Sichere History
-
lordnaikon
- User
- Beiträge: 58
- Registriert: Dienstag 9. Februar 2010, 13:41
@jerch: Ja, richtig. Haftet mir immer noch der Trugschluss an, ich sei der Meinung es gäbe sichere e-voting Verfahren? Ich habe das zum einen nie behauptet, zum anderen selber Hinweise geliefert warum das, rein aus Prinzip, nicht gehen kann. Warum lieferst du mir also weitere Beispiele, die meine eigene Aussage, e-voting ist unsicher, bekräftigen?
Gefühllordnaikon hat geschrieben:@jerch: Ja, richtig. Haftet mir immer noch der Trugschluss an, ich sei der Meinung es gäbe sichere e-voting Verfahren? Ich habe das zum einen nie behauptet, zum anderen selber Hinweise geliefert warum das, rein aus Prinzip, nicht gehen kann. Warum lieferst du mir also weitere Beispiele, die meine eigene Aussage, e-voting ist unsicher, bekräftigen?
Ich habe das Gefühl, dass Du Dich weiterhin bemüßigt sieht, dem nach zu kommen, obgleich Du Dir der Einschränkungen des Verfahrens bewusst bist.
Ein Tor, wer glaubt...
-
lordnaikon
- User
- Beiträge: 58
- Registriert: Dienstag 9. Februar 2010, 13:41
@jerch: Messerscharf erkannt 
dein Sinne sind erkennbar hoch ausgebildet 
Ob diese Wahl stattfindet oder nicht, liegt nicht in meiner Hand. Was in meiner Hand liegt ist, ob ich es sicherer machen kann als ein öffentliches Textfile in der jeder ohne Anmeldung schreiben kann.
dein Sinne sind erkennbar hoch ausgebildet Ob diese Wahl stattfindet oder nicht, liegt nicht in meiner Hand. Was in meiner Hand liegt ist, ob ich es sicherer machen kann als ein öffentliches Textfile in der jeder ohne Anmeldung schreiben kann.lordnaikon hat geschrieben:@jerch: Messerscharf erkannt
Moment, ich sonne mich noch ein wenig....Ok, ernsthaft, ich hatte vor gefühlten 5 Seiten des Threads ein e-Voting per Webseite vorgeschlagen. Das hast Du abgetan mit 'logistischen Gründen'. Keine Ahnung, ob sich Eure logistischen Gründe mit Folgendem ausräumen oder gegengewichten lassen, allerdings hat dieses Verfahren gegenüber dem Verfahren, was Euch so vorschwebt (und ich zugegbenermaßen eher zwischen den Zeilen rausgelesen habe), einige Vorteile:lordnaikon hat geschrieben:Ob diese Wahl stattfindet oder nicht, liegt nicht in meiner Hand. Was in meiner Hand liegt ist, ob ich es sicherer machen kann als ein öffentliches Textfile in der jeder ohne Anmeldung schreiben kann.
- Client ist ubiquitär vorhanden und standardisiert (Browser), ein gezielter Hackangriff gegen eure Wahl ist daher schwierig und bedarf eines dichten "Trojanernetzes"
- Server, vorausgesetzt als sichere Domaine, speichert umgehend die Stimme -> lokale Manipulation nach Stimmabgabe nicht möglich
- "Öffnungszeit" der Wahl ist freier setzbar
Nochmal die Nachteile des "lokalen wandernden" Wahlapparates (bzw. was ich von eurem Model mitgenommen habe):
- Stimmen werden lokal (im Apparat) zwischengespeichert und es gibt "Verantwortliche" hierfür - damit sind diese Verantwortlichen verantwortlich für die Stimmen, im Umkehrschluss auch für deren Manipulation, was zur Verantwortungsdiffusion führt (nix gut, keiner will es gewesen sein)
- Stimme kann theoretisch an mehreren Apparaten abgegeben werden, was dann? (timestamp der Stimmabgabe? - sehr einfach zu manipulieren)
Die Auswertung passiert weiterhin zentral, hier sind quasi beide Szenarien gleich sicher/unsicher.
Wie auch immer, das Problem bleibt anrüchig, und sollte es dabei um eine Betriebsratswahl einer größeren Firma gehen, wäre ich alarmiert, und zwar beiderseits - als einfacher Angestellter, der der Firmenleitung Manipulationsversuche unterstellen könnte als auch als Firmenleitung, die diese Vorwürfe nicht ausräumen könnte. Aber solange Du resp. Deine Vorgesetzten das nicht erkennen wollen, drehen wir uns im Kreis...
Bezogen auf 'die offene Tür der Zettelauswertung':
Perfekt, je mehr Leute teilhaben an der Auswertung desto besser. Stell Dir vor, alle Wähler müssten die Wahl auswerten und wir unterstellen allen Manipulation des Wahlausganges im eigenen Sinne und gemittelt im Grad der Manipulation - was ist das Ergebnis?
Zuletzt geändert von jerch am Donnerstag 26. Januar 2012, 02:45, insgesamt 1-mal geändert.
-
lordnaikon
- User
- Beiträge: 58
- Registriert: Dienstag 9. Februar 2010, 13:41
@jerch: Und das mit der Webapplikation habe ich auch mitbekommen. Nur sieht es leider logistisch so aus, dass es praktisch nicht durchführbar ist für die Menge an Wahlberechtigten eine Webbapplikation zu betreiben. Das mag auf den ersten Blick seltsam erscheinen ist aber leider so 
Woran das liegt möchte ich nicht direkt sagen, nur soviel, dass es sicher nicht an dem 200€ Server liegt der dafür notwendig wäre und auch nicht an den Clients.
Der Grundgedanke ist schon, dass die Daten sofort an den Server gesendet werden. Es darf jetzt aber nicht dazu kommen, dass die Wahl, einmal gestartet und durch den Server freigegeben, unterbrochen wird, weil der Server brennt oder die Kommunikation nicht mehr gewährleistet ist, weil Chuck Norris... . In so einem Fall kann weiter gewählt werden, und die Daten werden dann lokal an den Geräten erhoben.
Auf freudiges im Kreise drehen
Woran das liegt möchte ich nicht direkt sagen, nur soviel, dass es sicher nicht an dem 200€ Server liegt der dafür notwendig wäre und auch nicht an den Clients. Der Grundgedanke ist schon, dass die Daten sofort an den Server gesendet werden. Es darf jetzt aber nicht dazu kommen, dass die Wahl, einmal gestartet und durch den Server freigegeben, unterbrochen wird, weil der Server brennt oder die Kommunikation nicht mehr gewährleistet ist, weil Chuck Norris... . In so einem Fall kann weiter gewählt werden, und die Daten werden dann lokal an den Geräten erhoben.
Auf freudiges im Kreise drehen
Was passiert mit den Stimmen und den betroffenen Wählern, wenn Euch ein Wahlgerät mitten in der Wahl abschmiert?lordnaikon hat geschrieben:Der Grundgedanke ist schon, dass die Daten sofort an den Server gesendet werden. Es darf jetzt aber nicht dazu kommen, dass die Wahl, einmal gestartet und durch den Server freigegeben, unterbrochen wird, weil der Server brennt oder die Kommunikation nicht mehr gewährleistet ist, weil Chuck Norris... . In so einem Fall kann weiter gewählt werden, und die Daten werden dann lokal an den Geräten erhoben.
Edit:
Gesetz dem Fall, ein Wähler ist im Vorfeld an ein Gerät gebunden, dh. er kann gar nicht auf einem anderen wählen, und die Wahl muss abgebrochen werden bei Ausfall eines Gerätes, ist die Ausfallwahrscheinlichkeit der gesamten Wahl 1-p^n für p - Wahrscheinlichkeit, das ein einzelnes Gerät nicht ausfällt bei n Geräten. Das wird selbst für eine sehr kleine Einzelausfallwahrscheinlichkeit bei großer Gerätezahl schnell sehr wahrscheinlich.
-
lordnaikon
- User
- Beiträge: 58
- Registriert: Dienstag 9. Februar 2010, 13:41
Zettel vorn Latz und noch mal von vorn, bitte. Eventuell gibt es auch ein neues Gerät, wenn es dann noch gewünscht ist.jerch hat geschrieben:Was passiert mit den Stimmen und den betroffenen Wählern, wenn Euch ein Wahlgerät mitten in der Wahl abschmiert?
//EDIT:Wegen sowas fällt die Wahl nicht aus oder wird unterbrochen. Ein Zettel und ein Stift ist in zwei Minuten aufm Tisch. Sollte das kurz vor Ende der Wahl, nach dem der Wähler schon fast alles ausgefüllt hat ist das wirklich nen kleines Problem. Dann muss man sehen ob man an das Log heran kommt. Muss dann der Leiter entscheiden.
Aha, na dann iss ja gut. Bei der Gelegenheit kannst Du auch gleich die Bedenken um Protokoll/History-Sicherheit über Bord werfen und die Textdatei nehmen.lordnaikon hat geschrieben:Zettel vorn Latz und noch mal von vorn, bitte. Eventuell gibt es auch ein neues Gerät, wenn es dann noch gewünscht ist.
Edit: Gibt es nur einen Wähler pro Gerät? Oder warten alle, die das Gerät vorher benutzt haben im Raum nebenan, um notfalls den Zettel und Stift zu kriegen?
Bist Du sicher, dass es hier um freie, geheime und möglichst sichere Wahlen und nicht doch eher um eine Art Speicherung und Auswertung von Prüfungsergebnissen geht?
War nur schon wieder so ein Gefühl...
Das gilt aber eigentlich genauso fuer eine nicht-digitale Wahl?lunar hat geschrieben: @crs: Man kann nicht prüfen, ob eine Benutzereingabe wie hier die Wahl manipuliert wurde. Die Prüfungsinstanz kennt die Eingabe nicht im Voraus und kann mithin auch nicht im Nachhinein feststellen, ob die Eingabe gültig ist oder zwischen Eingabe und Prüfung manipuliert wurde. Das ist eine offensichtliche Tatsache, die sich nur aus Nachdenken ergibt.
Es waere z.B. moeglich das die Eingabe signiert ist, und Eingabe/Signatur auf einem (beliebigen) anderen Rechner als der Pruefungsinstanz berechnet werden. Da dieser andere Rechner beliebig sein kann, koennte man davon ausgehen das dieser nicht manipuliert ist, also die Signatur korrekt berechnet wird. Die Pruefungsinstanz koennte dann pruefen ob Eingabe/Signatur veraendert wurden und auch einen Nachweis (z.B. die verschluesselten Signaturen oder aehnliches) veroeffentlichen, sodass man im Nachhinein pruefen kann ob die richtige Eingabe vorhanden ist.
Wie das genau funktionieren soll (oder ob das ueberhaupt funktioniert) ist zwar nicht wirklich offensichtlich. Warum das bei aehnlichen Annahmen wie bei einer nicht-digitalen Wahl weniger sicher als eine solche sein muss, ist aber auch nicht so offensichtlich.
Okay, so gesehen ist es das selbe Problem. Fuer das allgemeine Voting Problem ist ja aber nicht unbedingt gesagt das es einen nicht vertrauenswuerdigen Wahlcomputer geben muss.lunar hat geschrieben:Das von deets erwähnte Problem des geklauten Signier-Schlüssels von sony ist kein anderes Problem, es ist vielmehr exakt dasselbe Problem. Die betroffene Kopierschutzmaßnahmen sollen die Manipulationsfreiheit eines prinzipiell nicht vertrauenswürdigen Gerät, nämlich der Playstation, sicherstellen, und der OP möchte ebenso die Manipulationsfreiheit eines nicht vertrauenswürdigen Geräts, nämlich des Wahlcomputers, sicherstellen.
-
BlackJack
@crs: Bei einer nicht-digitalen Wahl kann man zum einen bei einigen Arten von Manipulationen feststellen, dass sie vorgenommen wurden. Zum Beispiel liessen sich chemisch die „Zaubertinte” oder mechanisch Radierspuren beweisen. Zum anderen bauen Papierwahlen darauf auf, dass der gesamte Wahlvorgang für jeden von vorne bis hinten beobachtbar und nachvollziehbar ist, und niemals eine Person mit Stimmzetteln alleine gelassen wird. Bei grossen Wahlen wie der Bundestagswahl kommt noch die Dezentralität hinzu. Um dort sinnvoll zu manipulieren, müssten schon sehr viele Leute zusammen arbeiten.
Bei elektronischen Wahlen hat man eine „black box”, von der niemand *wirklich* sagen kann, was darin vorgeht. Das fängt beim Wähler an, der bei der Papierwahl sieht, wo er sein Kreuz gemacht hat, und dem Rechner blind vertrauen muss, und hört beim Wahlleiter auf, der dem ausgespuckten Gesamtergebnis ebenfalls blind vertrauen muss. Zur Manipulation muss man nur die Software des Wahlgerätes verändern. Das *der* „single point of failure”. Und damit ist *jeder* Wahlcomupter nicht vertrauenswürdig, auch im allgemeinen Fall. Denn wie willst Du oder ein Wahlhelfer vor Ort prüfen ob die Software auf dem Gerät nicht manipuliert ist!?
Bei elektronischen Wahlen hat man eine „black box”, von der niemand *wirklich* sagen kann, was darin vorgeht. Das fängt beim Wähler an, der bei der Papierwahl sieht, wo er sein Kreuz gemacht hat, und dem Rechner blind vertrauen muss, und hört beim Wahlleiter auf, der dem ausgespuckten Gesamtergebnis ebenfalls blind vertrauen muss. Zur Manipulation muss man nur die Software des Wahlgerätes verändern. Das *der* „single point of failure”. Und damit ist *jeder* Wahlcomupter nicht vertrauenswürdig, auch im allgemeinen Fall. Denn wie willst Du oder ein Wahlhelfer vor Ort prüfen ob die Software auf dem Gerät nicht manipuliert ist!?
Das sind natuerlich alles Eigenschaften einer nicht-digitalen Wahl, aber dadurch wird ja nicht ausgeschlossen das eine digitale Wahl diese und/oder aehnliche Eigenschaften nicht auch haben kann.BlackJack hat geschrieben:@crs: Bei einer nicht-digitalen Wahl kann man zum einen bei einigen Arten von Manipulationen feststellen, dass sie vorgenommen wurden. Zum Beispiel liessen sich chemisch die „Zaubertinte” oder mechanisch Radierspuren beweisen. Zum anderen bauen Papierwahlen darauf auf, dass der gesamte Wahlvorgang für jeden von vorne bis hinten beobachtbar und nachvollziehbar ist, und niemals eine Person mit Stimmzetteln alleine gelassen wird. Bei grossen Wahlen wie der Bundestagswahl kommt noch die Dezentralität hinzu. Um dort sinnvoll zu manipulieren, müssten schon sehr viele Leute zusammen arbeiten.
Der Waehler muss aber nicht einem bestimmten "Wahlcomputer" vertrauen das z.B. seine Signatur korrekt berechnet wurde. Diese kann auf irgendeinem einem anderen Rechner berechnet werden (oder auch auf mehreren, um zu ueberprufen ob alle die selbe Signatur berechnen), deshalb koennte man davon ausgehen das diese nicht manipuliert sind (es sein denn alle Rechner sind manipuliert).BlackJack hat geschrieben:Bei elektronischen Wahlen hat man eine „black box”, von der niemand *wirklich* sagen kann, was darin vorgeht. Das fängt beim Wähler an, der bei der Papierwahl sieht, wo er sein Kreuz gemacht hat, und dem Rechner blind vertrauen muss, und hört beim Wahlleiter auf, der dem ausgespuckten Gesamtergebnis ebenfalls blind vertrauen muss. Zur Manipulation muss man nur die Software des Wahlgerätes verändern. Das *der* „single point of failure”. Und damit ist *jeder* Wahlcomupter nicht vertrauenswürdig, auch im allgemeinen Fall. Denn wie willst Du oder ein Wahlhelfer vor Ort prüfen ob die Software auf dem Gerät nicht manipuliert ist!?
Die Pruefungsinstanz koennte einen Nachweis veroeffentlich das die Stimme korrekt gezaehlt wurde, was (nur) der Waehler zusammen mit dem veroeffentlichten Wahlergebnis pruefen koennte. Unabhaengig davon wie der Rechner der Pruefungsinstanz funktioniert.
Wiegesagt, wie und ob das funktioniert ist nicht wirklich offensichtlich. Aber eben genausowenig das dies nicht funktioniert.
-
Hyperion
- Moderator
- Beiträge: 7478
- Registriert: Freitag 4. August 2006, 14:56
- Wohnort: Hamburg
- Kontaktdaten:
@crs: Ja, es ist eben nicht offensichtlich - und das ist doch bei einer Wahl wichtig. Eine Wahl mit Zettel, Papier und Wahlkabine kennen alle und jeder, der überhaupt zu einer Wahl geht, dürfte halbwegs in der Lage sein, das alles zu durchschauen. Alles was in einer kleinen Box vor sich geht ist mindestens mal für alle Nicht informationstechnisch interessierten und bewanderten nicht nachvollziehbar. In der digitalen Welt ist nichts so einfach nachvollziehbar - zumal man dort noch zig verschiedene Schichten betrachten muss.
Und Deine Idee mit verschiedenen Prüfungsinstanzen... seit wann sucht man sich X Firmen für ein gleichartiges System? TollCollect ist zwar ein Konsortium, aber im Endeffekt können die auch schalten und walten, wie sie wollen - und da geht es "nur" um die Beobachtung unserer Straßen.
Und Deine Idee mit verschiedenen Prüfungsinstanzen... seit wann sucht man sich X Firmen für ein gleichartiges System? TollCollect ist zwar ein Konsortium, aber im Endeffekt können die auch schalten und walten, wie sie wollen - und da geht es "nur" um die Beobachtung unserer Straßen.
Das erkläre mir noch mal technisch genauer bitte.crs hat geschrieben: Die Pruefungsinstanz koennte einen Nachweis veroeffentlich das die Stimme korrekt gezaehlt wurde, was (nur) der Waehler zusammen mit dem veroeffentlichten Wahlergebnis pruefen koennte. Unabhaengig davon wie der Rechner der Pruefungsinstanz funktioniert.
Was ist denn an einer Webapplikation ein "logistisches" Problem? *wunder*lordnaikon hat geschrieben: @jerch: Und das mit der Webapplikation habe ich auch mitbekommen. Nur sieht es leider logistisch so aus, dass es praktisch nicht durchführbar ist für die Menge an Wahlberechtigten eine Webbapplikation zu betreiben. Das mag auf den ersten Blick seltsam erscheinen ist aber leider so
encoding_kapiert = all(verstehen(lesen(info)) for info in (Leonidas Folien, Blog, Folien & Text inkl. Python3, utf-8 everywhere))
assert encoding_kapiert
assert encoding_kapiert
Hm, welche Idee mit verschiedenen Pruefungsinstanzen? Ich meinte das jeder Waehler seine Stimme auf einem anderen (z.B. seinem eigenen) Rechner berechnen koennte. D.h. es gibt nicht unbedingt einen (oder auch mehrere) "Wahlcomputer" die (mit relativ wenig Aufwand) manipuliert werden koennen.Hyperion hat geschrieben:Und Deine Idee mit verschiedenen Prüfungsinstanzen... seit wann sucht man sich X Firmen für ein gleichartiges System? TollCollect ist zwar ein Konsortium, aber im Endeffekt können die auch schalten und walten, wie sie wollen - und da geht es "nur" um die Beobachtung unserer Straßen.
Naja, als (so nicht unbedingt funktionierendes) Beispiel das Wahlergebnis wird in der FormHyperion hat geschrieben:Das erkläre mir noch mal technisch genauer bitte.crs hat geschrieben: Die Pruefungsinstanz koennte einen Nachweis veroeffentlich das die Stimme korrekt gezaehlt wurde, was (nur) der Waehler zusammen mit dem veroeffentlichten Wahlergebnis pruefen koennte. Unabhaengig davon wie der Rechner der Pruefungsinstanz funktioniert.
- f(Person1), hat A gewaehlt
- f(Person2), hat B gewaehlt
- f(Person3), hat A gewaehlt
-
lunar
@crs: Ist es nicht ziemlich offensichtlich, wie man diese Wahl manipulieren könnte?!
Ein manipulierter Wahlcomputer könnte beispielsweise bei jedem zweiten oder dritten Wähler zwei Wahlvorgänge durchführen. Der erste Vorgang enthält die tatsächlich abgegebene Stimme, die der Nutzer dann am Ende prüfen kann und als korrekt erkennen wird. Der zweite Vorgang wählt irgendeinen anderen Kandidaten. Dieser Wahlvorgang ist keinem Wähler zugeordnet, und mithin wird auch kein Wähler diese Wahl später als falsch erkennen können. Auch wird niemand erkennen können, dass es sich um "Geisterstimmen" handelt, da die Wahlergebnisse nur kodiert veröffentlicht werden. Man kann allenfalls erkennen, dass möglicherweise mehr Stimmen abgegeben wurden als Wahlberechtigte existieren, doch das auch nur, wenn die Wahlbeteiligung groß genug ist.
Die Wahl auf dem System des Wählers durchzuführen, löst das Problem nicht, sondern verlagert und verkompliziert es nur. Der Wähler muss überhaupt erst einmal einen Rechner haben. Dann muss man sicherstellen, dass daszur Verfügung gestellte Wahlprogramm nicht manipuliert ist, hat also de facto dasselbe Problem wie bei einem Wahlproblem, nur dass man den Rechner des Wählers überhaupt nicht kontrollieren kann. Falls der Wähler von seinem System über eine Webanwendung oder ähnliches abstimmt, muss man ferner sicherstellen, dass die Übertragung der Stimme korrekt ist, und die Webanwendung diese korrekt auswertet. Mithin dieselben Probleme wie bei der Übertragung der Stimme von einem dedizierten Wahlcomputer.
Ein manipulierter Wahlcomputer könnte beispielsweise bei jedem zweiten oder dritten Wähler zwei Wahlvorgänge durchführen. Der erste Vorgang enthält die tatsächlich abgegebene Stimme, die der Nutzer dann am Ende prüfen kann und als korrekt erkennen wird. Der zweite Vorgang wählt irgendeinen anderen Kandidaten. Dieser Wahlvorgang ist keinem Wähler zugeordnet, und mithin wird auch kein Wähler diese Wahl später als falsch erkennen können. Auch wird niemand erkennen können, dass es sich um "Geisterstimmen" handelt, da die Wahlergebnisse nur kodiert veröffentlicht werden. Man kann allenfalls erkennen, dass möglicherweise mehr Stimmen abgegeben wurden als Wahlberechtigte existieren, doch das auch nur, wenn die Wahlbeteiligung groß genug ist.
Die Wahl auf dem System des Wählers durchzuführen, löst das Problem nicht, sondern verlagert und verkompliziert es nur. Der Wähler muss überhaupt erst einmal einen Rechner haben. Dann muss man sicherstellen, dass daszur Verfügung gestellte Wahlprogramm nicht manipuliert ist, hat also de facto dasselbe Problem wie bei einem Wahlproblem, nur dass man den Rechner des Wählers überhaupt nicht kontrollieren kann. Falls der Wähler von seinem System über eine Webanwendung oder ähnliches abstimmt, muss man ferner sicherstellen, dass die Übertragung der Stimme korrekt ist, und die Webanwendung diese korrekt auswertet. Mithin dieselben Probleme wie bei der Übertragung der Stimme von einem dedizierten Wahlcomputer.
Eine Webanwendung für Wahlen ist doch schon deswegen völlig absurd weil man keine freien, geheimen Wahlen garantieren kann. Ob der neue Perso als Identifikation ausreicht um Unmittelbarkeit ausreichend zu gewährleisten mag ich auch zu bezweifeln.
@lunar:
Doch, offensichtlich loest das Beispiel das Problem nicht komplett, aber es ist eine Idee die andeutet das man eines der Teilprobleme evtl. loesen koennte. Deshalb fuer das Beispiel auch die Annahme "falls alle Personen [waehlen und] ihre Stimme uberpruefen". Allgemein sollte man auf diese Annahme natuerlich verzichten, also als eines der weiteren Teilprobleme beruecksichtigen das es keine "Geisterstimmen" geben darf. Das gilt allerdings auch nicht nur bei einer digitalen Wahl.
Sicherlich wird das Protokoll nicht einfacher wenn die Wahl auf dem System des Waehlers berechnet wird, aber der Aufwand fuer eine Manipulation wird dadurch wesentlich hoeher. Es muss auch kein zur Verfuegung gestelltes Wahlprogramm geben, sondern es reicht eine Beschreibung der Berechnung, da koennte man evtl. schon davon ausgehen das diese oeffentlich und nicht manipuliert verfuegbar ist. Falls es ein Wahlprogramm gibt, koennte dieses im Quelltext verfuegbar sein, d.h. man koennte pruefen ob die Berechnungen der Beschreibung entsprechen.
Im wesentlichen muss der Waehler halt irgendwie in der Lage sein seine Stimme zu berechnen. Genauso wie der Waehler bei einer nicht-digitalen Wahl in der Lage sein muss etwas auf den Wahlzettel zu schreiben... dazu braucht er z.B. einen nicht manipulierten Stift. Eigentlich aehnliche Annahmen, auch wenn diese bei einer digitalen Wahl natuerlich komplizierter sind.
Ob die Uebertragung der Stimme korrekt ist und richtig ausgewertet wird, laesst sich dann wiegesagt dadurch ueberpruefen das man das Wahlergebnis etwa wie bei dem vorher genannten Beispiel veroeffentlicht. Wobei der Waehler dann im Falle einer von ihm erkannten Manipulation natuerlich auch in der Lage sein sollte diese zu beweisen (was bei einer nicht-digitalen Wahl aber auch nicht unbedingt einfach waere).
Doch, offensichtlich loest das Beispiel das Problem nicht komplett, aber es ist eine Idee die andeutet das man eines der Teilprobleme evtl. loesen koennte. Deshalb fuer das Beispiel auch die Annahme "falls alle Personen [waehlen und] ihre Stimme uberpruefen". Allgemein sollte man auf diese Annahme natuerlich verzichten, also als eines der weiteren Teilprobleme beruecksichtigen das es keine "Geisterstimmen" geben darf. Das gilt allerdings auch nicht nur bei einer digitalen Wahl.
Sicherlich wird das Protokoll nicht einfacher wenn die Wahl auf dem System des Waehlers berechnet wird, aber der Aufwand fuer eine Manipulation wird dadurch wesentlich hoeher. Es muss auch kein zur Verfuegung gestelltes Wahlprogramm geben, sondern es reicht eine Beschreibung der Berechnung, da koennte man evtl. schon davon ausgehen das diese oeffentlich und nicht manipuliert verfuegbar ist. Falls es ein Wahlprogramm gibt, koennte dieses im Quelltext verfuegbar sein, d.h. man koennte pruefen ob die Berechnungen der Beschreibung entsprechen.
Im wesentlichen muss der Waehler halt irgendwie in der Lage sein seine Stimme zu berechnen. Genauso wie der Waehler bei einer nicht-digitalen Wahl in der Lage sein muss etwas auf den Wahlzettel zu schreiben... dazu braucht er z.B. einen nicht manipulierten Stift. Eigentlich aehnliche Annahmen, auch wenn diese bei einer digitalen Wahl natuerlich komplizierter sind.
Ob die Uebertragung der Stimme korrekt ist und richtig ausgewertet wird, laesst sich dann wiegesagt dadurch ueberpruefen das man das Wahlergebnis etwa wie bei dem vorher genannten Beispiel veroeffentlicht. Wobei der Waehler dann im Falle einer von ihm erkannten Manipulation natuerlich auch in der Lage sein sollte diese zu beweisen (was bei einer nicht-digitalen Wahl aber auch nicht unbedingt einfach waere).
-
deets
@crs
Du wirst hier keinen Beweis bekommen, dass sowas nicht theoretisch moeglich ist. Aber praktisch existiert nicht eine einzige befriedigende Loesung, und glaub' mir - da haben sich Leute, die in ganz anderen Sphaeren umtreiben schon ein paar sehr warme Gedanken gemacht... stueckweise hier auf kritik zu reagieren & ein bisschen mit der Hand zu wedeln fuehrt jedenfalls nicht weiter.
Du wirst hier keinen Beweis bekommen, dass sowas nicht theoretisch moeglich ist. Aber praktisch existiert nicht eine einzige befriedigende Loesung, und glaub' mir - da haben sich Leute, die in ganz anderen Sphaeren umtreiben schon ein paar sehr warme Gedanken gemacht... stueckweise hier auf kritik zu reagieren & ein bisschen mit der Hand zu wedeln fuehrt jedenfalls nicht weiter.
-
Hyperion
- Moderator
- Beiträge: 7478
- Registriert: Freitag 4. August 2006, 14:56
- Wohnort: Hamburg
- Kontaktdaten:
So wie Star Trek eine Idee für die Überschreitung der Lichtgeschwindigkeit angedeutet hat?crs hat geschrieben:@lunar:
Doch, offensichtlich loest das Beispiel das Problem nicht komplett, aber es ist eine Idee die andeutet das man eines der Teilprobleme evtl. loesen koennte.
Also zum einen ist es generell problematisch, wenn jemand nachträglich seine Stimme "wiederfinden" kann. Denn damit ist sie zuordbar - und das sollte nicht sein.crs hat geschrieben: Deshalb fuer das Beispiel auch die Annahme "falls alle Personen [waehlen und] ihre Stimme uberpruefen".
Desweiteren löst das doch kein Problem, wenn jeder seine Stimme überprüfte - man kann doch dann immer noch mehr Stimmen "einschleusen"...
encoding_kapiert = all(verstehen(lesen(info)) for info in (Leonidas Folien, Blog, Folien & Text inkl. Python3, utf-8 everywhere))
assert encoding_kapiert
assert encoding_kapiert
-
deets
@crs
Das wurde dir doch nun oft genug gesagt. Am Ende laeuft es darauf hinaus, dass die Systeme zu komplex und nicht manipulationssicher sind.
Vielleicht geht es eines Tages. Vielleicht kann man auch eines Tages zur Beiteigeuze hin und zurueck fliegen in 3 Tagen. Ist beides nicht ausgeschlossen. Aber im Moment heisst es halt geht nicht, gibt's nicht.
Das wurde dir doch nun oft genug gesagt. Am Ende laeuft es darauf hinaus, dass die Systeme zu komplex und nicht manipulationssicher sind.
Vielleicht geht es eines Tages. Vielleicht kann man auch eines Tages zur Beiteigeuze hin und zurueck fliegen in 3 Tagen. Ist beides nicht ausgeschlossen. Aber im Moment heisst es halt geht nicht, gibt's nicht.