RU2292082C2

RU2292082C2 - Voting system without forcing

Info

Publication number: RU2292082C2
Application number: RU2004127443/09A
Authority: RU
Inventors: К. Эндрю НЕФФ (US); К. Эндрю НЕФФ
Original assignee: Дейтгрити Корпорейшн
Priority date: 2002-02-14
Filing date: 2003-02-14
Publication date: 2007-01-20
Also published as: RU2004127443A; AU2003215282A1; AU2003215282A8; KR20040078165A; EP1532556A2; WO2003069448A2; JP2005526307A; EP1532556A4; CA2475136A1; CA2475136C; CN1659554A; WO2003069448A3

Abstract

FIELD: engineering of devices for realizing electronic voting resistant to forcing.

SUBSTANCE: device receives first voter-confirming value from voter, then device receives encrypted bulletin from voter as well as second voter-confirming value, independently from second received voter confirming value, device adds received bulletin to publicly accessible list of given votes, after addition members of society may verify addition of received vote to the list without possible determining whether vote is going to be accepted, while device only accepts vote if second voter confirming value received together with bulletin matches first voter confirming value.

EFFECT: voter may maintain exclusive possession of secret information used by voter during voting.

6 cl, 2 dwg

Description

Область техники, к которой относится изобретениеFIELD OF THE INVENTION

Данная заявка относится к области мер защиты для электронно проводимых выборов.This application relates to the field of protective measures for electronic elections.

Уровень техникиState of the art

Существуют различные электронные и/или цифровые электронные протоколы, которые обеспечивают избирателям криптографическую секретность. Во многих этих электронных протоколах избирателю необходимо сохранять информационный секрет определенного типа. Примером такой секретной информации является секретный ключ избирателя. Однако эти существующие избирательные протоколы могут создавать проблемы, например, если третье лицо угрозами или другими мерами принуждения (например, финансовыми) вынуждает избирателя раскрыть секретную информацию. Когда происходит принуждение такого типа, то третьему лицу можно либо узнавать, как проголосовал избиратель, либо голосовать от его имени.There are various electronic and / or digital electronic protocols that provide voters with cryptographic privacy. In many of these electronic protocols, the voter needs to keep a certain type of information secret. An example of such secret information is the voter's secret key. However, these existing electoral protocols can cause problems, for example, if a third party forces threats or other coercive measures (such as financial ones) to force the voter to disclose secret information. When this type of coercion occurs, the third party can either find out how the voter voted, or vote on his behalf.

Аналогичные проблемы возникают при использовании систем заочного голосования по почте. Например, муж может принуждать свою жену голосовать определенным образом. Угроза принуждения усиливается в сетевом мире, где люди могут «заглядывать через плечо» на расстоянии в тысячи миль. Эта угроза является достаточно серьезной, чтобы ее часто рассматривать в качестве причины отказа от дистанционного электронного голосования.Similar problems arise when using absentee voting systems by mail. For example, a husband may force his wife to vote in a certain way. The threat of coercion is increasing in a networked world where people can “peer over their shoulders” thousands of miles away. This threat is serious enough to often be seen as a reason for refusing remote electronic voting.

Среди моделей угрозы, не связанных с принуждением, основополагающей является понятие универсально проверяемых выборов. В прошлом считалось важным, чтобы схема выборов, основанных на вычислительных устройствах, была универсально проверяемой, для того чтобы считаться применимой в широком масштабе. Во время выборов этого типа публикуются расшифровки, которые включают окончательный подсчет. При разумном предположении о надежности личных ключей и невозможности обработки некоторых вычислительных проблем эти расшифровки нельзя подделать любой группой злонамеренных агентов. Хотя и желательно перенести это свойство на схемы выборов под угрозой принуждения, однако это может быть затруднительным. В схемах выборов под угрозой принуждения отсутствуют некоторые очень основополагающие свойства, которые обычно принимаются как само собой разумеющиеся в литературе по протоколам голосования, и поэтому могут быть непрактичными при осуществлении в широком масштабе.Among non-coercive threat models, the concept of universally verifiable elections is fundamental. In the past, it was considered important that the computing device-based election scheme be universally verifiable in order to be considered applicable on a large scale. During this type of election, transcripts are published that include the final count. With a reasonable assumption about the reliability of private keys and the impossibility of processing some computational problems, these decryption cannot be faked by any group of malicious agents. Although it is desirable to transfer this property to election schemes under threat of coercion, it can be difficult. In election schemes, under the threat of coercion, there are some very fundamental properties that are usually taken for granted in the literature on voting protocols, and therefore can be impractical when implemented on a large scale.

Краткое описание чертежейBrief Description of the Drawings

На чертежах изображено:The drawings show:

фиг. 1 - блок-схема подходящей среды для осуществления схемы;FIG. 1 is a block diagram of a suitable medium for implementing a circuit;

фиг. 2 - графическая схема стадий, обычно выполняемых в соответствии со схемой.FIG. 2 is a graphical diagram of steps typically performed in accordance with the diagram.

ОписаниеDescription

Схема, описание которой приводится ниже, позволяет избирателю сохранять исключительное владение секретной информацией, которая использовалась избирателем при голосовании. Она позволяет избирателю, принуждаемому выдать секретную информацию, предоставить неправильный ответ без возможности раскрытия. После выдачи неправильного ответа избиратель может принять участие в голосовании и отдать «реальный» голос от своего имени. Это достигается при одновременном сохранении набора аудиторских свойств голосования, которые являются характерными для хороших протоколов электронных выборов. Схема голосования является защищенной от принуждения, если, даже в модели с угрозой принуждения, расшифровку нельзя подделать никаким сговором уполномоченных лиц, которые совместно не способны вычислить конечный результат. Кроме того, в случае сговора, который обеспечивает вычисление конечного результата, размах подделки ограничен числом избирателей, действующих по принуждению.The scheme described below allows the voter to retain exclusive ownership of the secret information that the voter used in the voting. It allows the voter who is forced to give out secret information to provide the wrong answer without the possibility of disclosure. After giving the wrong answer, the voter can vote and cast a “real” vote on his behalf. This is achieved while maintaining a set of audit voting properties that are characteristic of good electronic election protocols. The voting scheme is protected from coercion if, even in a model with a threat of coercion, the decryption cannot be faked by any conspiracy of authorized persons who together are not able to calculate the final result. In addition, in the case of conspiracy, which provides the calculation of the final result, the scope of the fake is limited by the number of voters acting under duress.

В целом, изобретение работает следующим образом.In General, the invention works as follows.

1. Избиратели участвуют в процессе тайной регистрации перед началом выборов. Этот процесс должен защитить избирателя от принуждения с помощью стандартных физических средств. На практике это означает, что избиратель должен отметиться в окружном регистрационном центре, где гарантируется физическая секретность. Однако, избиратель должен лишь один раз участвовать в этом процессе регистрации. Затем способ, согласно данному изобретению, защищает избирателя от принуждения в ходе нескольких выборов.1. Voters participate in the process of secret registration before the start of elections. This process should protect the voter from coercion using standard physical means. In practice, this means that the voter must check in at the district registration center, where physical secrecy is guaranteed. However, the voter should only participate in this registration process once. Then, the method according to this invention protects the voter from coercion during several elections.

2. Во время процесса регистрации каждый избиратель выбирает секретный «код подтверждения» или «фразу пароля подтверждения».2. During the registration process, each voter selects a secret “confirmation code” or “confirmation password phrase”.

3. «Фраза пароля подтверждения» зашифровывается избирателем, и зашифрованная форма публично регистрируется для этого избирателя.3. The “confirmation password phrase” is encrypted by the voter, and the encrypted form is publicly registered for that voter.

4. Для опускания избирательного бюллетеня каждый избиратель должен предоставить сопровождающую (зашифрованную) фразу пароля. Эта сопровождающая фраза пароля не имеет никакого воздействия на признание или непризнание бюллетеня, так что если избиратель находится под наблюдением принуждающего лица, то избиратель может выдать любую фразу пароля, совпадающую или не совпадающую с зарегистрированной фразой пароля избирателя. Принуждающее лицо не способно определить разницу. Однако сопровождающая фраза пароля имеет воздействие на то, будет или нет засчитан бюллетень, который она сопровождает. Однако, тем не менее этот механизм обеспечивает, что 4. To lower the ballot paper, each voter must provide an accompanying (encrypted) password phrase. This accompanying password phrase has no effect on the recognition or non-recognition of the ballot, so if the voter is under the supervision of a coercive person, the voter can give out any password phrase that matches or does not match the registered voter password phrase. The coercive person is not able to make a difference. However, the accompanying passphrase of the password has an effect on whether or not the ballot that accompanies it is counted. However, this mechanism nonetheless ensures that

(а) любой человек, включая принуждающее лицо, может проверить содержимое урны для голосования и результат для определения правильности или неправильности результата (т.е. выборы являются универсально проверяемыми);(a) any person, including the coercive person, can check the contents of the ballot box and the result to determine the correctness or incorrectness of the result (i.e. the elections are universally verified);

(b) несмотря на полную доступность данных голосования, механизмы шифрования и подсчета обеспечивают, что принуждающее лицо не способно определить, какой голос, если он вообще отдан избирателем, будет действительно включен в подсчет голосов.(b) in spite of the full availability of voting data, encryption and counting mechanisms ensure that the coercive person is not able to determine which vote, if even cast by the voter, will actually be included in the vote count.

(5) Табуляция (подсчет) зашифрованных голосов выполняется приблизительно посредством случайного смешивания отданного бюллетеня с парами зашифрованных фраз пароля, а также с первоначально зарегистрированными данными. Только когда обеспечивается совпадение между фразой пароля в случайных данных бюллетеня с фразой пароля в случайных данных регистрации, то бюллетень засчитывается. Совпадение определяется без расшифровки любой из фраз пароля. Поскольку вся рандомизация выполняется посредством криптографического верифицируемого перемешивания, то результаты все еще поддаются проверке и верификации любым лицом на правильность.(5) Tabulation (counting) of encrypted votes is performed approximately by randomly mixing a given ballot with pairs of encrypted password phrases, as well as with the originally registered data. Only when a match is made between the passphrase in random newsletter data and the passphrase in random registration data, does the newsletter count. The match is determined without decrypting any of the passphrases of the password. Since all randomization is performed through cryptographic verifiable mixing, the results are still verifiable and verified by any person for correctness.

Фиг. 1 и последующее обсуждение обеспечивают краткое общее описание подходящей вычислительной среды, в которой могут быть осуществлены аспекты данного изобретения.FIG. 1 and the following discussion provide a brief, general description of a suitable computing environment in which aspects of the present invention may be implemented.

Хотя это не является необходимым, описание аспектов и вариантов выполнения изобретения приводится в общем контексте выполняемых компьютером команд, таких как программы, выполняемые обычным компьютером, например, сервером или персональным компьютером. Для специалистов в данной области техники понятно, что изобретение может быть реализовано с помощью других конфигураций компьютерной системы, включая применение Интернета, переносных устройств, носимых компьютеров, сотовых или мобильных телефонов, мультипроцессорных систем, основанной на микропроцессорах или программируемой бытовой электроники, телеприставок, сетевых персональных компьютеров, мини-компьютеров, мэйнфреймов и т.п. Изобретение может быть реализовано в специальном компьютере или процессоре, которые специально программируются, выполняются или конфигурируются для выполнения одной или более выполняемых компьютером команд, подробное описание которых приводится ниже. Действительно, используемое здесь понятие «компьютер» относится к любому указанному выше устройству, а также к процессору для обработки данных.Although not necessary, aspects and embodiments of the invention are described in the general context of computer-executable instructions, such as programs, executed by a conventional computer, such as a server or personal computer. For specialists in this field of technology it is clear that the invention can be implemented using other computer system configurations, including the use of the Internet, portable devices, wearable computers, cellular or mobile phones, multiprocessor systems based on microprocessors or programmable consumer electronics, set-top boxes, network personal computers, mini-computers, mainframes, etc. The invention can be implemented in a special computer or processor that is specially programmed, executed, or configured to execute one or more computer-executable instructions, a detailed description of which is given below. Indeed, the term “computer” as used herein refers to any of the above devices, as well as to a processor for processing data.

Изобретение может быть реализовано также в распределенной вычислительной среде, где задачи или модули выполняются с помощью устройств дистанционной обработки данных, которые связаны сетью связи, такой как местная вычислительная сеть (LAN), глобальная сеть (WAN) или Интернет. В распределенной вычислительной среде программные модули или подпрограммы могут быть расположены как в местных, так и в удаленных запоминающих устройствах. Аспекты данного изобретения, описание которых приводится ниже, можно хранить или распределять на читаемых компьютером носителях информации, включая магнитные и оптические читаемые и сменные компьютерные диски, храниться в виде аппаратного обеспечения в микросхемах (например, микросхемах EEPROM), а также распределяться электронно по Интернету или другим сетям (включая беспроводные сети). Для специалистов в данной области техники понятно, что части изобретения могут находиться на сервере, в то время как соответствующие части находятся в компьютере клиента. Структуры данных и передача данных, характерные для аспектов данного изобретения, также входят в объем изобретения.The invention can also be implemented in a distributed computing environment where tasks or modules are performed using remote data processing devices that are connected by a communications network such as a local area network (LAN), wide area network (WAN) or the Internet. In a distributed computing environment, program modules or routines may be located in both local and remote memory storage devices. Aspects of the present invention, described below, can be stored or distributed on computer-readable media, including magnetic and optical readable and removable computer disks, stored as hardware in microchips (e.g., EEPROM microchips), and electronically distributed over the Internet or other networks (including wireless networks). It will be understood by those skilled in the art that portions of the invention may reside on a server, while portions of the invention may reside on a client computer. Data structures and data transfer specific to aspects of the present invention are also within the scope of the invention.

Как показано на фиг. 1, в одном варианте выполнения изобретения используется компьютер 100, такой как персональный компьютер или рабочая станция, имеющая один или более процессоров 101, соединенных с одним или более устройствами 102 ввода пользователя, и одно или более устройств 104 хранения данных. Компьютер соединен также, по меньшей мере, с одним устройством вывода, таким как дисплейное устройство 106, и с одним или более необязательными дополнительными устройствами вывода 108 (например, принтер, плоттер, громкоговорители, сенсорные или обонятельные выходные устройства и т.д.). Компьютер может быть соединен с внешними компьютерами, например, через необязательное сетевое соединение 110 и/или через беспроводной приемопередатчик 112.As shown in FIG. 1, in one embodiment of the invention, a computer 100 is used, such as a personal computer or workstation, having one or more processors 101 connected to one or more user input devices 102 and one or more data storage devices 104. The computer is also connected to at least one output device, such as a display device 106, and to one or more optional additional output devices 108 (for example, a printer, plotter, speakers, touch or olfactory output devices, etc.). The computer may be connected to external computers, for example, via an optional network connection 110 and / or through a wireless transceiver 112.

Устройство 102 ввода может включать клавиатуру и/или указательное устройство, такое как мышь. Возможны также другие устройства ввода, такие как микрофон, ручка управления, перо, игровая подложка, сканер, цифровая камера, видеокамера и т.п. Устройство 104 хранения данных может включать читаемый компьютером носитель информации любого типа, который может хранить данные, доступные для компьютера 100, такие как устройства с магнитным жестким или гибким диском, приводы оптического диска, магнитные кассеты, ленточные приводы, карты флэш-памяти, цифровые видеодиски (DVD), картриджи Бернулли, ОЗУ, ПЗУ, интеллектуальные карточки и т.д. Действительно, можно использовать любой носитель информации для хранения или передачи читаемых компьютером команд и данных, включая соединительный порт с сетью, такой как местная вычислительная сеть (LAN), глобальная сеть (WAN) или Интернет (не изображен на фиг. 1). Аспекты изобретения можно реализовать также в различных других вычислительных средах.The input device 102 may include a keyboard and / or pointing device, such as a mouse. Other input devices are also possible, such as a microphone, control stick, pen, game pad, scanner, digital camera, camcorder, etc. The storage device 104 may include a computer-readable storage medium of any type that can store data available on the computer 100, such as magnetic hard disk or floppy disk devices, optical disk drives, magnetic tapes, tape drives, flash memory cards, digital video discs (DVD), Bernoulli cartridges, RAM, ROM, smart cards, etc. Indeed, any storage medium may be used to store or transmit computer-readable instructions and data, including a connecting port to a network such as a local area network (LAN), wide area network (WAN), or the Internet (not shown in FIG. 1). Aspects of the invention can also be implemented in various other computing environments.

На фиг. 2 показана графическая диаграмма этапов, обычно выполняемых в соответствии с этой схемой. Подробное описание этих этапов приведено ниже. На этапе 201 избиратели регистрируются для внесения их в списки зарегистрированных избирателей, имеющих право голосования, и обеспечения их выборными верительными данными. На этапе 202 выборы начинаются для определения результатов голосования для кандидатов. На этапе 203 избиратели отдают свои голоса посредством подачи зашифрованных бюллетеней. На этапе 204 табулируют поданные на стадии 203 голоса и добавляют к окончательному результату голосования, если только можно верифицировать правильность полученного бюллетеня. После этапа 204 эти стадии завершаются.In FIG. 2 is a graphical diagram of the steps typically performed in accordance with this diagram. A detailed description of these steps is provided below. At step 201, voters are registered to be included in the lists of registered voters with the right to vote, and to provide them with elected credentials. At step 202, elections begin to determine the voting results for candidates. At step 203, voters cast their votes by sending encrypted ballots. At step 204, the votes cast at step 203 are tabulated and added to the final voting result, if it is possible to verify the correctness of the ballot received. After step 204, these stages are completed.

1. Осуществления принуждения в раздельной табуляции1. Compulsory tabulation

Целью данного раздела являетсяThe purpose of this section is to

1. Дать характеристику класса схем голосования, которые включают преобладающее большинство схем, изученных ранее, а также представляются вероятными для включения всех схем, которые являются практичными для широкомасштабных публичных выборов.1. To characterize the class of voting schemes, which include the overwhelming majority of the schemes studied earlier, and also seem likely to include all schemes that are practical for large-scale public elections.

2. Создать некоторые связи с тем, что может быть достигнуто с помощью схем этого класса в модели с угрозой принуждения.2. To create some connections with what can be achieved using schemes of this class in a threatened model.

Определение 1. В последующем каждый участник процесса голосования или любое лицо, которое оказывает или пытается оказать влияние на процесс голосования, называется игроком. Таким образом, избиратели, официальные лица и табуляторы все являются игроками, но ими же являются все лица, которые пытаются оказать влияние на результаты выборов, даже если они не имеют официальной роли в них.Definition 1. Subsequently, each participant in the voting process or any person who has or is trying to influence the voting process is called a player. Thus, voters, officials and tabulators are all players, but they are all people who try to influence the election results, even if they do not have an official role in them.

Определение 2. Игрок Р1 принуждает игрока Р2, если Р1 получает от Р2 любую информацию, которую протокол выборов не требует от Р2 раскрывать перед Р1. Идентичная терминология используется, когда принуждающее лицо в действительности является группой игроков. То есть, никакие аспекты изобретения не ограничивают его применимости случаем, когда принуждающее лицо является отдельным лицом. Поэтому в дальнейшем не делается различия между принуждением со стороны отдельного лица и принуждением со стороны группы отдельных лиц, действующих совместно.Definition 2. Player P1 forces player P2 if P1 receives from P2 any information that the election protocol does not require P2 to disclose to P1. Identical terminology is used when the coercive person is actually a group of players. That is, no aspect of the invention limits its applicability to the case where the coercive person is an individual. Therefore, no further distinction is made between coercion by an individual and coercion by a group of individuals acting together.

Определение 3. Информация по принуждению является любой информацией, достоверность которой может быть «верифицирована» принуждающим лицом. Если достоверность не может быть верифицирована, то избиратель (или отдельное лицо, подвергаемое принуждению) может лгать о ней принуждающему лицу.Definition 3. Information on coercion is any information whose accuracy can be “verified” by the coercive person. If the credibility cannot be verified, then the voter (or an individual subject to coercion) can lie about it to the coercive person.

Определение 4. Напомним, что результат является функцией t: C → N = Z⁺∪{0}, где Г = {c₁,..., c_l} является списком кандидатов. Можно записатьDefinition 4. Recall that the result is a function t: C → N = Z ⁺ ∪ {0}, where Γ = {c ₁ , ..., c _l } is a list of candidates. Can record

Для реализации изобретения необходимо наличие чего-либо, грубо напоминающего урну для цифровых бюллетеней, т.е. запоминающего устройства, соединенного с сетью, или другим образом открыто доступного для избирателей. Стандартный WEB-сервер и приложение для работы с базой данных обеспечивает вариант выполнения такого устройства. На практике в такое устройство или вокруг него встроено много мер защиты с целью защиты от повреждения или разрушения, вызванного враждебными или естественными силами. Изобретение также требует, чтобы избиратели были способны переводить свой выбор в цифровое представление и дополнительно шифровать это представление с помощью способов, представленных в остающейся части изобретения. Общий персональный компьютер обеспечивает вариант выполнения такого устройства.To implement the invention, it is necessary to have something roughly resembling a ballot box for digital newsletters, i.e. a memory device connected to the network, or otherwise openly accessible to voters. A standard WEB server and an application for working with a database provide an embodiment of such a device. In practice, many protective measures are built into or around such a device in order to protect against damage or destruction caused by hostile or natural forces. The invention also requires that voters be able to translate their choice into a digital representation and further encrypt this representation using the methods presented in the remaining part of the invention. A common personal computer provides an embodiment of such a device.

Определение 5. Поскольку передача и хранение информации являются ключевыми элементами данного изобретения, чем технологии, которые облегчают передачу и хранение, то в последующем используется более общее понятие - доска объявлений для определения открыто доступного устройства хранения, а действие записи информации на доске объявлений обозначается как занесение (posting) (в контексте голосования это соответствует действию отдачи голоса). Кроме того, строки или записи информации, которые заносятся на доску объявлений, называются отправлениями (posts) (в контексте голосования это соответствует поданным голосам).Definition 5. Since the transfer and storage of information are key elements of this invention than the technologies that facilitate the transfer and storage, the following uses a more general concept - a bulletin board to identify an openly accessible storage device, and the action of recording information on a bulletin board is indicated as entering (posting) (in the context of voting, this corresponds to the effect of casting a vote). In addition, lines or records of information that are entered on the bulletin board are called posts (in the context of voting, this corresponds to the votes cast).

Теперь рассмотрим набор очень общих свойств, которые характеризуют широкий класс протоколов голосования. Эти свойства предполагаются при отсутствии принуждения. То есть, при верификации заданного свойства относительно частного протокола предполагается, что все потенциальные выполнения протокола являются действиями, в которых единственной информацией, обмениваемой между игроками, является информация, которая определена протоколом (эти свойства получают последовательные номера РР-1, РР-2 и т.д.).Now consider a set of very general properties that characterize a wide class of voting protocols. These properties are assumed in the absence of coercion. That is, when verifying a given property with respect to a private protocol, it is assumed that all potential executions of the protocol are actions in which the only information exchanged between the players is the information that is defined by the protocol (these properties receive the sequence numbers PP-1, PP-2 and t .d.).

РР-1. Отправления всегда прикреплены к доске объявлений (ВВ), то есть вычеркивания не разрешены. И занесение является элементарной транзакцией, то есть, в любое заданное время доска объявлений содержит точно k отправлений для некоторого не отрицательного целого k. PP-1. Shipments are always attached to the bulletin board (BB), i.e. strikeouts are not allowed. And the entry is an elementary transaction, that is, at any given time, the bulletin board contains exactly k items for some non-negative integer k.

РР-2. Любой игрок может присоединить отправление независимо от состояния (содержимого) доски объявлений.PP-2. Any player can attach a shipment regardless of the state (content) of the bulletin board.

РР-3. В любое заданное время может быть образован итог, и он является однозначным. То есть, невозможно (или по меньшей мере преобладающе невероятно), что доска объявлений находится в некотором состоянии С(ВВ), которое является не действительным для табуляции, а результат С(ВВ): C → N является заданным.PP-3. At any given time, a result can be formed, and it is unambiguous. That is, it is impossible (or at least predominantly improbable) that the bulletin board is in some state C (BB), which is not valid for tabulation, and the result of C (BB): C → N is predetermined.

РР-4. Группа игроков не может вычислить результат независимо от состояния доски объявлений.PP-4. A group of players cannot calculate the result regardless of the state of the bulletin board.

Напомним, что списком О избирателей является по существу публичный список игроков (законных избирателей) {v₁,..., v_k}. C(ВВ) используется также для обозначения содержимого доски объявлений в произвольный момент времени, т.е. последовательности отправлений p₁,..., p_t. Пусть Р будет комплектом всех игроков в протоколе, то есть О⊂ Р.Recall that the list of voters is essentially a public list of players (legitimate voters) {v ₁ , ..., v _k }. C (BB) is also used to denote the contents of the bulletin board at an arbitrary point in time, i.e. sequence of items p ₁ , ..., p _t . Let P be the set of all players in the protocol, that is, O⊂ P.

Для простоты представления предположим, что бюллетень состоит из одного вопроса, т.е. что список кандидатов Г задан {c₁,..., c_l}, и каждый избиратель может выбрать (голосовать за) самое большое за одного кандидата. Обобщение этой установки на несколько более общих типов бюллетеней (которые не включают вписывание новых кандидатов) является достаточно оправданным.For simplicity of presentation, suppose a newsletter consists of one question, i.e. that the list of candidates G is given {c ₁ , ..., c _l }, and each voter can choose (vote for) the largest for one candidate. The generalization of this setting to a few more general types of ballots (which do not include the inclusion of new candidates) is quite justified.

Определение 6. Пусть С = С(ВВ) является любым состоянием доски объявлений (последовательностью отправлений). Если ρ является отправлением, то С⊕ρ обозначает состояние доски объявлений после присоединения единственного отправления ρ. Запись t_C используется для обозначения результата итог(С).Definition 6. Let C = C (BB) be any state of a bulletin board (sequence of items). If ρ is a shipment, then С⊕ρ denotes the state of the bulletin board after the only shipment ρ is attached. The entry t _{C is} used to indicate the result of the result (C).

Определение 7. Функцией голосования (на доске объявлений) является отображениеDefinition 7. The voting function (on the bulletin board) is to display

χ: P × C(BB) → {0,1}^Г (1)χ: P × C (BB) → {0,1} ^G (1)

характеризуемое следующим:characterized by the following:

vf-1. Для всех р ∈ Рvf-1. For all p ∈ P

|χ(р, С(ВВ)) |∈ {0,1} (2)

| χ (p, C (BB)) | ∈ {0,1} (2)

vf-2. Для всех С(ВВ), если р ∉ О, то (с преобладающей вероятностью)vf-2. For all C (BB), if p ∉ O, then (with a predominant probability)

χ(р, С(ВВ)) = 0 (3) χ (p, C (BB)) = 0 (3)

Интуитивно смысл этого состоит в том, что протокол позволяет голосовать только членам списка избирателей (законным избирателям).Intuitively, the meaning of this is that the protocol allows only members of the voters list (legitimate voters) to vote.

vf-3. Для всех р ∈ Р, если р отправляет ρ, то для всех q∈ Р справедливо следующее (с преобладающей вероятностью)vf-3. For all p ∈ P, if p sends ρ, then for all q ∈ P the following holds (with a predominant probability)

Интуитивно смысл этого состоит в том, что протокол позволяет голосовать избирателю только за себя. Это исключает схемы, позволяющие нескольким избирателям объединять свои голоса в одно или более отправлений.Intuitively, the meaning of this is that the protocol allows voters to vote only for themselves. This excludes schemes that allow multiple voters to combine their votes into one or more items.

vf-4. Для всех

и всех

если |χ(v_i, C(BB))| = 0, то v_i может вычислить (с вероятностью 1) отправление ρ, так что vf-4. For all

and all

if | χ (v _i , C (BB)) | = 0, then v _i can calculate (with probability 1) the departure of ρ, so that

Интуитивно смысл этого состоит в том, что если v_i еще не проголосовал, то v_i может присоединить голос для любого кандидата. Однако это утверждение не предполагает возможности, что протокол разрешает отдать v_iсвой голос, а затем изменить его (несмотря на это, большинство известных из литературы протоколов, которые по существу разрешают избирателю «один и только один раз изменить голос», соответствуют этому критерию).Intuitively, the meaning of this is that if v _i has not yet voted, then v _i can attach a vote for any candidate. However, this statement does not imply the possibility that the protocol allows you to cast your vote v _i and then change it (despite this, most of the protocols known from the literature, which essentially allow the voter to "change their vote only once," meet this criterion) .

vf-5. Для всех

если |χ(v_i, C(BB))| = 1, то v_i может вычислить с почти пренебрежимо малой вероятностью отправление ρ, удовлетворяющее условиюvf-5. For all

if | χ (v _i , C (BB)) | = 1, then v _i can calculate with almost negligible probability the departure ρ satisfying the condition

|t_C(BB)⊕ρ| > |t_C(BB)| (6)| t _{C (BB) ⊕ρ} | > | t _{C (BB)} | (6)

Интуитивно смысл этого состоит в том, что ни один избиратель не может голосовать более одного раза. Однако это утверждение снова не предполагает возможности того, что протокол может позволять избирателю изменить голос или взять голос обратно (как указывалось выше, большинство протоколов, известных из литературы, соответствуют этому критерию).Intuitively, the meaning of this is that no voter can vote more than once. However, this statement again does not imply the possibility that the protocol may allow the voter to change his voice or take the vote back (as mentioned above, most protocols known from the literature meet this criterion).

Пусть A_ij является событием вычисления v_i отправления ρ, удовлетворяющего условиюLet A _ij be the event of computing v _{i of the} departure of ρ satisfying the condition

t_C(BB)⊕ρ(c_j) - t_C(BB)(c_j) = -1 (7)t _{C (BB) ⊕ρ} (c _j ) - t _{C (BB)} (c _j ) = -1 (7)

Пусть B_ij является событием, заключающимся в том, что χ(v_i, C(BB))(c_j) = 1.Let B _ij be the event that χ (v _i , C (BB)) (c _j ) = 1.

vf-6. Имеется постоянная α (0 ≤ α ≤ 1), так что для всех

и всех

условная вероятность Р(A_ij|B_ij) соответствует условию vf-6. There is a constant α (0 ≤ α ≤ 1), so for all

and all

conditional probability P (A _ij | B _ij ) corresponds to the condition

Р(A_ij|B_ij) = α (8)P (A _ij | B _ij ) = α (8)

независимо от величины i, j и состояния доски объявлений С(ВВ).regardless of the value of i, j and the status of the bulletin board C (BB).

Интуитивно смысл этого состоит в том, что если протокол позволяет избирателю изменить иногда голос, то протокол позволяет любому избирателю изменять голос в любое время. Однако, это не предполагает, что протокол запрещает изменение голоса, что является более обычным.The intuitive meaning of this is that if the protocol allows the voter to change the voice sometimes, then the protocol allows any voter to change the voice at any time. However, this does not imply that the protocol prohibits voice changes, which is more common.

vf-7. Для всех

и всех

условная вероятность Р(A_iη|B_iη) соответствует условию vf-7. For all

and all

conditional probability P (A _iη | B _iη ) corresponds to the condition

Р(A_ij|B_iη) = ≤ ε (9)P (A _ij | B _iη ) = ≤ ε (9)

где ε ≥ 0 является пренебрежительно малой.where ε ≥ 0 is negligible.

Интуитивно смысл этого состоит в том, что протокол лишь позволяет избирателю уменьшить счет для кандидата, если этот избиратель голосовал за этого кандидата. Это снова не мешает протоколу запрещать изменения голоса.Intuitively, the meaning of this is that the protocol only allows the voter to reduce the score for the candidate if this voter voted for this candidate. This again does not prevent the protocol from prohibiting voice changes.

РР-5. Протокол допускает функцию голосования (следует отметить, что для этого не требуется, чтобы функция голосования была вычисляемой любым из игроков, она должна лишь существовать).PP-5. The protocol allows a voting function (it should be noted that this does not require the voting function to be calculated by any of the players, it only needs to exist).

Определение 8. Протокол выборов считается имеющим разделяемую табуляцию, если и только если он удовлетворяет условиям РР-1 - РР-5. Для краткости в последующем будет использоваться также понятие разделяемый протокол выборов для обозначения любого протокола, имеющего разделяемую табуляцию.Definition 8. An election protocol is considered to have a shared tab if and only if it meets the conditions of PP-1 - PP-5. For brevity, the concept of a shared election protocol will also be used in the following to mean any protocol that has a shared tab.

Теорема 1. Если протокол выборов имеет разделяемую табуляцию и принуждающее лицо содержит совокупность игроков, способных вычислять результат, то для любых

величина χ(v_i,C(BB)) является возможной для принуждения.Theorem 1. If the election protocol has a shared tab and the coercive person contains a set of players capable of calculating the result, then for any

the quantity χ (v _i , C (BB)) is possible for coercion.

Доказательство: (схематично) принуждающее лицо может проходить через последовательность изображений урн для голосования, вычисляя в каждой точке результат (смотри предположение РР-4) и требуя от v_i добавления голоса определенного значения. За счет повторного вычисления результата с присоединенным отправлением v_i, принуждающее лицо может определить, какие отправления были добавлены v_i и их совокупное воздействие на результат.Proof: (schematically) the coercive person can go through the sequence of images of the ballot boxes, calculating the result at each point (see assumption PP-4) and requiring v _{i to} add a vote of a certain value. By recalculating the result with the attached item v _i , the coercive person can determine which items were added v _i and their combined effect on the result.

Заметьте, что это предлагает модель, в которой после факта принуждение возможно. То есть принуждающее лицо может влиять на избирателя после того как доска объявлений закроется. Однако такого предположения можно избежать при помощи резонного предположения о компьютерной энергии избирателя. В частности, мы можем показать, что принуждающее лицо имеет возможность при помощи одного принуждающего событияNote that this offers a model in which coercion is possible after the fact. That is, the coercive person can influence the voter after the bulletin board closes. However, this assumption can be avoided by using the reasonable assumption about the computer energy of the voter. In particular, we can show that a coercive person has the opportunity with a single coercive event

1. Исполнить роль избирателя в течение выборов, таким образом добавляя любой выбранный голос к доске объявлений (избирательной урне), и соответственно фальсифицировать часть избирательного протокола.1. Perform the role of the voter during the election, thus adding any chosen vote to the notice board (ballot box), and accordingly falsify part of the electoral protocol.

2. Определить любые попытки избирателя изменить голос.2. Identify any voter attempts to change the vote.

Определение 9. Подразделяемый протокол выборов защищен от принуждения, если предположить, что отсутствует у принуждающей стороны возможность независимо вычислить результатDefinition 9. A subdivision election protocol is protected from coercion if it is assumed that the coercive party is not able to independently calculate the result.

CS-1. Если p ∈ P и v_i∈ O, v_i≠ p, тогда p не может вычислить

CS-1. If p ∈ P and v _i ∈ O, v _i ≠ p, then p cannot calculate

с вероятностью выше, чем «случайное угадывание +ε»with a probability higher than “random guessing + ε”

CS-2. Результат выборов публично верифицируемый.CS-2. The election result is publicly verified.

Определение 10. Подразделяемый протокол выборов защищен от принуждения, если он стойкий к воздействию принуждающего лица и любых сценариев тайного сговора.Definition 10. A subdivision election protocol is protected from coercion if it is resistant to the coercive person and any scenarios of conspiracy.

CS-3. Если t_I идеальный результат, тогда верификация выборов гарантируетCS-3. If t _{I is the} ideal result, then the verification of the elections guarantees

| t _C(BB)- t_I| ≤ M (10)| t _{C (BB)} - t _I | ≤ M (10)

2. Защищенный от принуждения протокол выборов2. Coercion-protected election protocol

Предположим стандартную криптографическую защиту Эль Гамаля: p и q являются большими первичными величинами, при q|p - 1. Генератор подгрупп g∈ Z*_p при |g| = q и h = g^s, где s совместно используется n лицами, уполномоченными осуществлять табуляцию A₁,...,A_n по пороговой схеме (t, n).Assume the standard El Gamal cryptographic protection: p and q are large primary quantities, for q | p - 1. Subgroup generator g∈ Z * _p for | g | = q and h = g ^s , where s is shared by n persons authorized to tabulate A ₁ , ..., A _n according to the threshold scheme (t, n).

Протокол, описание которого приводится ниже, является стойким к принуждению. Далее будет описано, как можно простым образом расширить его для получения защищенного от принуждения протокола. Преимуществом описания сначала более слабой версии является то, что большинство трудностей заключаются в его создании.The protocol described below is coercive. Next, it will be described how to expand it in a simple way to obtain a coercive protocol. The advantage of describing a weaker version first is that most of the difficulties are in creating it.

2.1. Регистрация2.1. registration

Напоминаем, что предполагается, что избиратели защищены от принуждения во время сеанса их регистрации. Необходимо обеспечить, чтобы информация, обмениваемая во время регистрации, не поддавалась принуждению после этого.We remind you that voters are supposed to be protected from coercion during their registration session. It must be ensured that the information exchanged at the time of registration is not subject to coercion thereafter.

Обозначим избирателя как v_i.We designate the voter as v _i .

R-1. v_i выбирает случайное r_i∈〈g〉 и случайное α_i∈Z_q и образуетR-1. v _i selects a random r _i ∈ 〈g〉 and a random α _i ∈Z _q and forms

(U_i0, W_i0) = (g^αi, h^αir_i) (11)(U _i0 , W _i0 ) = (g ^αi , h ^αi r _i ) (11)

R-2. Для каждого

R-2. For everybody

R-2.1. v_i получает от A_j пару (U_ij,W_ij), заданнуюR-2.1. v _i receives from A _{j the} pair (U _ij , W _ij ) given

(U_ij, W_ij) = (g^βij, h^βij) (12)(U _ij , W _ij ) = (g ^βij , h ^βij ) (12)

где β_ij∈〈g〉 выбирается случайно A_j.where β _ij ∈ 〈g〉 is randomly selected A _j .

R-2.2. v_i и A_j выполняют интерактивную проверку Шаум-Педерсена правильности соотношения log_gU_ij = log_hW_ij. То есть, сложность создается случайно v_i, а не с помощью хэш-функции (эвристический метод Фиата-Шамира). Это позволяет v_i позже создавать имитационные доказательства при принуждении.R-2.2. v _i and A _j perform an interactive Schaum-Pedersen validation of the relation log _g U _ij = log _h W _ij . That is, complexity is created by chance v _i , and not using a hash function (Fiat-Shamir heuristic). This allows v _{i to} later create simulation evidence under duress.

R-3. После проверки каждого доказательства Шаума-Педерсена, v_i вычисляет R-3. After checking every Schaum-Pedersen proof, v _i calculates

R-4. Для каждого

v_i получает от A_j подпись на (U_i,W_i) в качестве подтверждения получения.R-4. For everybody

v _i receives from A _{j a} signature on (U _i , W _i ) as acknowledgment of receipt.

R-5. (U_i,W_i) добавляют к списку О избирателей. После окончания периода регистрации каждое полномочное лицо должно подписать список О.R-5. (U _i , W _i ) are added to the voters list O. After the end of the registration period, each authorized person must sign a list of O.

Примечание 1. Когда v_i знает, что конкретное полномочное лицо не является принуждающим лицом и меньше, чем t (число, необходимое для вычисления результата) уполномоченных лиц вступают в сговор для принуждения (хотя v_i может не знать их идентичности), то величина r_i не подвержена принуждению. Это объясняется тем, что v_i может оправдать правильность r_i и α_i, солгав принуждающему лицу о величине (U_iJ,V_iJ) и представив поддельное (т.е. имитационное) доказательство Шаума-Педерсена.Note 1. When v _i knows that a specific authorized person is not a coercive person and less than t (the number required to calculate the result) authorized persons conspire to coercion (although v _i may not know their identity), then r _i not subject to coercion. This is because v _i can justify the correctness of r _i and α _i by lying to the coercing person about the value (U _iJ , V _iJ ) and presenting a fake (i.e. imitation) Schaum-Pedersen proof.

Требование того, что v_i знает конкретного честного A_J, можно смягчить, если предположить, что допустимо разоблачение лжи v_i принуждающим лицом. В качестве альтернативного решения, если n≫t, то v_i может выбрать J случайно из 1 ≤ J ≤ n, предполагая, что A_j является честным, и зная, что вероятность уличения во лжи составляет максимально (t-1)/n.The requirement that v _i know a particular honest A _J can be mitigated by assuming that it is permissible to expose the lies of v _{i by a} coercive person. As an alternative solution, if n≫t, then v _i can choose J randomly from 1 ≤ J ≤ n, assuming that A _j is honest, and knowing that the probability of incrimination in a lie is at most (t-1) / n.

2.2. Инициирование выборов2.2. Initiate election

EI-1. Для каждого

и для каждого

уполномоченное лицо A_j создает случайно и независимо пару элементов 〈g〉 и (ξ_ij,η_ij). ВеличиныEI-1. For everybody

and for each

authorized person A _j creates randomly and independently a pair of elements 〈g〉 and (ξ _ij , η _ij ). Quantities

публично вычисляют. Затем они все публикуются (и подписываются).publicly compute. Then they are all published (and signed).

EI-2. Возможности выбора в бюллетене γ_μ∈〈g〉 1 ≤ μ ≤ k =|Γ| назначаются с помощью некоторого открытого случайного процесса или посредством процесса совместного использования (величина γ_μ обозначает голос за кандидата с_μ).EI-2. Choices in the Newsletter γ _μ ∈ 〈g〉 1 ≤ μ ≤ k = | Γ | are assigned using some open random process or through a sharing process (the value of γ _μ denotes the vote for the candidate with _μ ).

2.3. Голосование2.3. Voting

V-1. v_i выбирает случайное ν_i1∈Z_qи шифрует свой выбор в виде пары Эль ГамаляV-1. v _i chooses a random ν _i1 ∈Z _q and encrypts his choice as an El Gamal pair

(A_i, B_i) = (g^νi1, h^νi1γ(i)) (15)(A _i , B _i ) = (g ^νi1 , h ^νi1 γ (i)) (15)

V-2. v_i выбирает случайное ν_i2∈Z_q, вычисляет

и шифрует в виде V-2. v _i selects random ν _i2 ∈Z _q , computes

and encrypts as

(C_i, D_i) = (g^νi2, h^νi2s_i) (16)(C _i , D _i ) = (g ^νi2 , h ^νi2 s _i ) (16)

V-3. Затем v_i создает неинтерактивные доказательства знания Q_i ^AB и Q_i ^CD для пар (A_i, B_i) и (C_i, D_i) соответственно. Эти доказательства показывают, что пары имеют требуемую форму, и что v_i знает величины s_i и γ(i).V-3. Then v _i creates non-interactive evidence of knowledge of Q _i ^AB and Q _i ^CD for pairs (A _i , B _i ) and (C _i , D _i ), respectively. This evidence shows that the pairs have the desired shape and that v _i knows the values of s _i and γ (i).

V-4. v_i передает зашифрованный заполненный бюллетеньV-4. v _i sends an encrypted completed newsletter

E_i = ((A_i, B_i), (C_i, D_i), Q_i ^AB, Q_i ^CD) (17)E _i = ((A _i , B _i ), (C _i , D _i ), Q _i ^AB , Q _i ^CD ) (17)

V-5. Хотя и не обязательно, но если используется модель доски объявлений «только для присоединения», то v_i получает подтверждение о приеме E_i.V-5. Although not necessary, but if you use the model of the "only for accession" bulletin board, then v _i receives confirmation of receipt of E _i .

2.4. Табуляция2.4. Tab

В этом разделе предполагается, что назначено подмножество t уполномоченных лиц. Без потери общности можно предположить, что ими являются A₁,...,A_t. This section assumes that a subset of t authorized persons has been assigned. Without loss of generality, we can assume that they are A ₁ , ..., A _t .

Т-1. Для каждого

открыто вычисляются количества T-1. For everybody

openly calculated quantities

T-2. Уполномоченные лица выполняют проверяемое перемешивание последовательности пар из пар Эль Гамаля

что приводит к выдаче набора пар из пар Эль ГамаляT-2. Authorized persons perform verifiable mixing of a sequence of pairs of El Gamal pairs

which leads to the issuance of a set of pairs of pairs of El Gamal

где

Where

Свойства этой смеси состоят в том, что набор расшифрованных пар величин (a_i,b_i) выходной последовательности точно такой же, что и набор расшифрованных пар величин входной последовательности, но в случайно переставленном порядке. Выполнение такого проверяемого перемешивания описано подробно в заявке на патент США № 09/816 869 с названием «Проверяемое, секретное перемешивание зашифрованных данных, таких как зашифрованные данные Эль Гамаля, для защищенных выборов с множеством уполномоченных лиц», поданная 24 марта 2001, и в заявке РСТ № WO02/77929 с названием «Проверяемые секретные перемешивания и их применение для электронного голосования», поданной 25 марта 2002, полное содержание которых включается в данное описание.The properties of this mixture are that the set of decoded pairs of quantities (a _i , b _i ) of the output sequence is exactly the same as the set of decoded pairs of quantities of the input sequence, but in a randomly rearranged order. The implementation of such verifiable mixing is described in detail in US patent application No. 09/816 869 entitled "Verifiable, secret mixing of encrypted data, such as El Gamal's encrypted data, for secure elections with many authorized persons", filed March 24, 2001, and in the application PCT No. WO02 / 77929 entitled “Verifiable Secret Mixes and Their Use for Electronic Voting,” filed March 25, 2002, the full contents of which are included in this description.

Т-3. Пусть T-3. Let be

является набором, полученным из всех проголосовавших бюллетеней с проверенными доказательствами правильности. Уполномоченные лица выполняют другое проверяемое перемешивание последовательности этих пар из пар Эль Гамаля и получают выходной набор

is a set obtained from all voting ballots with verified evidence of correctness. Authorized persons perform another verifiable mixing of the sequence of these pairs from El Gamal pairs and receive an output set

Т-4. Для каждого 1 ≤ m ≤ M открыто вычисляются l пар Эль Гамаля T-4. For each 1 ≤ m ≤ M, l pairs of El Gamal are openly calculated

при

at

Т-5. Уполномоченные лица совместно расшифровывают все пары

и

для

и

Пусть это будут, соответственно, a_m и x_mi.T-5. Authorized persons jointly decrypt all pairs

and

for

and

Let it be, respectively, a _m and x _mi .

Т-6. Для каждого

добавляют a_m к результату, только и если толькоT-6. For everybody

add a _m to the result, only and if only

Т-6.1. a_m∈{μ₁,...,μ_k}T-6.1. a _m ∈ {μ ₁ , ..., μ _k }

T-6.2. Для некоторых

x_mi = 1.T-6.2. For some

x _mi = 1.

2.5 Табуляция - альтернативный вариант выполнения2.5 Tabs - an alternative embodiment

Т2-1. Для каждого

открыто вычисляются количества T2-1. For everybody

openly calculated quantities

T2-2. Уполномоченные лица выполняют проверяемое перемешивание последовательности пар Эль Гамаля

что приводит к выдаче набора пар Эль ГамаляT2-2. Authorized persons perform verifiable mixing of the El Gamal pair sequence

leading to the issuance of a set of El Gamal pairs

где Φ_i,Ψ_i∈〈g〉. Свойства этой смеси состоят в том, что набор расшифрованных величин выходной последовательности точно такой же, что и набор расшифрованных величин входной последовательности, но в случайно переставленном порядке. where Φ _i , Ψ _i ∈ 〈g〉. The properties of this mixture are that the set of decoded values of the output sequence is exactly the same as the set of decoded values of the input sequence, but in a randomly rearranged order.

Т2-3. Для каждого проголосовавшего бюллетеня E_m при

с проверенным доказательством правильности открыто вычисляются l пар Эль Гамаля T2-3. For each voting ballot E _m at

with verified proof of correctness, l pairs of El Gamal are openly calculated

(Θ_mi, Ω_mi) = (A_mC_m Φ_i,B_mD_m Ψ_i) (24)(Θ _mi , Ω _mi ) = (A _m C _m Φ _i , B _m D _m Ψ _i ) (24)

Т2-4. Пусть Уполномоченные лица выполняют проверяемое перемешивание последовательности M x l пар из пар Эль Гамаля ((A_m,B_m), (Θ_mi, Ω_mi)) c получением выходного набораT2-4. Let the Authorized persons carry out verifiable mixing of the sequence M xl pairs of El Gamal pairs ((A _m , B _m ), (Θ _mi , Ω _mi )) with the output set

Т2-5. Уполномоченные лица совместно расшифровывают все пары (Φ_i,Ψ_i),

Пусть это будут, соответственно, φ_i, a_m и x_mi.T2-5. Authorized persons jointly decode all pairs (Φ _i , Ψ _i ),

Let it be, respectively, φ _i , a _m and x _mi .

Т2-6. Для каждого

добавляют a_m к результату, только и если только T2-6. For everybody

add a _m to the result, only and if only

Т2-7. a_m∈{μ₁,...,μ_k)T2-7. a _m ∈ {μ ₁ , ..., μ _k )

T2-8. Для некоторых

и

x_mi =φ_j.T2-8. For some

and

x _mi = φ _j .

2.6 Выполнение протокола защищенным от принуждения2.6 Protocol enforcement

Представленный протокол является явно не защищенным от принуждения. Если t или более уполномоченных лиц вступают в сговор, то они могут расшифровать первоначальные секреты r_i избирателей, и это позволяет им представлять всех избирателей. Эту проблему можно решить посредством добавления требования анонимной подписи к операции отдачи голоса (подробное описание протокола с анонимной подписью, который является «свободным от уполномоченных лиц», дано в указанных выше заявках на патент). В этом случае, даже если злонамеренный агент имеет доступ к секрету r_i, то он не может повлиять на конечный результат без соответствующего личного ключа подписи, который нельзя получить без принуждения. Причина этому является очевидной. Независимая от уполномоченных лиц, анонимная подпись на поданном бюллетене предотвращает установление уполномоченными лицами (даже в сговоре) связи между первоначальным зашифрованным бюллетенем (входной величиной проверяемого перемешивания или смеси) с отдельным лицом, как это они могут осуществлять с помощью стандартной цифровой подписи. Стандартная цифровая подпись в явном виде увязывает подписанные данные с зарегистрированным отдельным лицом. Анонимная подпись лишь связывает подписанные данные с членом набора или группы отдельных лиц.The presented protocol is clearly unprotected. If t or more authorized persons conspire, they can decipher the original secrets of r _i voters, and this allows them to represent all voters. This problem can be solved by adding the requirement of an anonymous signature to the vote casting operation (a detailed description of the protocol with an anonymous signature, which is “free from authorized persons”, is given in the above patent applications). In this case, even if the malicious agent has access to the secret r _i , then he cannot influence the final result without the corresponding private signature key, which cannot be obtained without coercion. The reason for this is obvious. Independent of authorized persons, an anonymous signature on the submitted ballot prevents authorized persons from establishing (even in collusion) the relationship between the original encrypted ballot (the input value of the tested mix or mixture) with an individual person, as they can do using a standard digital signature. The standard digital signature explicitly associates the signed data with the registered individual. An anonymous signature only associates the signed data with a member of a set or group of individuals.

Claims

1. Способ проведения стойких к принуждению принуждающего лица электронных выборов, выполняемых в вычислительной системе, содержащий в вычислительной системе, прием от избирателя первой подтверждающей избирателя величины; в вычислительной системе, после приема первой подтверждающей избирателя величины, прием от избирателя зашифрованного бюллетеня и второй подтверждающей избирателя величины, при этом вторая подтверждающая избирателя величина вводится избирателем, и обеспечивает избирателю возможность определить, будет ли подсчитан бюллетень в зависимости от введенной величины; в вычислительной системе, независимо от значения принятой второй подтверждающей избирателя величины, добавление принятого бюллетеня к публично доступному списку поданных голосов, обеспечивая возможность членам общества верифицирование добавления принятого голоса к списку без возможности определения, будет ли голос засчитан; и в вычислительной системе, подсчет бюллетеня, если и только если вторая подтверждающая избирателя величина, принятая с бюллетенем, совпадает с принятой первой подтверждающей избирателя величиной.1. A method for conducting coercive coercive coercive person electronic elections carried out in a computer system, comprising: in a computer system, receiving from a voter a first magnitude confirming voter; in a computing system, after receiving the first voter confirming value, receiving an encrypted ballot from the voter and the second voter confirming value, the second voter confirming value being entered by the voter and allowing the voter to determine whether the ballot will be counted depending on the entered value; in a computer system, regardless of the value of the second accepted voter confirming value, adding the adopted ballot to the publicly available list of votes cast, providing an opportunity for members of the society to verify the addition of the accepted vote to the list without the possibility of determining whether the vote will be counted; and in a computing system, counting a ballot if and only if the second voter-confirming value accepted by the ballot matches the value accepted by the first voter-confirming ballot.

2. Способ по п.1, в котором зашифрованный бюллетень и вторую подтверждающую избирателя величину принимают совместно от избирателя.2. The method according to claim 1, in which the encrypted ballot and the second confirming voter value are taken together from the voter.

3. Способ по п.1, дополнительно содержащий определение, что первая и вторая подтверждающие избирателя величины совпадают, если они криптографически соотносятся друг с другом так, как было точно определено перед приемом от избирателя первой подтверждающей избирателя величины.3. The method according to claim 1, additionally containing a determination that the first and second values confirming the voter coincide if they are cryptographically correlated with each other as it was precisely determined before receiving from the voter the first confirming voter value.

4. Способ по п.1, в котором, когда принимают зашифрованный бюллетень и вторую подтверждающую избирателя величину, то связывают каждую с идентичностью избирателя, при этом способ дополнительно содержит отделение идентичности избирателя от зашифрованного бюллетеня и второй подтверждающей избирателя величины; и после отделения, определение, совпадает ли принятая совместно вторая подтверждающая избирателя величина с принятой первой подтверждающей избирателя величиной.4. The method according to claim 1, in which, when an encrypted ballot and a second voter-confirming value are received, each is associated with a voter identity, the method further comprising separating the voter identity from the encrypted ballot and the second voter-confirming value; and after separation, determining whether the second confirming voter taken together is the same as the first accepted voter confirming.

5. Читаемый компьютером носитель информации, предназначенный для проведения выборов, стойких к принуждению принуждающего лица, содержимое которого приводит к выполнению вычислительной системой стойких к принуждению принуждающего лица электронных выборов за счет приема от избирателя первой подтверждающей избирателя величины; после приема первой подтверждающей избирателя величины, приема от избирателя зашифрованного бюллетеня и второй подтверждающей избирателя величины, при этом вторая подтверждающая избирателя величина вводится избирателем, и обеспечивает избирателю возможность определить, будет ли подсчитан бюллетень в зависимости от введенной величины; добавления принятого бюллетеня к публично доступному списку поданных голосов, обеспечивая возможность членам общества верифицирование добавления принятого голоса к списку без возможности определения, будет ли голос засчитан; и подсчета голоса, если и только если вторая подтверждающая избирателя величина, принятая с бюллетенем, совпадает с принятой первой подтверждающей избирателя величиной.5. A computer-readable medium for holding elections that are resistant to coercion of the coercive person, the contents of which lead to the computer system making electronic choices that are resistant to coercion of the coercive person by receiving the first confirming value from the voter; after receiving the first voter confirming value, receiving an encrypted ballot from the voter and the second voter confirming value, while the second voter confirming value is entered by the voter, and allows the voter to determine whether the ballot will be counted depending on the entered value; adding the adopted ballot to the publicly available list of votes cast, providing an opportunity for members of the society to verify the addition of the accepted vote to the list without the possibility of determining whether the vote will be counted; and counting the vote, if and only if the second voter confirming value adopted by the ballot matches the value accepted by the first voter confirming.

6. Читаемый компьютером носитель информации по п.5, в котором зашифрованный бюллетень и вторая подтверждающая избирателя величина принимаются совместно от избирателя.6. A computer-readable medium according to claim 5, in which the encrypted ballot and the second voter confirming value are received together from the voter.

7. Читаемый компьютером носитель информации по п.5, в котором содержимое читаемого носителя информации дополнительно приводит к выполнению вычислительной системой определения, что первая и вторая подтверждающие избирателя величины совпадают, если они криптографически соотносятся друг с другом так, как было точно определено перед приемом избирателя первой подтверждающей избирателя величины.7. The computer-readable storage medium according to claim 5, wherein the content of the readable storage medium further leads to a computing system determining that the first and second values confirming the voters are the same if they are cryptographically related to each other in a way that was accurately determined before the voter was received the first voter confirming magnitude.

8. Читаемый компьютером носитель информации по п.5, в котором когда принимаются зашифрованный бюллетень и вторая подтверждающая избирателя величина, то каждая связывается с идентичностью избирателя, при этом содержимое читаемого компьютером носителя информации дополнительно приводит к выполнению вычислительной системой отделения идентичности избирателя от зашифрованного бюллетеня и второй подтверждающей избирателя величины; и после отделения, определения, совпадает ли принятая совместно вторая подтверждающая избирателя величина с принятой первой подтверждающей избирателя величиной.8. The computer-readable storage medium according to claim 5, in which when an encrypted ballot and a second voter-confirming value are received, each is associated with the identity of the voter, while the contents of the computer-readable storage medium additionally causes the computing system to separate the voter’s identity from the encrypted ballot and second voter confirming magnitude; and after separation, determining whether the second confirming voter received together coincides with the value accepted by the first confirming voter.

9. Способ проведения в вычислительной системе частично стойких к принуждению принуждающего лица электронных выборов, содержащий в компьютерной системе голосующего клиента, прием от пользователя первой вводимой величины пользователя, определяющей выбор голосования пользователя; в компьютерной системе голосующего клиента, прием от пользователя второй вводимой величины, определяющей должен ли быть засчитан выбор голосования, обеспечивая тем самым невозможность определения ни компьютерной системой голосующего клиента, ни наблюдателем, присутствующий у компьютерной системы голосующего клиента, указал ли пользователь, что выбор голосования не должен быть засчитан; и в компьютерной системе подсчета голосов, подсчет выбора голосования, принятого в компьютерной системе голосующего клиента, если пользователь указывает, что выбор голосования должен быть засчитан.9. A method of conducting electronic elections in a computer system that is partially resistant to coercion of a coercive person, comprising in the computer system of a voting client, receiving from a user a first user input value that determines the user's voting choice; in the computer system of the voting client, receiving from the user a second input value that determines whether the voting choice should be counted, thereby ensuring the impossibility of determining either the computer system of the voting client or the observer present at the computer system of the voting client, whether the user indicated that the voting choice must be counted; and in a computerized vote counting system, counting the voting choice adopted in the computer system of the voting client, if the user indicates that the voting choice should be counted.

10. Способ по п.9, в котором (а) выборы могут быть полностью верифицируются членами общества, без возможности определения (b) членами общества, засчитан ли выбор голосования в компьютерной системе голосования.10. The method according to claim 9, in which (a) the elections can be fully verified by members of the company, without the possibility of determining (b) members of the company whether the choice of voting is counted in the computer voting system.

11. Способ по п.9, в котором принимают выбор голосования, содержащий секретный ключ, известный пользователю, при этом правильное указание секретного ключа определяет, что выбор голосования должен быть засчитан, а неправильное указание секретного ключа определяет, что выбор голосования не должен быть засчитан, и в котором правильность представления секретного ключа не может быть проверена ни компьютерной системой голосующего клиента, ни наблюдателем, присутствующим у компьютерной системы голосующего клиента.11. The method according to claim 9, in which accepting the vote selection containing a secret key known to the user, the correct indication of the secret key determines that the choice of vote should be counted, and the incorrect indication of the secret key determines that the choice of vote should not be counted , and in which the correct presentation of the secret key cannot be verified either by the computer system of the voting client, or by an observer present at the computer system of the voting client.

12. Читаемый компьютером носитель информации, предназначенный для проведения выборов стойких к принуждению принуждающего лица, содержимое которого приводит к выполнению вычислительной системой способа проведения частично стойких электронных выборов, при этом способ содержит в компьютерной системе голосующего клиента, прием от пользователя первой вводимой величины пользователя, определяющей выбора голосования пользователя; в компьютерной системе голосующего клиента, прием от пользователя второй вводимой величины, определяющей должен ли быть засчитан выбор голосования, обеспечивая тем самым невозможность определения ни компьютерной системой голосующего клиента, ни наблюдателем, присутствующий у компьютерной системы голосующего клиента, указал ли пользователь, что выбор голосования не должен быть засчитан; и в компьютерной системе подсчета голосов, подсчет выбора голосования, принятого в компьютерной системе голосующего клиента, только если пользователь указывает, что выбор голосования должен быть засчитан.12. A computer-readable storage medium for holding elections of coercion-resistant coercive persons, the contents of which lead to a computer system performing a method of conducting partially persistent electronic choices, the method comprising a voting client in the computer system receiving from the user the first user input value determining user voting selection; in the computer system of the voting client, receiving from the user a second input value that determines whether the voting choice should be counted, thereby ensuring the impossibility of determining either the computer system of the voting client or the observer present at the computer system of the voting client, whether the user indicated that the voting choice must be counted; and in a computerized vote counting system, counting the voting choice adopted in the computer system of the voting client only if the user indicates that the voting choice should be counted.

13. Читаемый компьютером носитель информации по п.12, в котором (а) выборы полностью верифицируются членами общества, без возможности определения (b) членами общества, засчитан ли выбор голосования в компьютерной системе голосования.13. A computer-readable medium according to claim 12, in which (a) the elections are fully verified by the members of the company, without the possibility of determining (b) by the members of the company whether the choice of voting is counted in the computer voting system.

14. Читаемый компьютером носитель информации по п.12, содержащий указанный секретный ключ, известный пользователю, при этом правильное указание секретного ключа определяет, что выбор голосования должен быть засчитан, а неправильное указание секретного ключа определяет, что выбор голосования не должен быть засчитан, и в котором правильность указания секретного ключа не может быть проверена ни компьютерной системой голосующего клиента, ни наблюдателем, присутствующим у компьютерной системы голосующего клиента.14. The computer-readable storage medium according to claim 12, comprising the indicated secret key known to the user, the correct indication of the secret key determining that the voting choice should be counted, and the incorrect indicating of the secret key determining that the voting choice should not be counted, and in which the correctness of the secret key cannot be verified either by the computer system of the voting client or by an observer present at the computer system of the voting client.

15. Способ для проведения в вычислительной системе частично стойких к принуждению принуждающего лица, выборов, содержащий в вычислительной системе, прием избирательного бюллетеня от пользователя, при этом принятый бюллетень содержит по меньшей мере один выбор голосования и верительные данные, используемые для подтверждения правильности бюллетеня; в вычислительной системе, отделение верительных данных от бюллетеня; в вычислительной системе, после отделения верительных данных от бюллетеня, использование верительных данных для подтверждения правильности бюллетеня; и в вычислительной системе, подсчет выбора голосования бюллетеня, только если подтверждение правильности бюллетеня прошло успешно.15. A method for conducting an election in a computer system that is partially resistant to coercion of the coercive person, comprising: receiving a ballot from the user in the computer system, the received ballot containing at least one voting choice and credentials used to confirm the validity of the ballot; in a computing system, separation of credentials from a newsletter; in a computing system, after separating the credentials from the ballot, the use of credentials to confirm the correctness of the ballot; and in a computing system, counting the ballot vote selection only if the validation of the ballot was successful.

16. Способ по п.15, в котором отделение включает перемешивание бюллетеня и его верительных данных с дополнительными бюллетенями, принятыми от других избирателей, и их верительными данными.16. The method according to clause 15, in which the department includes mixing the ballot and its credentials with additional ballots received from other voters, and their credentials.

17. Читаемый компьютером носитель информации, предназначенный для выборов, стойких к принуждению лица, содержимое которого приводит к выполнению вычислительной системой способа проведения частично стойких к принуждению принуждающего лица электронных выборов, при этом способ содержит прием избирательного бюллетеня от пользователя, при этом принятый бюллетень содержит по меньшей мере один выбор голосования и верительные данные, используемые для подтверждения правильности бюллетеня; отделение верительных данных от бюллетеня; только после отделения верительных данных от бюллетеня, использование верительных данных для подтверждения правильности бюллетеня; и подсчет выбора голосования бюллетеня, только если подтверждение правильности бюллетеня прошло успешно.17. A computer-readable medium for elections that are resistant to coercion of a person, the contents of which lead to a computer system executing a method of conducting partially electronic coercion of coercion of a coercive person electronic elections, the method comprising receiving a ballot from the user, while the ballot received contains at least one voting choice and credentials used to validate the ballot; separation of credentials from the newsletter; only after separation of the credentials from the ballot, the use of credentials to confirm the correctness of the ballot; and counting the ballot voting choice only if the validation of the ballot was successful.

18. Читаемый компьютером носитель информации по п.17, в котором отделение включает перемешивание бюллетеня и его верительных данных с дополнительными бюллетенями, принятыми от других избирателей, и их верительными данными.18. The computer-readable storage medium according to claim 17, wherein the department includes mixing the ballot and its credentials with additional ballots received from other voters and their credentials.