eller kan ha markerats utan upptäckt ( dvs för att fylla i underröstade tävlingar med röster på en önskad kandidat eller för att överrösta och förstöra röster för oönskade kandidater). Denna brist motiverade utvecklingen av de end-to-end-reviderbara röstningssystem som diskuteras här, ibland kallade E2E-röstningssystem . Dessa försöker täcka hela vägen från väljarförsök till valsummor med bara två åtgärder:

• Individuell verifierbarhet, genom vilken varje väljare kan kontrollera att hans eller hennes röst är korrekt inkluderad i den elektroniska valurnan, och
• Universell verifierbarhet, genom vilken vem som helst kan fastställa att alla röstsedlar i rutan har räknats korrekt.

På grund av vikten av rätten till sluten omröstning försöker vissa E2E-röstningssystem också uppfylla ett tredje krav, vanligtvis kallat kvittensfrihet :

• Ingen väljare kan visa hur han eller hon röstat för någon tredje part.

En forskare har hävdat att revisionsbarhet och kvittofrihet bör anses vara ortogonala egenskaper. Andra forskare har visat att dessa egenskaper kan samexistera, och dessa egenskaper kombineras i 2005 års riktlinjer för frivilligt röstningssystem som utfärdats av valassistanskommissionen . Denna definition är också dominerande i den akademiska litteraturen.

För att ta itu med valsedlar kan följande åtgärd antas:

• Valbarhet verifierbarhet, genom vilken vem som helst kan avgöra att alla räknade röster avgavs av registrerade väljare.

Alternativt kan påståenden om valsedlar verifieras externt genom att jämföra antalet tillgängliga röstsedlar med antalet registrerade väljare som registrerats för att ha röstat, och genom att granska andra aspekter av registrerings- och valsedlarsystemet.

Stöd för E2E-revisionsbarhet, baserat på tidigare erfarenhet av att använda det med personliga val, ses också som ett krav för fjärrröstning över Internet av många experter.

Föreslagna E2E-system

2004 föreslog David Chaum en lösning som gör det möjligt för varje väljare att verifiera att deras röster avgivits på rätt sätt och att rösterna räknas korrekt med hjälp av visuell kryptografi . Efter att väljaren valt sina kandidater skriver en röstmaskin ut en specialformaterad version av röstsedeln på två OH-film. När lagren är staplade visar de den mänskliga läsbara rösten. Varje transparens är dock krypterad med en form av visuell kryptografi så att den ensam inte avslöjar någon information om den inte är dekrypterad. Väljaren väljer ett lager att förstöra vid omröstningen. Röstningsmaskinen behåller en elektronisk kopia av det andra lagret och ger den fysiska kopian som ett kvitto för att väljaren ska kunna bekräfta att den elektroniska valsedeln inte senare ändrades. Systemet upptäcker ändringar i väljarens röstsedel och använder en mix-net- dekrypteringsprocedur för att kontrollera om varje röst räknas korrekt. Sastry, Karloff och Wagner påpekade att det finns problem med både Chaum och VoteHere kryptografiska lösningar.

Chaums team utvecklade därefter Punchscan , som har starkare säkerhetsegenskaper och använder enklare pappersvalsedlar. Det röstas om pappersrösterna och sedan skannas en integritetsbevarande del av röstsedeln av en optisk skanner.

Prêt à Voter- systemet, uppfunnit av Peter Ryan, använder en blandad kandidatordning och ett traditionellt mixnätverk . Precis som i Punchscan sker omröstningarna på pappersröstsedlar och en del av röstsedeln skannas.

Scratch and Vote-systemet, uppfunnit av Ben Adida, använder en skrapyta för att dölja kryptografisk information som kan användas för att verifiera korrekt utskrift av valsedeln.

ThreeBallot - röstningsprotokollet, uppfunnit av Ron Rivest , designades för att ge några av fördelarna med ett kryptografiskt röstningssystem utan att använda kryptografi. Den kan i princip implementeras på papper även om den presenterade versionen kräver en elektronisk verifierare.

Systemen Scantegrity och Scantegrity II ger E2E-egenskaper. Istället för att ersätta hela röstningssystemet, vilket är fallet i alla de föregående exemplen, fungerar det som ett tillägg till befintliga röstningssystem för optisk skanning, och producerar konventionella väljarverifierbara pappersröstsedlar som är lämpliga för riskbegränsande revisioner . Scantegrity II använder osynligt bläck och utvecklades av ett team som inkluderade Chaum, Rivest och Ryan.

STAR-Vote-systemet definierades för Travis County, det femte folkrikaste länet i Texas, och hem för delstatshuvudstaden Austin. Den illustrerade ett annat sätt att kombinera ett E2E-system med konventionellt granskningsbara pappersröstsedlar, producerade i detta fall av en valsedelmarkeringsanordning . Projektet tog fram en detaljerad specifikation och begäran om förslag under 2016, och anbud mottogs för alla komponenter, men ingen befintlig entreprenör med en EAC- certifierad omröstning var villig att anpassa sitt system för att fungera med de nya kryptografiska komponenterna med öppen källkod efter behov. av RFP.

Med utgångspunkt i STAR-Vote-upplevelsen ledde Josh Benaloh på Microsoft designen och utvecklingen av ElectionGuard, ett mjukvaruutvecklingskit som kan kombineras med befintliga röstningssystem för att lägga till E2E-stöd. Röstsystemet tolkar väljarens val, lagrar dem för vidare bearbetning, ringer sedan upp ElectionGuard som krypterar dessa tolkningar och skriver ut ett kvitto till väljaren. Kvittot har ett nummer som motsvarar den krypterade tolkningen. Väljaren kan sedan förkasta valsedeln ( förstöra den ) och rösta igen. Senare kan oberoende källor, som politiska partier, få filen med numrerade krypterade valsedlar och summera de olika tävlingarna på den krypterade filen för att se om de matchar valsumman. Väljaren kan fråga de oberoende källorna om numret/numren på väljarkvittot/n finns i filen. Om tillräckligt många väljare kontrollerar att deras nummer finns i filen kommer de att se om röstsedlar utelämnas. Väljare kan få det dekrypterade innehållet i sina bortskämda valsedlar för att avgöra om de exakt matchar vad väljaren minns var på dessa valsedlar. Väljaren kan inte få dekrypterade kopior av röstade röstsedlar, för att förhindra försäljning av röster. Om tillräckligt många väljare kontrollerar bortskämda röstsedlar kommer de att visa fel i krypteringarna. ElectionGuard upptäcker inte valsedlar, som måste upptäckas av traditionella register. Den upptäcker inte personer som förfalskar kvitton, hävdar att deras valsedel saknas eller tolkats felaktigt. Valtjänstemän kommer att behöva bestämma hur de ska spåra påstådda fel, hur många som behövs för att starta en utredning, hur de ska utreda och hur de ska återhämta sig från fel, statlig lag kan ge personalen ingen behörighet att vidta åtgärder. ElectionGuard räknar inte inskrivningar, förutom som en odifferentierad summa. Det är oförenligt med överröster .

Använd i val

Staden Takoma Park, Maryland använde Scantegrity II för sina stadsval 2009 och 2011.

Helios har sedan 2009 använts av flera organisationer och universitet för allmänna val, styrelseval och studentrådsval.

Wombat Voting användes i studentrådsval vid det privata forskarkollegiet Interdisciplinary Center Herzliya 2011 och 2012, samt i primärvalen för det israeliska politiska partiet Meretz 2012.

En modifierad version av Prêt à Voter användes som en del av vVote-omröstningswebbplatsens elektroniska röstsystem vid det viktorianska delstatsvalet 2014 i Australien.

ElectionGuard kombinerades med ett röstsystem från VotingWorks och användes för vårens primärval i Fulton, Wisconsin den 18 februari 2020.

DRE -ip- systemet testades i en vallokal i Gateshead den 2 maj 2019 som en del av lokalvalet i Storbritannien 2019 .

Exempel

• HUGGORM
• Helios
• Prêt à Voter
• Punchscan
• Skarphet
• Wombat-röstning
• Tre omröstningar
• Bingo röstning
• homomorfisk hemlighetsdelning
• DRE-i (E2E verifierbar e-röstning utan sammanräkningsmyndigheter baserat på förberäkning)
• DRE-ip (E2E verifierbar e-röstning utan sammanräkningsmyndigheter baserat på realtidsberäkning)

externa länkar

• Verifiera val med kryptografi — Video av Ben Adidas 90-minuters teknikprat
• Helios: Webbaserad Open-Audit Voting — PDF som beskriver Ben Adidas Helios-webbplats
• Helios Voting Systems webbplats
• Enkelt revisionsbart och anonymt röstningsschema
• Studie om röstnings- och verifieringssystem på omröstningsplatsen — En översyn av befintliga elektroniska röstningssystem och dess verifieringssystem i övervakade miljöer.

• en MIT Media Lab-artikel från 2020 om verifierbara röstsystem från början till slut, inkluderar diskussion om blockkedjor
• En riktigt hemlig omröstning — Artikel av The Economist