search

plattform-eva / revision-politische-rechte-2021

Diskussion zu einer gemeinsamen Antwort zur eidgenössischen Vernehmlassung 2021/61: Änderung der Verordnung über die politischen Rechte (VPR) und der Verordnung der BK über die elektronische Stimmabgabe (VEleS)
Creative Commons Zero v1.0 Universal
13 stars 1 forks source link

VEleS Art. 5 Anforderungen an die vollständige Verifizierbarkeit #20

Open christiankiller opened 3 years ago

christiankiller commented 3 years ago

Wortlaut der Vorlage

Art. 5 Anforderungen an die vollständige Verifizierbarkeit 1 Es ist sichergestellt, dass jede Manipulation, die zu einer Verfälschung des Ergebnisses führt, unter Wahrung des Stimmgeheimnisses erkannt werden kann (vollständige Verifizierbarkeit). Dies ist gegeben, wenn die Anforderungen an die individuelle und an die universelle Verifizierbarkeit erfüllt sind.

2 Anforderungen an die individuelle Verifizierbarkeit: a. Die stimmende Person hat die Möglichkeit zu erkennen, ob ihre Stimme auf der Benutzerplattform oder auf dem Übertragungsweg manipuliert oder abgefangen worden ist. b. Dazu erhält die stimmende Person einen Beweis, dass der vertrauenswürdige Systemteil (Art. 8) die Stimme so, wie sie die stimmende Person in die Benutzerplattform eingegeben hat, als systemkonform abgegeben registriert hat; der Beweis bestätigt für jede Teilstimme die korrekte Registrierung. c. Eine stimmberechtigte Person, die ihre Stimme nicht elektronisch abgegeben hat, kann nach der Schliessung des elektronischen Stimmkanals innert der gesetzlichen Beschwerdefristen einen Beweis anfordern, dass der vertrauenswürdige Systemteil keine Stimme registriert hat, die unter Verwendung ihres clientseitigen Authentisierungsmerkmals abgegeben wurde.

3 Anforderungen an die universelle Verifizierbarkeit: a. Zur universellen Verifizierung erhalten die Prüferinnen und Prüfer einen Beweis der korrekten Ergebnisermittlung; der Beweis bestätigt, dass das er-mittelte Ergebnis folgende Stimmen berücksichtigt

  1. alle systemkonform abgegebenen Stimmen, die durch den vertrauenswürdigen Systemteil registriert wurden,
  2. ausschliesslich systemkonform abgegebene Stimmen,
  3. alle Teilstimmen gemäss des im Rahmen der individuellen Verifizierung generierten Beweises. b. Die Prüferinnen und Prüfer werten den Beweis in einem beobachtbaren Prozess aus; dazu müssen sie technische Hilfsmittel verwenden, die vom Rest des Systems unabhängig und isoliert sind.

Referenzen

Art. 5 Anforderungen an die vollständige Verifizierbarkeit Die vollständige Verifizierbarkeit erlaubt es, systematische Fehlfunktionen im Wahl- bzw. Abstimmungs-ablauf infolge von Softwarefehlern, menschlichen Fehlleistungen oder vorsätzlichen Manipulationsversuchen unter Wahrung des Stimmgeheimnisses zu erkennen. Dazu gehört zwingend, dass Stimmende einen Beweis erhalten, dass ihre Stimme das System unverändert erreicht hat und nicht – beispielsweise durch ein Schadprogramm auf dem verwendeten Computer – manipuliert wurde. Prüferinnen und Prüfer können unabhängig vom eingesetzten System feststellen, dass sämtliche Stimmen, deren korrekte Abgabe zuvor durch die Stimmenden überprüft werden konnte, auch korrekt – das heisst entsprechend dem Beweis, den die Stimmenden erhalten hatten – ausgezählt wurden. Die Umsetzung der Verifizierbarkeit muss sich auf anerkannte Methoden der Kryptografie abstützen. Künftig werden nur noch vollständig verifizierbare Systeme zugelassen. Die Anforderungen der bisheri-gen Artikel 4 und 5 werden mit einigen Überarbeitungen in den Artikeln 5-8 E-VEleS aufgenommen.

Abs. 2: Die individuelle Verifizierbarkeit ermöglicht es den Stimmberechtigten, jegliche missbräuchliche Verwendung ihres Stimmrechts festzustellen. Dies soll möglich sein, auch wenn die Benutzerplattform und der Übertragungsweg nicht vertrauenswürdig sind. Konkret muss a priori von nicht entdeckbaren Viren oder anderen Eingriffen auf der Benutzerplattform oder dem Übertragungsweg ausgegangen werden.

Abs. 3: Die universelle Verifizierbarkeit ermöglicht es, Manipulationen in der Infrastruktur zu entdecken. Die Möglichkeit, universell zu verifizieren, muss im Gegensatz zur individuellen Verifizierbarkeit jedoch nicht zwingend den Stimmberechtigten angeboten werden. Stattdessen können Prüferinnen und Prüfer eingesetzt werden, die von der universellen Verifizierbarkeit Gebrauch machen. Der Prozess der Über-prüfung muss beobachtbar sein. Das heisst, dass die Prüferinnen und Prüfer die Bedeutung und die Ergebnisse der einzelnen Handlungsschritte möglichst nachvollziehen können sollen. Dazu müssen sie die Möglichkeit haben, die korrekte Durchführung der Handlungsschritte sowie die Prüfergebnisse bezeugen zu können, beispielsweise indem sie sich an den Ort der Durchführung begeben.

melchl commented 3 years ago

Es ist sichergestellt, dass jede Manipulation, die zu einer Verfälschung des Ergebnisses führt, unter Wahrung des Stimmgeheimnisses erkannt werden kann (vollständige Verifizierbarkeit).

Ich bin zu blöd für Mathematik. Aber diese Anforderung scheint mir unerreichbar.

Dies ist gegeben, wenn die Anforderungen an die individuelle und an die universelle Verifizierbarkeit erfüllt sind.

Und hier ist die Auflösung. Man definiert einfach, wann diese übertriebene Anforderung erfüllt sein soll. Finde ich keine saubere Regulierung, da die Grenze zu Propaganda verschwimmt.

c. Eine stimmberechtigte Person, die ihre Stimme nicht elektronisch abgegeben hat, kann nach der Schliessung des elektronischen Stimmkanals innert der gesetzlichen Beschwerdefristen einen Beweis anfordern, dass der vertrauenswürdige Systemteil keine Stimme registriert hat, die unter Verwendung ihres clientseitigen Authentisierungsmerkmals abgegeben wurde.

Vielleicht penibel: Sprechen wir von einem Beweis oder einem Nachweis?

christiankiller commented 3 years ago

Ja das sind halt die Spielerein mit den Definitionen: Complete Verifiability under the assumptions of ... (fill the gap). Konkret bedeutet das am Beispiel des Schweizer Post Systems das folgende:

Quelle der Grafik, Seite 14 und 15

comm-channels trust-assumptions

Ich verstehe diese Kritik, ich wüsste aber nicht, wie man das anders oder besser formulieren kann, ohne das es schlichtweg praktisch unmöglich wird so ein System zu programmieren und betreiben.

Finde ich sehr gut bemerkt mit Nachweis bzw. Beweis. Kommte das sonst irgendwo vor? Ist es definiert irgendwo, was das für ein Beweis wäre und wie man den verifizieren kann? Würde schon eher auf Beweis belassen.

dune73 commented 3 years ago

Ich finde die Probleme hier nicht so drastisch. Wenn ich es recht verstehe ist das Schweizer System mit dem Konzept der *universellen Verifizierbarkeit" ist eine etwas pragmatische Vereinfachung der in der Forschung gebräuchlichen E2E Verifizierbarkeit, die namentlich auf Voter-Seite sehr schwer umzusetzen ist.

Der in diesem Artikel ausgedrückte neue Anspruch für jegliches E-Voting System geht weiter als irgend ein anderes Land. Nicht perfekt, aber sehr progressiv.

melchl commented 3 years ago

Ich verstehe diese Kritik, ich wüsste aber nicht, wie man das anders oder besser formulieren kann, ohne das es schlichtweg praktisch unmöglich wird so ein System zu programmieren und betreiben.

Man könnte Abs. 1 ersetzen durch "Vollständige Verifizierbarkeit ist dann gegeben, wenn die Anforderungen an die individuelle und an die universelle Verifizierbarkeit erfüllt sind." - Damit würde nicht der Begriff der "Vollständigen Verifizierbarkeit" unnötig überhöht.

dune73 commented 3 years ago

Deine Formulierung ist viel einfacher, aber das "Wozu" ist damit weg. Die Verifizierbarkeit wird dadurch im Text zum Selbstzweck. Bin noch nicht überzeugt.