RU2292082C2 - Схема голосования без принуждения - Google Patents

Схема голосования без принуждения Download PDF

Info

Publication number
RU2292082C2
RU2292082C2 RU2004127443/09A RU2004127443A RU2292082C2 RU 2292082 C2 RU2292082 C2 RU 2292082C2 RU 2004127443/09 A RU2004127443/09 A RU 2004127443/09A RU 2004127443 A RU2004127443 A RU 2004127443A RU 2292082 C2 RU2292082 C2 RU 2292082C2
Authority
RU
Russia
Prior art keywords
voter
ballot
voting
confirming
value
Prior art date
Application number
RU2004127443/09A
Other languages
English (en)
Other versions
RU2004127443A (ru
Inventor
К. Эндрю НЕФФ (US)
К. Эндрю НЕФФ
Original Assignee
Дейтгрити Корпорейшн
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Дейтгрити Корпорейшн filed Critical Дейтгрити Корпорейшн
Publication of RU2004127443A publication Critical patent/RU2004127443A/ru
Application granted granted Critical
Publication of RU2292082C2 publication Critical patent/RU2292082C2/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C13/00Voting apparatus
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Time Recorders, Dirve Recorders, Access Control (AREA)

Abstract

Изобретение относится к средствам для выполнения устойчивых к принуждению электронных выборов. Техническим результатом является обеспечение возможности избирателю сохранять исключительное владение секретной информацией, которая использовалась избирателем при голосовании. Средство принимает от избирателя первую подтверждающую избирателя величину, затем средство принимает от избирателя зашифрованный бюллетень и вторую подтверждающую избирателя величину, независимо от принятой второй подтверждающей избирателя величины, средство добавляет принятый бюллетень к публично доступному списку поданных голосов, после добавления члены общества способны верифицировать добавление принятого голоса к списку без возможности определения, будет ли голос засчитан, при этом средство засчитывает голос, если и только если вторая подтверждающая избирателя величина, принятая с бюллетенем, совпадает с принятой первой подтверждающей избирателя величиной. 6 н. и 12 з.п. ф-лы, 2 ил.

Description

Область техники, к которой относится изобретение
Данная заявка относится к области мер защиты для электронно проводимых выборов.
Уровень техники
Существуют различные электронные и/или цифровые электронные протоколы, которые обеспечивают избирателям криптографическую секретность. Во многих этих электронных протоколах избирателю необходимо сохранять информационный секрет определенного типа. Примером такой секретной информации является секретный ключ избирателя. Однако эти существующие избирательные протоколы могут создавать проблемы, например, если третье лицо угрозами или другими мерами принуждения (например, финансовыми) вынуждает избирателя раскрыть секретную информацию. Когда происходит принуждение такого типа, то третьему лицу можно либо узнавать, как проголосовал избиратель, либо голосовать от его имени.
Аналогичные проблемы возникают при использовании систем заочного голосования по почте. Например, муж может принуждать свою жену голосовать определенным образом. Угроза принуждения усиливается в сетевом мире, где люди могут «заглядывать через плечо» на расстоянии в тысячи миль. Эта угроза является достаточно серьезной, чтобы ее часто рассматривать в качестве причины отказа от дистанционного электронного голосования.
Среди моделей угрозы, не связанных с принуждением, основополагающей является понятие универсально проверяемых выборов. В прошлом считалось важным, чтобы схема выборов, основанных на вычислительных устройствах, была универсально проверяемой, для того чтобы считаться применимой в широком масштабе. Во время выборов этого типа публикуются расшифровки, которые включают окончательный подсчет. При разумном предположении о надежности личных ключей и невозможности обработки некоторых вычислительных проблем эти расшифровки нельзя подделать любой группой злонамеренных агентов. Хотя и желательно перенести это свойство на схемы выборов под угрозой принуждения, однако это может быть затруднительным. В схемах выборов под угрозой принуждения отсутствуют некоторые очень основополагающие свойства, которые обычно принимаются как само собой разумеющиеся в литературе по протоколам голосования, и поэтому могут быть непрактичными при осуществлении в широком масштабе.
Краткое описание чертежей
На чертежах изображено:
фиг. 1 - блок-схема подходящей среды для осуществления схемы;
фиг. 2 - графическая схема стадий, обычно выполняемых в соответствии со схемой.
Описание
Схема, описание которой приводится ниже, позволяет избирателю сохранять исключительное владение секретной информацией, которая использовалась избирателем при голосовании. Она позволяет избирателю, принуждаемому выдать секретную информацию, предоставить неправильный ответ без возможности раскрытия. После выдачи неправильного ответа избиратель может принять участие в голосовании и отдать «реальный» голос от своего имени. Это достигается при одновременном сохранении набора аудиторских свойств голосования, которые являются характерными для хороших протоколов электронных выборов. Схема голосования является защищенной от принуждения, если, даже в модели с угрозой принуждения, расшифровку нельзя подделать никаким сговором уполномоченных лиц, которые совместно не способны вычислить конечный результат. Кроме того, в случае сговора, который обеспечивает вычисление конечного результата, размах подделки ограничен числом избирателей, действующих по принуждению.
В целом, изобретение работает следующим образом.
1. Избиратели участвуют в процессе тайной регистрации перед началом выборов. Этот процесс должен защитить избирателя от принуждения с помощью стандартных физических средств. На практике это означает, что избиратель должен отметиться в окружном регистрационном центре, где гарантируется физическая секретность. Однако, избиратель должен лишь один раз участвовать в этом процессе регистрации. Затем способ, согласно данному изобретению, защищает избирателя от принуждения в ходе нескольких выборов.
2. Во время процесса регистрации каждый избиратель выбирает секретный «код подтверждения» или «фразу пароля подтверждения».
3. «Фраза пароля подтверждения» зашифровывается избирателем, и зашифрованная форма публично регистрируется для этого избирателя.
4. Для опускания избирательного бюллетеня каждый избиратель должен предоставить сопровождающую (зашифрованную) фразу пароля. Эта сопровождающая фраза пароля не имеет никакого воздействия на признание или непризнание бюллетеня, так что если избиратель находится под наблюдением принуждающего лица, то избиратель может выдать любую фразу пароля, совпадающую или не совпадающую с зарегистрированной фразой пароля избирателя. Принуждающее лицо не способно определить разницу. Однако сопровождающая фраза пароля имеет воздействие на то, будет или нет засчитан бюллетень, который она сопровождает. Однако, тем не менее этот механизм обеспечивает, что
(а) любой человек, включая принуждающее лицо, может проверить содержимое урны для голосования и результат для определения правильности или неправильности результата (т.е. выборы являются универсально проверяемыми);
(b) несмотря на полную доступность данных голосования, механизмы шифрования и подсчета обеспечивают, что принуждающее лицо не способно определить, какой голос, если он вообще отдан избирателем, будет действительно включен в подсчет голосов.
(5) Табуляция (подсчет) зашифрованных голосов выполняется приблизительно посредством случайного смешивания отданного бюллетеня с парами зашифрованных фраз пароля, а также с первоначально зарегистрированными данными. Только когда обеспечивается совпадение между фразой пароля в случайных данных бюллетеня с фразой пароля в случайных данных регистрации, то бюллетень засчитывается. Совпадение определяется без расшифровки любой из фраз пароля. Поскольку вся рандомизация выполняется посредством криптографического верифицируемого перемешивания, то результаты все еще поддаются проверке и верификации любым лицом на правильность.
Фиг. 1 и последующее обсуждение обеспечивают краткое общее описание подходящей вычислительной среды, в которой могут быть осуществлены аспекты данного изобретения.
Хотя это не является необходимым, описание аспектов и вариантов выполнения изобретения приводится в общем контексте выполняемых компьютером команд, таких как программы, выполняемые обычным компьютером, например, сервером или персональным компьютером. Для специалистов в данной области техники понятно, что изобретение может быть реализовано с помощью других конфигураций компьютерной системы, включая применение Интернета, переносных устройств, носимых компьютеров, сотовых или мобильных телефонов, мультипроцессорных систем, основанной на микропроцессорах или программируемой бытовой электроники, телеприставок, сетевых персональных компьютеров, мини-компьютеров, мэйнфреймов и т.п. Изобретение может быть реализовано в специальном компьютере или процессоре, которые специально программируются, выполняются или конфигурируются для выполнения одной или более выполняемых компьютером команд, подробное описание которых приводится ниже. Действительно, используемое здесь понятие «компьютер» относится к любому указанному выше устройству, а также к процессору для обработки данных.
Изобретение может быть реализовано также в распределенной вычислительной среде, где задачи или модули выполняются с помощью устройств дистанционной обработки данных, которые связаны сетью связи, такой как местная вычислительная сеть (LAN), глобальная сеть (WAN) или Интернет. В распределенной вычислительной среде программные модули или подпрограммы могут быть расположены как в местных, так и в удаленных запоминающих устройствах. Аспекты данного изобретения, описание которых приводится ниже, можно хранить или распределять на читаемых компьютером носителях информации, включая магнитные и оптические читаемые и сменные компьютерные диски, храниться в виде аппаратного обеспечения в микросхемах (например, микросхемах EEPROM), а также распределяться электронно по Интернету или другим сетям (включая беспроводные сети). Для специалистов в данной области техники понятно, что части изобретения могут находиться на сервере, в то время как соответствующие части находятся в компьютере клиента. Структуры данных и передача данных, характерные для аспектов данного изобретения, также входят в объем изобретения.
Как показано на фиг. 1, в одном варианте выполнения изобретения используется компьютер 100, такой как персональный компьютер или рабочая станция, имеющая один или более процессоров 101, соединенных с одним или более устройствами 102 ввода пользователя, и одно или более устройств 104 хранения данных. Компьютер соединен также, по меньшей мере, с одним устройством вывода, таким как дисплейное устройство 106, и с одним или более необязательными дополнительными устройствами вывода 108 (например, принтер, плоттер, громкоговорители, сенсорные или обонятельные выходные устройства и т.д.). Компьютер может быть соединен с внешними компьютерами, например, через необязательное сетевое соединение 110 и/или через беспроводной приемопередатчик 112.
Устройство 102 ввода может включать клавиатуру и/или указательное устройство, такое как мышь. Возможны также другие устройства ввода, такие как микрофон, ручка управления, перо, игровая подложка, сканер, цифровая камера, видеокамера и т.п. Устройство 104 хранения данных может включать читаемый компьютером носитель информации любого типа, который может хранить данные, доступные для компьютера 100, такие как устройства с магнитным жестким или гибким диском, приводы оптического диска, магнитные кассеты, ленточные приводы, карты флэш-памяти, цифровые видеодиски (DVD), картриджи Бернулли, ОЗУ, ПЗУ, интеллектуальные карточки и т.д. Действительно, можно использовать любой носитель информации для хранения или передачи читаемых компьютером команд и данных, включая соединительный порт с сетью, такой как местная вычислительная сеть (LAN), глобальная сеть (WAN) или Интернет (не изображен на фиг. 1). Аспекты изобретения можно реализовать также в различных других вычислительных средах.
На фиг. 2 показана графическая диаграмма этапов, обычно выполняемых в соответствии с этой схемой. Подробное описание этих этапов приведено ниже. На этапе 201 избиратели регистрируются для внесения их в списки зарегистрированных избирателей, имеющих право голосования, и обеспечения их выборными верительными данными. На этапе 202 выборы начинаются для определения результатов голосования для кандидатов. На этапе 203 избиратели отдают свои голоса посредством подачи зашифрованных бюллетеней. На этапе 204 табулируют поданные на стадии 203 голоса и добавляют к окончательному результату голосования, если только можно верифицировать правильность полученного бюллетеня. После этапа 204 эти стадии завершаются.
1. Осуществления принуждения в раздельной табуляции
Целью данного раздела является
1. Дать характеристику класса схем голосования, которые включают преобладающее большинство схем, изученных ранее, а также представляются вероятными для включения всех схем, которые являются практичными для широкомасштабных публичных выборов.
2. Создать некоторые связи с тем, что может быть достигнуто с помощью схем этого класса в модели с угрозой принуждения.
Определение 1. В последующем каждый участник процесса голосования или любое лицо, которое оказывает или пытается оказать влияние на процесс голосования, называется игроком. Таким образом, избиратели, официальные лица и табуляторы все являются игроками, но ими же являются все лица, которые пытаются оказать влияние на результаты выборов, даже если они не имеют официальной роли в них.
Определение 2. Игрок Р1 принуждает игрока Р2, если Р1 получает от Р2 любую информацию, которую протокол выборов не требует от Р2 раскрывать перед Р1. Идентичная терминология используется, когда принуждающее лицо в действительности является группой игроков. То есть, никакие аспекты изобретения не ограничивают его применимости случаем, когда принуждающее лицо является отдельным лицом. Поэтому в дальнейшем не делается различия между принуждением со стороны отдельного лица и принуждением со стороны группы отдельных лиц, действующих совместно.
Определение 3. Информация по принуждению является любой информацией, достоверность которой может быть «верифицирована» принуждающим лицом. Если достоверность не может быть верифицирована, то избиратель (или отдельное лицо, подвергаемое принуждению) может лгать о ней принуждающему лицу.
Определение 4. Напомним, что результат является функцией t: C → N = Z+∪{0}, где Г = {c1,..., cl} является списком кандидатов. Можно записать
Figure 00000002
Для реализации изобретения необходимо наличие чего-либо, грубо напоминающего урну для цифровых бюллетеней, т.е. запоминающего устройства, соединенного с сетью, или другим образом открыто доступного для избирателей. Стандартный WEB-сервер и приложение для работы с базой данных обеспечивает вариант выполнения такого устройства. На практике в такое устройство или вокруг него встроено много мер защиты с целью защиты от повреждения или разрушения, вызванного враждебными или естественными силами. Изобретение также требует, чтобы избиратели были способны переводить свой выбор в цифровое представление и дополнительно шифровать это представление с помощью способов, представленных в остающейся части изобретения. Общий персональный компьютер обеспечивает вариант выполнения такого устройства.
Определение 5. Поскольку передача и хранение информации являются ключевыми элементами данного изобретения, чем технологии, которые облегчают передачу и хранение, то в последующем используется более общее понятие - доска объявлений для определения открыто доступного устройства хранения, а действие записи информации на доске объявлений обозначается как занесение (posting) (в контексте голосования это соответствует действию отдачи голоса). Кроме того, строки или записи информации, которые заносятся на доску объявлений, называются отправлениями (posts) (в контексте голосования это соответствует поданным голосам).
Теперь рассмотрим набор очень общих свойств, которые характеризуют широкий класс протоколов голосования. Эти свойства предполагаются при отсутствии принуждения. То есть, при верификации заданного свойства относительно частного протокола предполагается, что все потенциальные выполнения протокола являются действиями, в которых единственной информацией, обмениваемой между игроками, является информация, которая определена протоколом (эти свойства получают последовательные номера РР-1, РР-2 и т.д.).
РР-1. Отправления всегда прикреплены к доске объявлений (ВВ), то есть вычеркивания не разрешены. И занесение является элементарной транзакцией, то есть, в любое заданное время доска объявлений содержит точно k отправлений для некоторого не отрицательного целого k.
РР-2. Любой игрок может присоединить отправление независимо от состояния (содержимого) доски объявлений.
РР-3. В любое заданное время может быть образован итог, и он является однозначным. То есть, невозможно (или по меньшей мере преобладающе невероятно), что доска объявлений находится в некотором состоянии С(ВВ), которое является не действительным для табуляции, а результат С(ВВ): C → N является заданным.
РР-4. Группа игроков не может вычислить результат независимо от состояния доски объявлений.
Напомним, что списком О избирателей является по существу публичный список игроков (законных избирателей) {v1,..., vk}. C(ВВ) используется также для обозначения содержимого доски объявлений в произвольный момент времени, т.е. последовательности отправлений p1,..., pt. Пусть Р будет комплектом всех игроков в протоколе, то есть О⊂ Р.
Для простоты представления предположим, что бюллетень состоит из одного вопроса, т.е. что список кандидатов Г задан {c1,..., cl}, и каждый избиратель может выбрать (голосовать за) самое большое за одного кандидата. Обобщение этой установки на несколько более общих типов бюллетеней (которые не включают вписывание новых кандидатов) является достаточно оправданным.
Определение 6. Пусть С = С(ВВ) является любым состоянием доски объявлений (последовательностью отправлений). Если ρ является отправлением, то С⊕ρ обозначает состояние доски объявлений после присоединения единственного отправления ρ. Запись tC используется для обозначения результата итог(С).
Определение 7. Функцией голосования (на доске объявлений) является отображение
χ: P × C(BB) → {0,1}Г (1)
характеризуемое следующим:
vf-1. Для всех р ∈ Р
|χ(р, С(ВВ)) |∈ {0,1} (2)
Figure 00000003
vf-2. Для всех С(ВВ), если р ∉ О, то (с преобладающей вероятностью)
χ(р, С(ВВ)) = 0 (3)
Интуитивно смысл этого состоит в том, что протокол позволяет голосовать только членам списка избирателей (законным избирателям).
vf-3. Для всех р ∈ Р, если р отправляет ρ, то для всех q∈ Р справедливо следующее (с преобладающей вероятностью)
Figure 00000004
Интуитивно смысл этого состоит в том, что протокол позволяет голосовать избирателю только за себя. Это исключает схемы, позволяющие нескольким избирателям объединять свои голоса в одно или более отправлений.
vf-4. Для всех
Figure 00000005
и всех
Figure 00000006
если |χ(vi, C(BB))| = 0, то vi может вычислить (с вероятностью 1) отправление ρ, так что
Figure 00000007
Интуитивно смысл этого состоит в том, что если vi еще не проголосовал, то vi может присоединить голос для любого кандидата. Однако это утверждение не предполагает возможности, что протокол разрешает отдать vi свой голос, а затем изменить его (несмотря на это, большинство известных из литературы протоколов, которые по существу разрешают избирателю «один и только один раз изменить голос», соответствуют этому критерию).
vf-5. Для всех
Figure 00000008
если |χ(vi, C(BB))| = 1, то vi может вычислить с почти пренебрежимо малой вероятностью отправление ρ, удовлетворяющее условию
|tC(BB)⊕ρ| > |tC(BB)| (6)
Интуитивно смысл этого состоит в том, что ни один избиратель не может голосовать более одного раза. Однако это утверждение снова не предполагает возможности того, что протокол может позволять избирателю изменить голос или взять голос обратно (как указывалось выше, большинство протоколов, известных из литературы, соответствуют этому критерию).
Пусть Aij является событием вычисления vi отправления ρ, удовлетворяющего условию
tC(BB)⊕ρ(cj) - tC(BB)(cj) = -1 (7)
Пусть Bij является событием, заключающимся в том, что χ(vi, C(BB))(cj) = 1.
vf-6. Имеется постоянная α (0 ≤ α ≤ 1), так что для всех
Figure 00000005
и всех
Figure 00000009
условная вероятность Р(Aij|Bij) соответствует условию
Р(Aij|Bij) = α (8)
независимо от величины i, j и состояния доски объявлений С(ВВ).
Интуитивно смысл этого состоит в том, что если протокол позволяет избирателю изменить иногда голос, то протокол позволяет любому избирателю изменять голос в любое время. Однако, это не предполагает, что протокол запрещает изменение голоса, что является более обычным.
vf-7. Для всех
Figure 00000005
и всех
Figure 00000010
условная вероятность Р(A|B) соответствует условию
Р(Aij|B) = ≤ ε (9)
где ε ≥ 0 является пренебрежительно малой.
Интуитивно смысл этого состоит в том, что протокол лишь позволяет избирателю уменьшить счет для кандидата, если этот избиратель голосовал за этого кандидата. Это снова не мешает протоколу запрещать изменения голоса.
РР-5. Протокол допускает функцию голосования (следует отметить, что для этого не требуется, чтобы функция голосования была вычисляемой любым из игроков, она должна лишь существовать).
Определение 8. Протокол выборов считается имеющим разделяемую табуляцию, если и только если он удовлетворяет условиям РР-1 - РР-5. Для краткости в последующем будет использоваться также понятие разделяемый протокол выборов для обозначения любого протокола, имеющего разделяемую табуляцию.
Теорема 1. Если протокол выборов имеет разделяемую табуляцию и принуждающее лицо содержит совокупность игроков, способных вычислять результат, то для любых
Figure 00000005
величина χ(vi,C(BB)) является возможной для принуждения.
Доказательство: (схематично) принуждающее лицо может проходить через последовательность изображений урн для голосования, вычисляя в каждой точке результат (смотри предположение РР-4) и требуя от vi добавления голоса определенного значения. За счет повторного вычисления результата с присоединенным отправлением vi, принуждающее лицо может определить, какие отправления были добавлены vi и их совокупное воздействие на результат.
Заметьте, что это предлагает модель, в которой после факта принуждение возможно. То есть принуждающее лицо может влиять на избирателя после того как доска объявлений закроется. Однако такого предположения можно избежать при помощи резонного предположения о компьютерной энергии избирателя. В частности, мы можем показать, что принуждающее лицо имеет возможность при помощи одного принуждающего события
1. Исполнить роль избирателя в течение выборов, таким образом добавляя любой выбранный голос к доске объявлений (избирательной урне), и соответственно фальсифицировать часть избирательного протокола.
2. Определить любые попытки избирателя изменить голос.
Определение 9. Подразделяемый протокол выборов защищен от принуждения, если предположить, что отсутствует у принуждающей стороны возможность независимо вычислить результат
CS-1. Если p ∈ P и vi ∈ O, vi≠ p, тогда p не может вычислить
Figure 00000011
с вероятностью выше, чем «случайное угадывание +ε»
CS-2. Результат выборов публично верифицируемый.
Определение 10. Подразделяемый протокол выборов защищен от принуждения, если он стойкий к воздействию принуждающего лица и любых сценариев тайного сговора.
CS-3. Если tI идеальный результат, тогда верификация выборов гарантирует
| t C(BB)- tI| ≤ M (10)
2. Защищенный от принуждения протокол выборов
Предположим стандартную криптографическую защиту Эль Гамаля: p и q являются большими первичными величинами, при q|p - 1. Генератор подгрупп g∈ Z*p при |g| = q и h = gs, где s совместно используется n лицами, уполномоченными осуществлять табуляцию A1,...,An по пороговой схеме (t, n).
Протокол, описание которого приводится ниже, является стойким к принуждению. Далее будет описано, как можно простым образом расширить его для получения защищенного от принуждения протокола. Преимуществом описания сначала более слабой версии является то, что большинство трудностей заключаются в его создании.
2.1. Регистрация
Напоминаем, что предполагается, что избиратели защищены от принуждения во время сеанса их регистрации. Необходимо обеспечить, чтобы информация, обмениваемая во время регистрации, не поддавалась принуждению после этого.
Обозначим избирателя как vi.
R-1. vi выбирает случайное ri∈〈g〉 и случайное αi∈Zq и образует
(Ui0, Wi0) = (gαi, hαiri) (11)
R-2. Для каждого
Figure 00000012
R-2.1. vi получает от Aj пару (Uij,Wij), заданную
(Uij, Wij) = (gβij, hβij) (12)
где βij∈〈g〉 выбирается случайно Aj.
R-2.2. vi и Aj выполняют интерактивную проверку Шаум-Педерсена правильности соотношения loggUij = loghWij. То есть, сложность создается случайно vi, а не с помощью хэш-функции (эвристический метод Фиата-Шамира). Это позволяет vi позже создавать имитационные доказательства при принуждении.
R-3. После проверки каждого доказательства Шаума-Педерсена, vi вычисляет
Figure 00000013
R-4. Для каждого
Figure 00000014
vi получает от Aj подпись на (Ui,Wi) в качестве подтверждения получения.
R-5. (Ui,Wi) добавляют к списку О избирателей. После окончания периода регистрации каждое полномочное лицо должно подписать список О.
Примечание 1. Когда vi знает, что конкретное полномочное лицо не является принуждающим лицом и меньше, чем t (число, необходимое для вычисления результата) уполномоченных лиц вступают в сговор для принуждения (хотя vi может не знать их идентичности), то величина ri не подвержена принуждению. Это объясняется тем, что vi может оправдать правильность ri и αi, солгав принуждающему лицу о величине (UiJ,ViJ) и представив поддельное (т.е. имитационное) доказательство Шаума-Педерсена.
Требование того, что vi знает конкретного честного AJ, можно смягчить, если предположить, что допустимо разоблачение лжи vi принуждающим лицом. В качестве альтернативного решения, если n≫t, то vi может выбрать J случайно из 1 ≤ J ≤ n, предполагая, что Aj является честным, и зная, что вероятность уличения во лжи составляет максимально (t-1)/n.
2.2. Инициирование выборов
EI-1. Для каждого
Figure 00000015
и для каждого
Figure 00000016
уполномоченное лицо Aj создает случайно и независимо пару элементов 〈g〉 и (ξijij). Величины
Figure 00000017
публично вычисляют. Затем они все публикуются (и подписываются).
EI-2. Возможности выбора в бюллетене γμ∈〈g〉 1 ≤ μ ≤ k =|Γ| назначаются с помощью некоторого открытого случайного процесса или посредством процесса совместного использования (величина γμ обозначает голос за кандидата сμ).
2.3. Голосование
V-1. vi выбирает случайное νi1∈Zq и шифрует свой выбор в виде пары Эль Гамаля
(Ai, Bi) = (gνi1, hνi1γ(i)) (15)
V-2. vi выбирает случайное νi2∈Zq , вычисляет
Figure 00000018
и шифрует в виде
(Ci, Di) = (gνi2, hνi2si) (16)
V-3. Затем vi создает неинтерактивные доказательства знания QiAB и QiCD для пар (Ai, Bi) и (Ci, Di) соответственно. Эти доказательства показывают, что пары имеют требуемую форму, и что vi знает величины si и γ(i).
V-4. vi передает зашифрованный заполненный бюллетень
Ei = ((Ai, Bi), (Ci, Di), QiAB, QiCD) (17)
V-5. Хотя и не обязательно, но если используется модель доски объявлений «только для присоединения», то vi получает подтверждение о приеме Ei.
2.4. Табуляция
В этом разделе предполагается, что назначено подмножество t уполномоченных лиц. Без потери общности можно предположить, что ими являются A1,...,At.
Т-1. Для каждого
Figure 00000005
открыто вычисляются количества
Figure 00000019
T-2. Уполномоченные лица выполняют проверяемое перемешивание последовательности пар из пар Эль Гамаля
Figure 00000020
что приводит к выдаче набора пар из пар Эль Гамаля
Figure 00000021
где
Figure 00000022
Свойства этой смеси состоят в том, что набор расшифрованных пар величин (ai,bi) выходной последовательности точно такой же, что и набор расшифрованных пар величин входной последовательности, но в случайно переставленном порядке. Выполнение такого проверяемого перемешивания описано подробно в заявке на патент США № 09/816 869 с названием «Проверяемое, секретное перемешивание зашифрованных данных, таких как зашифрованные данные Эль Гамаля, для защищенных выборов с множеством уполномоченных лиц», поданная 24 марта 2001, и в заявке РСТ № WO02/77929 с названием «Проверяемые секретные перемешивания и их применение для электронного голосования», поданной 25 марта 2002, полное содержание которых включается в данное описание.
Т-3. Пусть
Figure 00000023
является набором, полученным из всех проголосовавших бюллетеней с проверенными доказательствами правильности. Уполномоченные лица выполняют другое проверяемое перемешивание последовательности этих пар из пар Эль Гамаля и получают выходной набор
Figure 00000024
Т-4. Для каждого 1 ≤ m ≤ M открыто вычисляются l пар Эль Гамаля
Figure 00000025
при
Figure 00000026
Т-5. Уполномоченные лица совместно расшифровывают все пары
Figure 00000027
и
Figure 00000028
для
Figure 00000005
и
Figure 00000029
Пусть это будут, соответственно, am и xmi.
Т-6. Для каждого
Figure 00000030
добавляют am к результату, только и если только
Т-6.1. am∈{μ1,...,μk}
T-6.2. Для некоторых
Figure 00000031
xmi = 1.
2.5 Табуляция - альтернативный вариант выполнения
В этом разделе предполагается, что назначено подмножество t уполномоченных лиц. Без потери общности можно предположить, что ими являются A1,...,At.
Т2-1. Для каждого
Figure 00000005
открыто вычисляются количества
Figure 00000032
T2-2. Уполномоченные лица выполняют проверяемое перемешивание последовательности пар Эль Гамаля
Figure 00000033
что приводит к выдаче набора пар Эль Гамаля
Figure 00000034
где Φii∈〈g〉. Свойства этой смеси состоят в том, что набор расшифрованных величин выходной последовательности точно такой же, что и набор расшифрованных величин входной последовательности, но в случайно переставленном порядке.
Т2-3. Для каждого проголосовавшего бюллетеня Em при
Figure 00000035
с проверенным доказательством правильности открыто вычисляются l пар Эль Гамаля
mi, Ωmi) = (AmCm Φi,BmDm Ψi) (24)
Т2-4. Пусть Уполномоченные лица выполняют проверяемое перемешивание последовательности M x l пар из пар Эль Гамаля ((Am,Bm), (Θmi, Ωmi)) c получением выходного набора
Figure 00000036
Т2-5. Уполномоченные лица совместно расшифровывают все пары (Φii),
Figure 00000037
Пусть это будут, соответственно, φi, am и xmi.
Т2-6. Для каждого
Figure 00000030
добавляют am к результату, только и если только
Т2-7. am∈{μ1,...,μk)
T2-8. Для некоторых
Figure 00000038
и
Figure 00000039
xmij.
2.6 Выполнение протокола защищенным от принуждения
Представленный протокол является явно не защищенным от принуждения. Если t или более уполномоченных лиц вступают в сговор, то они могут расшифровать первоначальные секреты ri избирателей, и это позволяет им представлять всех избирателей. Эту проблему можно решить посредством добавления требования анонимной подписи к операции отдачи голоса (подробное описание протокола с анонимной подписью, который является «свободным от уполномоченных лиц», дано в указанных выше заявках на патент). В этом случае, даже если злонамеренный агент имеет доступ к секрету ri, то он не может повлиять на конечный результат без соответствующего личного ключа подписи, который нельзя получить без принуждения. Причина этому является очевидной. Независимая от уполномоченных лиц, анонимная подпись на поданном бюллетене предотвращает установление уполномоченными лицами (даже в сговоре) связи между первоначальным зашифрованным бюллетенем (входной величиной проверяемого перемешивания или смеси) с отдельным лицом, как это они могут осуществлять с помощью стандартной цифровой подписи. Стандартная цифровая подпись в явном виде увязывает подписанные данные с зарегистрированным отдельным лицом. Анонимная подпись лишь связывает подписанные данные с членом набора или группы отдельных лиц.

Claims (18)

1. Способ проведения стойких к принуждению принуждающего лица электронных выборов, выполняемых в вычислительной системе, содержащий в вычислительной системе, прием от избирателя первой подтверждающей избирателя величины; в вычислительной системе, после приема первой подтверждающей избирателя величины, прием от избирателя зашифрованного бюллетеня и второй подтверждающей избирателя величины, при этом вторая подтверждающая избирателя величина вводится избирателем, и обеспечивает избирателю возможность определить, будет ли подсчитан бюллетень в зависимости от введенной величины; в вычислительной системе, независимо от значения принятой второй подтверждающей избирателя величины, добавление принятого бюллетеня к публично доступному списку поданных голосов, обеспечивая возможность членам общества верифицирование добавления принятого голоса к списку без возможности определения, будет ли голос засчитан; и в вычислительной системе, подсчет бюллетеня, если и только если вторая подтверждающая избирателя величина, принятая с бюллетенем, совпадает с принятой первой подтверждающей избирателя величиной.
2. Способ по п.1, в котором зашифрованный бюллетень и вторую подтверждающую избирателя величину принимают совместно от избирателя.
3. Способ по п.1, дополнительно содержащий определение, что первая и вторая подтверждающие избирателя величины совпадают, если они криптографически соотносятся друг с другом так, как было точно определено перед приемом от избирателя первой подтверждающей избирателя величины.
4. Способ по п.1, в котором, когда принимают зашифрованный бюллетень и вторую подтверждающую избирателя величину, то связывают каждую с идентичностью избирателя, при этом способ дополнительно содержит отделение идентичности избирателя от зашифрованного бюллетеня и второй подтверждающей избирателя величины; и после отделения, определение, совпадает ли принятая совместно вторая подтверждающая избирателя величина с принятой первой подтверждающей избирателя величиной.
5. Читаемый компьютером носитель информации, предназначенный для проведения выборов, стойких к принуждению принуждающего лица, содержимое которого приводит к выполнению вычислительной системой стойких к принуждению принуждающего лица электронных выборов за счет приема от избирателя первой подтверждающей избирателя величины; после приема первой подтверждающей избирателя величины, приема от избирателя зашифрованного бюллетеня и второй подтверждающей избирателя величины, при этом вторая подтверждающая избирателя величина вводится избирателем, и обеспечивает избирателю возможность определить, будет ли подсчитан бюллетень в зависимости от введенной величины; добавления принятого бюллетеня к публично доступному списку поданных голосов, обеспечивая возможность членам общества верифицирование добавления принятого голоса к списку без возможности определения, будет ли голос засчитан; и подсчета голоса, если и только если вторая подтверждающая избирателя величина, принятая с бюллетенем, совпадает с принятой первой подтверждающей избирателя величиной.
6. Читаемый компьютером носитель информации по п.5, в котором зашифрованный бюллетень и вторая подтверждающая избирателя величина принимаются совместно от избирателя.
7. Читаемый компьютером носитель информации по п.5, в котором содержимое читаемого носителя информации дополнительно приводит к выполнению вычислительной системой определения, что первая и вторая подтверждающие избирателя величины совпадают, если они криптографически соотносятся друг с другом так, как было точно определено перед приемом избирателя первой подтверждающей избирателя величины.
8. Читаемый компьютером носитель информации по п.5, в котором когда принимаются зашифрованный бюллетень и вторая подтверждающая избирателя величина, то каждая связывается с идентичностью избирателя, при этом содержимое читаемого компьютером носителя информации дополнительно приводит к выполнению вычислительной системой отделения идентичности избирателя от зашифрованного бюллетеня и второй подтверждающей избирателя величины; и после отделения, определения, совпадает ли принятая совместно вторая подтверждающая избирателя величина с принятой первой подтверждающей избирателя величиной.
9. Способ проведения в вычислительной системе частично стойких к принуждению принуждающего лица электронных выборов, содержащий в компьютерной системе голосующего клиента, прием от пользователя первой вводимой величины пользователя, определяющей выбор голосования пользователя; в компьютерной системе голосующего клиента, прием от пользователя второй вводимой величины, определяющей должен ли быть засчитан выбор голосования, обеспечивая тем самым невозможность определения ни компьютерной системой голосующего клиента, ни наблюдателем, присутствующий у компьютерной системы голосующего клиента, указал ли пользователь, что выбор голосования не должен быть засчитан; и в компьютерной системе подсчета голосов, подсчет выбора голосования, принятого в компьютерной системе голосующего клиента, если пользователь указывает, что выбор голосования должен быть засчитан.
10. Способ по п.9, в котором (а) выборы могут быть полностью верифицируются членами общества, без возможности определения (b) членами общества, засчитан ли выбор голосования в компьютерной системе голосования.
11. Способ по п.9, в котором принимают выбор голосования, содержащий секретный ключ, известный пользователю, при этом правильное указание секретного ключа определяет, что выбор голосования должен быть засчитан, а неправильное указание секретного ключа определяет, что выбор голосования не должен быть засчитан, и в котором правильность представления секретного ключа не может быть проверена ни компьютерной системой голосующего клиента, ни наблюдателем, присутствующим у компьютерной системы голосующего клиента.
12. Читаемый компьютером носитель информации, предназначенный для проведения выборов стойких к принуждению принуждающего лица, содержимое которого приводит к выполнению вычислительной системой способа проведения частично стойких электронных выборов, при этом способ содержит в компьютерной системе голосующего клиента, прием от пользователя первой вводимой величины пользователя, определяющей выбора голосования пользователя; в компьютерной системе голосующего клиента, прием от пользователя второй вводимой величины, определяющей должен ли быть засчитан выбор голосования, обеспечивая тем самым невозможность определения ни компьютерной системой голосующего клиента, ни наблюдателем, присутствующий у компьютерной системы голосующего клиента, указал ли пользователь, что выбор голосования не должен быть засчитан; и в компьютерной системе подсчета голосов, подсчет выбора голосования, принятого в компьютерной системе голосующего клиента, только если пользователь указывает, что выбор голосования должен быть засчитан.
13. Читаемый компьютером носитель информации по п.12, в котором (а) выборы полностью верифицируются членами общества, без возможности определения (b) членами общества, засчитан ли выбор голосования в компьютерной системе голосования.
14. Читаемый компьютером носитель информации по п.12, содержащий указанный секретный ключ, известный пользователю, при этом правильное указание секретного ключа определяет, что выбор голосования должен быть засчитан, а неправильное указание секретного ключа определяет, что выбор голосования не должен быть засчитан, и в котором правильность указания секретного ключа не может быть проверена ни компьютерной системой голосующего клиента, ни наблюдателем, присутствующим у компьютерной системы голосующего клиента.
15. Способ для проведения в вычислительной системе частично стойких к принуждению принуждающего лица, выборов, содержащий в вычислительной системе, прием избирательного бюллетеня от пользователя, при этом принятый бюллетень содержит по меньшей мере один выбор голосования и верительные данные, используемые для подтверждения правильности бюллетеня; в вычислительной системе, отделение верительных данных от бюллетеня; в вычислительной системе, после отделения верительных данных от бюллетеня, использование верительных данных для подтверждения правильности бюллетеня; и в вычислительной системе, подсчет выбора голосования бюллетеня, только если подтверждение правильности бюллетеня прошло успешно.
16. Способ по п.15, в котором отделение включает перемешивание бюллетеня и его верительных данных с дополнительными бюллетенями, принятыми от других избирателей, и их верительными данными.
17. Читаемый компьютером носитель информации, предназначенный для выборов, стойких к принуждению лица, содержимое которого приводит к выполнению вычислительной системой способа проведения частично стойких к принуждению принуждающего лица электронных выборов, при этом способ содержит прием избирательного бюллетеня от пользователя, при этом принятый бюллетень содержит по меньшей мере один выбор голосования и верительные данные, используемые для подтверждения правильности бюллетеня; отделение верительных данных от бюллетеня; только после отделения верительных данных от бюллетеня, использование верительных данных для подтверждения правильности бюллетеня; и подсчет выбора голосования бюллетеня, только если подтверждение правильности бюллетеня прошло успешно.
18. Читаемый компьютером носитель информации по п.17, в котором отделение включает перемешивание бюллетеня и его верительных данных с дополнительными бюллетенями, принятыми от других избирателей, и их верительными данными.
RU2004127443/09A 2002-02-14 2003-02-14 Схема голосования без принуждения RU2292082C2 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US35721002P 2002-02-14 2002-02-14
US60/357,210 2002-02-14

Publications (2)

Publication Number Publication Date
RU2004127443A RU2004127443A (ru) 2005-05-27
RU2292082C2 true RU2292082C2 (ru) 2007-01-20

Family

ID=27734736

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2004127443/09A RU2292082C2 (ru) 2002-02-14 2003-02-14 Схема голосования без принуждения

Country Status (8)

Country Link
EP (1) EP1532556A4 (ru)
JP (1) JP2005526307A (ru)
KR (1) KR20040078165A (ru)
CN (1) CN1659554A (ru)
AU (1) AU2003215282A1 (ru)
CA (1) CA2475136C (ru)
RU (1) RU2292082C2 (ru)
WO (1) WO2003069448A2 (ru)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2452013C2 (ru) * 2010-01-26 2012-05-27 Российская Федерация, от имени которой выступает Федеральная служба по техническому и экспортному контролю (ФСТЭК России) Способ формирования сертификата открытого ключа
RU2751315C2 (ru) * 2019-11-05 2021-07-13 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Универсальная система распределенного защищенного дистанционного голосования
US11356267B2 (en) 2020-05-15 2022-06-07 Op Osuuskunta Apparatus, method and software for electronic voting during web conference

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2906058B1 (fr) * 2006-09-14 2008-11-21 Eads Defence And Security Syst Procede et serveur de verification du contenu d'une urne virtuelle d'un systeme de vote electronique chiffre par un algorithme homomorphique
CN101727692B (zh) * 2008-10-17 2013-01-02 中科院成都信息技术有限公司 选举投票信息处理方法及***
CN102622572A (zh) * 2012-03-16 2012-08-01 中科院成都信息技术有限公司 选票快速配对和关联防伪方法
CN102629396B (zh) * 2012-04-09 2014-04-02 中科院成都信息技术股份有限公司 含另选人的电子选票信息加密及快速处理方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6092051A (en) * 1995-05-19 2000-07-18 Nec Research Institute, Inc. Secure receipt-free electronic voting
US6081793A (en) * 1997-12-30 2000-06-27 International Business Machines Corporation Method and system for secure computer moderated voting
US20010034640A1 (en) * 2000-01-27 2001-10-25 David Chaum Physical and digital secret ballot systems

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Lorrie Faith Cranor et al. Design and implementation of practical security-conscious electronic polling system. Department of Computer science, Washington University, St. Lois, Missouri, 23.01.1996, [www.***.com], с.1-13. *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2452013C2 (ru) * 2010-01-26 2012-05-27 Российская Федерация, от имени которой выступает Федеральная служба по техническому и экспортному контролю (ФСТЭК России) Способ формирования сертификата открытого ключа
RU2751315C2 (ru) * 2019-11-05 2021-07-13 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Универсальная система распределенного защищенного дистанционного голосования
US11356267B2 (en) 2020-05-15 2022-06-07 Op Osuuskunta Apparatus, method and software for electronic voting during web conference

Also Published As

Publication number Publication date
CN1659554A (zh) 2005-08-24
WO2003069448A3 (en) 2005-03-24
AU2003215282A1 (en) 2003-09-04
CA2475136C (en) 2007-04-17
EP1532556A2 (en) 2005-05-25
KR20040078165A (ko) 2004-09-08
EP1532556A4 (en) 2007-09-19
AU2003215282A8 (en) 2003-09-04
WO2003069448A2 (en) 2003-08-21
RU2004127443A (ru) 2005-05-27
CA2475136A1 (en) 2003-08-21
JP2005526307A (ja) 2005-09-02

Similar Documents

Publication Publication Date Title
Karlof et al. Cryptographic Voting Protocols: A Systems Perspective.
Adida Advances in cryptographic voting systems
Clarkson et al. Civitas: Toward a secure voting system
US7260552B2 (en) Secure remote electronic voting system and cryptographic protocols and computer programs employed
Mursi et al. On the development of electronic voting: a survey
Kusters et al. An epistemic approach to coercion-resistance for electronic voting protocols
Basin et al. Alethea: A provably secure random sample voting protocol
US20220141020A1 (en) Blockchain e-voting system and operating method thereof
US7389250B2 (en) Coercion-free voting scheme
US20220239502A1 (en) System to Securely Issue and Count Electronic Ballots
RU2292082C2 (ru) Схема голосования без принуждения
EP3474241A1 (en) Electronic balloting
Grontas et al. Blockchain, consensus, and cryptography in electronic voting
Akinyokun et al. Receipt-Free, Universally and Individually Verifiable Poll Attendance
Joaquim et al. Improving remote voting security with codevoting
JP2004192029A (ja) 電子投票システム、投票データ生成サーバ、端末装置、及び、集計サーバ、ならびに、コンピュータプログラム
Chaum et al. Paperless independently-verifiable voting
da Silva Mendes Trusted Civitas: Client trust in Civitas electronic voting protocol
KR102430835B1 (ko) 블록체인 전자투표시스템, 그 시스템의 운용방법
Panja Zero-Knowledge Proof, Deniability and Their Applications in Blockchain, E-Voting and Deniable Secret Handshake Protocols
Lapologang A Conceptual Model for Designing and Implementation of Secure and Trustable Remote Electronic Voting Systems within the Developing World
Gupta et al. Improving the End to End Protection in E-voting using BVM-Blockchain based e-Voting Mechanism
Chen et al. An improved and efficient coercion-resistant measure for electronic voting system
Metaxopoulos et al. A Distributed Bulletin Board Implementation for Practical Use in eVoting Systems
Augoye Eligibility Verifiability in Untrustworthy Voting Environments

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20090215