crs hat geschrieben:
Wie (bzw. ob) man das pruefen kann ist nicht wirklich offensichtlich, aber das haben ja auch einige andere kryptographische Verfahren so an sich, vlt. gibt es dafuer ja auch eines. Es muessten aber nicht alle Personen durchzaehlen, da es ja (hier) nur darum geht das ein Waehler pruefen kann das seine Stimme korrekt gezaehlt wurde. Weitere Probleme wie z.B. wieder "Geisterstimmen" werden dadurch erstmal nicht geloest.
Nein, Du hast in Deiner Lösung vorgegeben, dass nur zu erkennen ist, dass die eigene Stimme in der "Menge A" auftaucht, ohne Möglichkeit, zu zeigen, welche davon es ist.
Zu prüfen, dass die eigene Stimme gezählt wurde, ist aber nicht ausreichend. Das ist belanglos, da die Manipulation erst danach stattfindet. Jeder Wähler muss vielmehr wissen, dass die eigene Stimme auch richtig gezählt wurde. Das ist in deiner Mengenlösung per Definition nicht möglich es sei denn, wie gesagt, Du bringst alle Personen einer Menge zusammen und alle zählen offen durch oder wählen im kleinen noch einmal.
crs hat geschrieben:
Das nur Wahlberechtigte Stimmen abgeben koennen duerfen ist aber auch ein (anderes) Problem das immer geloest werden muss. Ein Ansatz waere hier aber die Wahlzettel in der Menge A von der Pruefungsinstanz signieren zu lassen (nur berechtigte Waehler koennen genau einmal waehlen), und irgendwie zu pruefen das die Pruefungsinstanz keine "falschen" Wahlzettel signiert (Pruefungsinstanz kann keine Waehler erfinden).
Auch hier vertraust Du wieder einer manipulierbaren Maschine (nachdem wir vorausgesetzt haben, dass diese Verfahren eben diese Maschinen überprüfen sollen), aber verglichen mit dem ersten Problem ist das nicht mehr wirklich von Bedeutung.
crs hat geschrieben:
Die Frage ist wer zu welchem Zeitpunkt ueberhaupt (mit welchem Aufwand) manipulieren koennte. Die Stimme wie auch den "Nachweis" fuer den Wahlzettel (also die Werte die nicht manipuliert sein duerfen) wuerde in diesem Fall ja der Waehler selber berechnen, zu diesem Zeitpunkt hat ein "Wahlcomputer" erstmal keinen Einfluss. Ab dem Zeitpunkt wo der "Wahlcomputer" relevant ist, darf es eben keine Moeglichkeit mehr geben zu manipulieren.
Der Aufwand, Wahlcomputer zu manipulieren, ist viel geringer als der Aufwand, eine Papierwahl zu manipulieren, praktisch unmöglich zu entdecken und betrifft viel mehr Stimmen als bei einer Papierwahl. Insbesondere bei bedeutenden Wahlen geht es auch immer um viel Geld - viel mehr als es kosten würde, die Manipuliation durchzuführen.
Jetzt weitere "Ideen" aufzuzählen und die Schwachstellen aufzuzeigen ist mühsam, insbesondere nachdem Du gesagt hast, Dich würden "Praxis" und "Beispiele" nicht interessieren und damit die Systeme ignoriert hast, deren Entwickler Fachleute sind, die Monate oder Jahre investiert haben und das ganze durch rigorose Peer-Reviews geschickt haben.
Daher ein Vorschlag: Löse das nachfolgende, sich trivial ergebende Problem, dann können wir weitere Vorschläge durchgehen.
Eine notwendige, aber nicht hinreichende, Anforderung an ein sicheres Wahlsystem ist:
Nehme an, Du wirst erpresst (oder bestochen), Deine Stimme einem bestimmten Kandidaten zu geben. Jetzt muss das Wahlverfahren sicherstellen, dass der Erpresser (Bestecher) keine Möglichkeit hat, herauszufinden, wer Deine Stimme bekommen hat, während Du überprüfen können musst, dass Deine Stimme für den richtigen Kandidaten gezählt wurde.