Sichere History

[Andev]

Hm? Alle Wahlzettel sind in einer Menge, ja. Ich kann pruefen das mein Wahlzettel unveraendert ist und gezaehlt wird. Ich kann pruefen das fuer alle Wahlzettel eine zum Wahlzettel passende also unveraenderte Stimme existiert. Dann kann ich daraus folgern das meine Stimme korrekt gezaehlt wird, ohne das alle diese Ueberpruefung machen muessen.
[...]
Genau das wuerde mit dem beschriebenen Verfahren ja geloest werden. Weil ich pruefen kann das mein Wahlzettel vorhanden ist und die Stimme nicht veraendert wurde. Ohne das dabei die Stimme bekannt sein muss, nur das sie nicht veraendert wurde. Eine genaue Zuordnung von Wahlzettel zu Stimme ist nicht moeglich.

Prüfen, ob Deiner Stimme verändert wurde, kannst Du doch nur, wenn Du prüfen kannst, welche Stimme zum Zettel gehört. Alles andere ist doch überhaupt nicht möglich. Was bringt es Dir herauszufinden, dass Deine Stimme irgendwo in einer Menge vorhanden ist und irgendeine Relation zu einer anderen Menge existiert, in der mindestens eine Stimme in Deinem Sinne vorhanden ist?
Dein Vorschlag funktioniert doch nur, wenn bereits garantiert wurde, dass Deine Stimme korrekt gezählt und korrekt übertragen wurde, und genau das soll die Überprüfung doch erst herausfinden.

Nochmal: wie können Deine Erpresser anhand Deiner Wahlbestätigung nicht sehen, welches Kreuz Du gesetzt hast, Du kannst aber anhand Deiner Wahlbestätigung sehen, welches Kreuz Du gesetzt hast?

Deswegen darf ab dem Zeitpunkt wo ein "Wahlcomputer" relevant ist keine unbemerkte Manipulation mehr moeglich sein, ohne das davon ausgegangen werde muss das der "Wahlcomputer" nicht manipuliert ist.

Das heißt, der Wahlcomputer darf weder die Stimmen aufnehmen, noch die Umwandlung von Kreuz zu Bits vornehmen, noch verschlüsseln oder signieren und auch nicht auszählen. Ja, dann geht das. Aber dann bedient er nur noch die Kaffeemaschine.

Ich habe nicht gemeint das mich "Praxis" und "Beispiele" nicht interessieren. Aber "Theorie" ist halt irgendwie die Grundlage fuer die "Praxis"? Wenn ich sage die theoretischen Probleme reichen mir erstmal bedeutet das ja nicht das ich die praktischen ignoriere. Im Hinblick auf die Fragestellung "es kann kein System geben?" ist die Theorie aber vermutlich hilfreicher? Zumindest kann ich mir kein praktisches "Gegenbeispiel" vorstellen bei dem die "Theorie" fuer die Frage nicht relevant waere. Das ignoriert keineswegs bestehende Systeme.

Die grundlegenden Probleme werden aber nicht gelöst, indem einfach Ideen und Namen bekannter Programme genannt werden. Das ganze muss formal, das heißt mathematisch, gezeigt werden. Wenn Du keinen mathematischen Korrektheitsbeweis Deines Verfahrens aufzeigen kannst, dann ist es wertlos. Für PKI, elliptische Kurven usw. gibt es entsprechende Beweisverfahren, die die Korrektheit zeigen und die Angriffsmöglichkeiten auf Einwegfunktionen und die jeweilige Komplexitätsklasse zurückführen.
Die praktische Umsetzung öffnet lediglich noch weiteren Schwächen Tür und Tor durch unkorrekte Umsetzung, praktische Probleme, technische Einschränkungen, Man-in-the-middle, ....

[crs]

Nochmal: wie können Deine Erpresser anhand Deiner Wahlbestätigung nicht sehen, welches Kreuz Du gesetzt hast, Du kannst aber anhand Deiner Wahlbestätigung sehen, welches Kreuz Du gesetzt hast?

Niemand kann sehen welches Kreuz ich gesetzt habe. Aber ich kann sehen das die Stimme unveraendert ist, ohne das eine eindeutige Zuordnung zu dieser Stimme existiert. Meine Stimme habe ich selber berechnet, nicht irgendein "Wahlcomputer" der manipuliert sein koennte.

Die praktische Umsetzung öffnet lediglich noch weiteren Schwächen Tür und Tor durch unkorrekte Umsetzung, praktische Probleme, technische Einschränkungen, Man-in-the-middle, ....

Das ist doch gerade der Grund warum ich gesagt habe Theorie reicht erstmal?

Das von mir beschriebene Verfahren ist ohne Korrektheitsbeweis wertlos, ja. Aber ich behaupte ja auch garnicht das es funktioniert. Nur das es (hoffentlich) garnicht so offensichtlich ist, warum das nicht funktioniert (bzw. nicht funktionieren kann).

[Andev]

Niemand kann sehen welches Kreuz ich gesetzt habe. Aber ich kann sehen das die Stimme unveraendert ist, ohne das eine eindeutige Zuordnung zu dieser Stimme existiert. Meine Stimme habe ich selber berechnet, nicht irgendein "Wahlcomputer" der manipuliert sein koennte.

Wenn Du nicht sehen kannst welches Kreuz gesetzt ist, kannst Du auch nicht sehen, ob die Stimme unverändert ist.
Beispiel: Du tippst "Nr. 2", der Wahlcomputer berechnet Deinen Stimmschlüssel aber als "Nr. 3", dann siehst Du bei jeder Überprüfung nur "Ja, richtig, meine abgegebene Stimme wurde korrekt gezählt", nicht aber "Ja, ich habe Nr. 2 gewählt" (bei Deinem Verfahren ist nicht einmal das erstere möglich).
Es ist aber die letztere Überprüfung, die notwendig ist, um die Korrektheit zu Verifizieren. Und das ist, nochmal, nur dann möglich, wenn Du aus der Deiner persönlichen Stimme nachträglich direkt die gewählte Antwort herausfinden kannst. Meine Frage war nicht: "Ist meine Stimme korrekt übertragen worden" - was Du beantworten willst - sondern, "Ist meine übertragene Stimme auch die von mir gewünschte".

Und ja, dein Programm hat eine derart offensichtliche Schwäche, dass niemand ein derartiges Verfahren je umgesetzt oder auch nur vorgeschlagen hat.
Das Problem ist ein fundamentales und kann nicht durch den zusätzlichen Einsatz einer beliebigen Technik gelöst werden. Jedes derartiges Wahlverfahren ist nur so sicher wie der Wahlcomputer selbst: Gar nicht!

[crs]

Beispiel: Du tippst "Nr. 2", der Wahlcomputer berechnet Deinen Stimmschlüssel aber als "Nr. 3"

Ich wiederhole mich jetzt doch, aber nicht der Wahlcomputer berechnet meine Stimme. Sondern ich selber, mit Hardware die ich selber gebaut habe. Theoretisch nicht ausgeschlossen. Deswegen kann ich in der Theorie davon ausgehen das meine Stimme korrekt berechnet ist.

Und ja, dein Programm hat eine derart offensichtliche Schwäche, dass niemand ein derartiges Verfahren je umgesetzt oder auch nur vorgeschlagen hat.
Das Problem ist ein fundamentales und kann nicht durch den zusätzlichen Einsatz einer beliebigen Technik gelöst werden. Jedes derartiges Wahlverfahren ist nur so sicher wie der Wahlcomputer selbst: Gar nicht!

Wiegesagt, "mein Programm" hat garnicht den Anspruch zu funktionieren. Das noch niemand ein Verfahren implementiert hat sagt aber nichts darueber aus ob es funktioniert.

[Andev]

Ich wiederhole mich jetzt doch, aber nicht der Wahlcomputer berechnet meine Stimme. Sondern ich selber, mit Hardware die ich selber gebaut habe. Theoretisch nicht ausgeschlossen. Deswegen kann ich in der Theorie davon ausgehen das meine Stimme korrekt berechnet ist.

Welche eigene Hardware denn jetzt? Wir reden von Wahlcomputern, nicht von Elektronikbastelkursen im Keller. Wenn Du nicht Wahlcomputer nutzt sondern jeder selbst irgendwas basteln soll, ist das ganze ohnehin hinfällig.
Davon abgesehen nutzt Dir auch eine eigene Berechnung der Stimme überhaupt nichts, die muss trotzdem in den Computer übertragen und dort verschlüsselt/anonymisiert werden, womit überhaupt nichts gelöst ist. Das gleiche Problem besteht weiterhin: wie stellt Du die Umwandlung/Signierung/Übertragung sicher, ohne dass Du Dich darauf verlässt, dass der Computer nicht manipuliert ist? Dass Deine eigene Nummer/Whatever auch übertragen wurde ist eben nicht genug.

Ich schreibe es jetzt zum vierten Mal, da Du das erfolgreich ignorierst: Wie können Deine Erpresser anhand Deiner Wahlbestätigung nicht sehen, welches Kreuz Du gesetzt hast, Du kannst aber anhand Deiner Wahlbestätigung sehen, welches Kreuz Du gesetzt hast?
Nicht sichere Übertragung, nicht Zahlenüberprüfung, inhaltliche Überprüfung.

Wiegesagt, "mein Programm" hat garnicht den Anspruch zu funktionieren. Das noch niemand ein Verfahren implementiert hat sagt aber nichts darueber aus ob es funktioniert.

Nicht Dein Programm zeigt, dass es nicht möglich ist, sondern die fundamentalen Probleme, die Du bis jetzt vollständig ignorierst und statt dessen vollkommen daran vorbei redest und etwas von irgendwelchen phantastischen Stimmberechnungen dazudichtest.

Nachmal: Überprüfbarkeit und Anonymisierung schließen sich aus. Fundamental, prinzipiell. Alle existierenden Systeme setzen auf ein "gut genug", aber das ist bei derart kritischen Systemen wie Wahlen nicht ausreichend. Jedes Computersystem möchte die Manipulation erschweren, keines kann sie ausschließen.

[crs]

Nachmal: Überprüfbarkeit und Anonymisierung schließen sich aus.

Das Problem ignoriere ich nicht. Aber ich frage warum das so ist, fuer mich ist das naemlich nicht offensichtlich.

[Andev]

Das Problem ignoriere ich nicht. Aber ich frage warum das so ist, fuer mich ist das naemlich nicht offensichtlich.

Natürlich ignorierst Du es, Du hast jede Nachfrage meinerseits, wie Du das denn sicherstellen möchtest, komplett ignoriert und Dich statt dessen an nicht dazugehörigen Details aufgerieben und immer neue, zusätzliche Schichten eingefügt.

Ich weiß auch nicht warum das nicht "offensichtlich" (eigentlich ein furchtbares Wort) ist. Eine Überprüfung, in Bezug auf Wahlen, besteht darin, jedem Wähler die abgegebene Stimme zuzuordnen (Inhaltlich! Nicht ob überhaupt gewählt! Nicht ob richtig übermittelt! Nicht ob in der Menge der Wähler vorhanden!). Anonymität bedeutet, dass keinem Wähler die abgegebene Stimme zugeordnet werden kann (Inhaltlich! Nicht ob überhaupt gewählt! Nicht ob richtig übermittelt! Nicht ob in der Menge der Wähler vorhanden!). Fertig. Widerspruch. A oder nicht-A. Alles weitere ist Magie oder Schlangenöl.

[crs]

Natürlich ignorierst Du es, Du hast jede Nachfrage meinerseits, wie Du das denn sicherstellen möchtest, komplett ignoriert

Hm? Das seit einigen Posts diskutierte Beispiel habe ich genau deswegen konstruiert, als Idee wie man genau dieses Problem Pruefbarkeit und Anonymisierung vielleicht loesen koennte. Auch wenn das Beispiel so natuerlich ziemlich sicher nicht funktioniert und vor allem viele andere Probleme ignoriert, ignoriert es doch gerade dieses Problem nicht.

Widerspruch. A oder nicht-A.

Naja, "Ueberpruefbarkeit und Anonymisierung" ist aber irgendwie (um auf das Wort offensichtlich zu verzichten) keine "A oder nicht-A" Aussage und auch keine "A und nicht-A". Das ist eher wie "Privatheit und Faelschungssicherheit", was Du auch als einen trivialer Gegensatz genannt hast. Meiner Meinung nach ist das aber keiner, weil "Privatheit und Faelschungssicherheit" durch blinde Signaturen verbunden werden. Deshalb ist eben auch nicht sofort klar warum "Ueberpruefbarkeit und Anonymisierung" ein Widerspruch sein muss.

[Andev]

Naja, "Ueberpruefbarkeit und Anonymisierung" ist aber irgendwie (um auf das Wort offensichtlich zu verzichten) keine "A oder nicht-A" Aussage und auch keine "A und nicht-A". Das ist eher wie "Privatheit und Faelschungssicherheit", was nach Deiner Aussage auch ein trivialer Gegensatz ist, meiner Meinung nach aber durch blinde Signaturen verbunden wird.

Ich... weiß langsam nicht mehr was ich noch sagen soll. Du willst:
1. Es muss bei jeder Person nachgewiesen werden können, was gewählt wurde.
2. Es darf bei keiner Person nachgewiesen werden können, was gewählt wurde.
gleichzeitig.

Alle Deine Vorschläge, alle Deine Ideen, alle Deine Einwände, beruhen darauf, dass Du nicht (1) sicherstellst, sondern (3): Es muss sichergestellt sein, dass von jeder Person nur eine Stimme abgegeben wurde oder alternativ (4): Es muss sichergestellt sein, dass jede Person zeigen kann, dass einer von ihr abgegebene Stimme vorhanden ist.
Das ist aber eine völlig andere Frage. Immer noch eine wichtige, aber vollkommen belanglos, solange (1) nicht gelöst ist.

Blind signature ist ein davon völlig unabhängig Verfahren, das ein ganz anderes Problem lösen soll und hier nicht so angewandt werden kann.
Das Prinzip der blind signature ist doch bereits, dass die Nachricht versteckt ("blinded") wurde, bevor sie signiert wird. Dadurch kann die Signierung aber nicht mehr sicher stellen, dass auch die richtige Nachricht signiert wurde, der Sender weiß nicht mehr, ob wirklich die eigene Nachricht übertragen wird und der Empfänger weiß nicht, ob die empfangende Nachricht wirklich die vom Sender geschriebene ist. Es kann nur sichergestellt werden, dass die empfangene Nachricht mit der signierten (nicht dem Klartext!) identisch ist. Jetzt gibt es viele Bereiche, in denen das vollkommen in Ordnung und die Sicherheit ausreichend ist. Aber es ist a) nicht absolut sicher, und darum ging es Dir und b) nicht aureichend für kritische Verfahren, wie wichtige Wahlen.

Das gleiche bei PKI (wo auch blind signatures gerne genutzt werden): Bei Empfang einer Nachricht, die signiert/privat verschlüsselt wurde, weißt Du nur, dass der richtige Schlüssel genutzt wurde, nicht ob der Absender der ist, der als einziger den Schlüssel besitzen sollte, und auch nicht, ob ein Programm nicht die Nachricht zwischen Erstellen und signieren/verschlüsseln manipuliert hat.

[crs]

Blind signature ist ein davon völlig unabhängig Verfahren, das ein ganz anderes Problem lösen soll und hier nicht so angewandt werden kann.

Ja, aber ist es ein Verfahren das Eigenschaften verbindet die einen scheinbaren Widerspruch bilden?

Falls es solch ein Verfahren gibt, welches einen scheinbaren Widerspruch verbindet, koennte es doch auch noch weitere Verfahren geben die andere solche scheinbaren Widersprueche verbinden. Und vieleicht kann man eines dieser Verfahren nutzen, um eines der relevanten Probleme zu loesen.
Das ist meine Argumentation, nicht blinde Signaturen auch fuer andere Probleme einzusetzen.

Ob diese Verfahren "absolut" oder "ausreichend" sicher sind, ist dann nochmal eine andere Frage.

[Andev]

Blind signature ist ein davon völlig unabhängig Verfahren, das ein ganz anderes Problem lösen soll und hier nicht so angewandt werden kann.

Ja, aber ist es ein Verfahren das Eigenschaften verbindet die einen scheinbaren Widerspruch bilden?

Falls es solch ein Verfahren gibt, welches einen scheinbaren Widerspruch verbindet, koennte es doch auch noch weitere Verfahren geben die andere solche scheinbaren Widersprueche verbinden. Und vieleicht kann man eines dieser Verfahren nutzen, um eines der relevanten Probleme zu loesen.
Das ist meine Argumentation, nicht blinde Signaturen auch fuer andere Probleme einzusetzen.

Ob diese Verfahren "absolut" oder "ausreichend" sicher sind, ist dann nochmal eine andere Frage.

Es ist kein scheinbarer Widerspruch, es ist ein echter Widerspruch. Das habe ich doch in den Teilen meiner Beiträge, die Du nie zitierst und auf die Du nie eingehst, mittlerweile genügend ausgebreitet. Verfahren wie PKI, blind signature, Quantensignaturen und alles andere machen die Verfahren nicht sicher, sondern sicherer. Das ist ein gewaltiger Unterschied.
Davon abgesehen löst eine blind signature keinen Widerspruch, weder scheinbar noch echt, sondern ist einfach ein anderes Verfahren, das durch seine Eigenarten zur Unterstützung in noch anderen Verfahren genutzt werden kann.

[BlackJack]

@crs: Ob es Verfahren gibt, die irgendwelche *scheinbaren* Widersprüche verbinden, ist doch vollkommen irrelevant, wenn man es mit *tatsächlichen* Widersprüchen zu tun hat.

[crs]

Davon abgesehen löst eine blind signature keinen Widerspruch, weder scheinbar noch echt, sondern ist einfach ein anderes Verfahren, das durch seine Eigenarten zur Unterstützung in noch anderen Verfahren genutzt werden kann.

Verbindet eine blinde Signatur denn Privatheit und Faelschungssicherheit? "Es ist ein Verfahren [...] das von anderen Verfahren genutzt werden kann" sagt irgendwie nicht viel aus.

@Blackjack:
Ja, wenn es denn einer ist.

[Andev]

Du bist wieder nicht auf die Inhalte der Beiträge eingegangen.
Ich weiß auch nicht warum Du jetzt auf blind signature rumreitest, nachdem Du selbst gesagt hast, dass das mit dem Thema nichts zu tun hat. Welche Schwäche blind signatures untere anderem hat, habe ich doch oben ausführlich aufgelistet.

Wenn das Paper, das ich hier habe, das originale von Chaume ist (sollte es eigentlich), dann ist:

Blind signature systems might be thought of as including the features of true two key digital signature systems combined in a special way with commutative style public key systems. The following three functions make up the blind signature cryptosytem:
1) A signing funciton s' known only to the signer, and the corresponding publically known inverse s, such that s(s'(x))=x und s give no clue about s'.
2) A commuting function c and its inverse c', both known only to the provider, such that c'(s'(c(x)))=s'(x), and c(x) and s' give no clue about x.
3) A redundancy checking predicate r, that checks for sufficient redundancy to make search for valid signatures impractical.

Wie Du siehst für die Schwächen von Wahlsystemen - die wir besprochen haben - nicht relevant. Es behandelt auch keine scheinbaren Widersprüche.
Hier übrigens die Zusammenfassung am Ende:

A new kind of cryptography, blind signatures, has been introduced. It allows realization of untraceable payments sytems which offer improved auditability and control compared to current sytems, whlie at the same time offering increased personal privacy.

Selbst in der eigenen Zusammenfassung, in der die Autoren das System versuchen so positiv darzustellen wie möglich, wird die vorsichtige Formulierung "increased" gewählt, wobei einige der "Vorteile" hier entweder belanglos oder sogar kontraproduktiv sind.

Du hast bisher nicht ein einziges Argument vorgebracht warum es kein Widerspruch sein sollte. Das ist Dir auch nicht möglich, da es sich um einen offensichtlichen, trivialen, selbstverständlichen Widerspruch handelt.

[crs]

Ja, "improved" und "increased" ist natuerlich fuer das Problem nicht ausreichend.

Du hast bisher nicht ein einziges Argument vorgebracht warum es kein Widerspruch sein sollte. Das ist Dir auch nicht möglich, da es sich um einen offensichtlichen, trivialen, selbstverständlichen Widerspruch handelt.

Naja, wenn es nicht nur offensichtlich, sondern sogar offensichtlich ist, dann ist es auch ein Widerspruch Es stimmt wohl das ich nicht mehr richtig auf die Inhalte der Beitraege eingehe, deshalb versuche ich jetzt auch nicht mehr dagegen zu argumentieren.