WO2002063824A1 - Telecommunications protocol, system and devices for anonymous, validated electronic polling - Google Patents

Telecommunications protocol, system and devices for anonymous, validated electronic polling Download PDF

Info

Publication number
WO2002063824A1
WO2002063824A1 PCT/DE2001/002334 DE0102334W WO02063824A1 WO 2002063824 A1 WO2002063824 A1 WO 2002063824A1 DE 0102334 W DE0102334 W DE 0102334W WO 02063824 A1 WO02063824 A1 WO 02063824A1
Authority
WO
WIPO (PCT)
Prior art keywords
electronic
election
voting
voter
computer
Prior art date
Application number
PCT/DE2001/002334
Other languages
German (de)
French (fr)
Inventor
Dieter Otten
Original Assignee
Dieter Otten
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dieter Otten filed Critical Dieter Otten
Priority to EP01951428A priority Critical patent/EP1358734A1/en
Priority to DE10195983T priority patent/DE10195983D2/en
Publication of WO2002063824A1 publication Critical patent/WO2002063824A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3255Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/46Secure multiparty computation, e.g. millionaire problem
    • H04L2209/463Electronic voting

Definitions

  • the present invention relates to a telecommunications protocol, telecommunications system and telecommunications devices for the anonymous and authentic handling of an electronic choice.
  • the invention presented here is used for dialing electronically via data traffic networks, with voting, vote counting and authentication of the persons authorized to vote being carried out by electronic computers.
  • the identification and authentication of the voter The voter enters the polling station with his voting card and identifies himself there, for example by showing his identity card. He proves his eligibility for voting by means of a document (authentication document) sent to him.
  • the election supervisor checks the documents, hands over the ballot and marks the voter in a list. He also keeps the election documents (authentication documents) sent to the respective voter, so that the election can only be carried out once.
  • the voter identified and authenticated in this way is now allowed to vote.
  • the voter carries out his election in a shielded room so that he alone knows his choice and then hands over his ballot to the ballot box.
  • the vote count The ballot box is opened under supervision and the votes are counted. The counted votes of all ballot boxes are added up and the election is evaluated on the basis of this result.
  • This procedure almost eliminates the assignment of a cast vote to a specific voter, namely the one who cast the vote, and the manipulation of the election itself as well as the manipulation of the election result by repeated voting in the framework of democratic procedures is excluded.
  • This complex procedure which is repeated for every voter, suggests the use of electronic data processing systems.
  • the usual tools such as computers, scanners and graphic processing systems are known, but are only used in the last of the three steps, the final vote count.
  • Electronic procedures are already in use for elections with less official character, such as polls and votes.
  • the periodically renewed ranking of popular pieces of music by choosing the title and the artist is now possible on the Internet. For the sake of data security, however, authentication of the voter is dispensed with, so that multiple votes are possible.
  • an electronic polling station requests an electronic polling station from an electronic polling station
  • the electronic returning officer checks the eligibility of a voter using the electronic voting station to participate in the electronic election and, if the eligibility of the voter using the electronic voting station to participate in the electronic election is determined, sends an electronic voting card to the voting station,
  • the electronic polling station provides the electronic voting form received by the electronic election supervisor with an election made electronically by a voter
  • the electronic polling station sends the electronic voting slip provided with the election to an electronic voting computer for collection and / or evaluation.
  • the last two requirements result in opposing requirements for the voting system to be used.
  • the demand for the equality of the election means that the voter is identified and authenticated, but on the other hand, once the voter has been determined, the choice he has made cannot be understood.
  • selections in the context of this document is generally understood in the sense of any vote, and therefore also in the sense of citizen decisions or referendums or the like.
  • the object of the present invention is therefore to provide an electronic voting system which technically guarantees both anonymity (that is, the secret of the choice) and authenticity (and therefore also the equality of the choice).
  • an electronic polling station requests an electronic polling card from an electronic polling officer
  • the electronic polling officer checks the authorization of a voter using the electronic polling station to participate in the electronic poll and in the event of determining the eligibility of the voter using the electronic polling station to participate in the electronic election, sends an electronic ballot to the polling station
  • the electronic polling station provides the electronic polling card received by the electronic polling officer with an election made electronically by a voter
  • the electronic one The electoral office sends the electronic voting slip provided with the election to an electronic election computer for collection and / or evaluation and which is characterized by it.
  • D ate the data uniquely assigned to the person of the voter and the electronic choice made by the voter in all phases of processing or transmission either separated or encrypted or separated and encrypted.
  • an electronic election manager preferably a server computer system, which, preferably via a telecommunication network, is connected to at least one electronic polling station (pollster), preferably a client computer system, and the electronic election manager is set up in terms of programming so that he checks the authorization of a voter using the electronic voting station to participate in an electronic election, whereby he is also characterized in that the data clearly assigned to the person of the voter and the electronic choice made by the voter in all phases of processing on the electronic returning officer or transmission to or from the electronic returning officer are either separated or encrypted or separated and encrypted.
  • an electronic election manager preferably a server computer system, which, preferably via a telecommunication network, is connected to at least one electronic polling station (pollster), preferably a client computer system, and the electronic election manager is set up in terms of programming so that he checks the authorization of a voter using the electronic voting station to participate in an electronic election, whereby he is also characterized in that the data clearly assigned to the person of the voter and the electronic choice made by the voter in all phases
  • an electronic voting computer preferably a server computer system, which, preferably via a telecommunication network, is connected to at least one electronic polling station (pollster), preferably a client computer system, the electronic voting computer being program-related is set up in such a way that it collects and / or evaluates the electronic voting cards sent to it by the electronic voting point and is also characterized in that the data clearly assigned to the person of the voter and an electronic choice made by the voter in all phases Processing on the electronic election computer or transmission to or from the electronic election supervisor either separated or encrypted or separated and encrypted is used to achieve the above object.
  • a server computer system which, preferably via a telecommunication network, is connected to at least one electronic polling station (pollster), preferably a client computer system
  • the electronic voting computer being program-related is set up in such a way that it collects and / or evaluates the electronic voting cards sent to it by the electronic voting point and is also characterized in that the data clearly assigned to the person of the voter and an electronic choice made by the voter in all phases Processing
  • data packets also called datagrams or telegrams
  • data packets either contain no information about the voter identity or contain information about this (namely for the purpose of identification and authentication), but then they are encrypted, which results in a so-called information-based separation of powers and anonymity and ensures authenticity of choice.
  • a particularly preferred embodiment of the telecommunication protocol for the anonymous and authentic handling of an electronic election is characterized in that the electronic polling station sends the electronic ballot with the choice made and with an identifier assigned to the voter, sends it back to the electronic election officer in encrypted form, and the electronic election officer sends it to signs the encrypted electronic ballot paper sent back to him and then sends it, signed by him, to the electronic polling station, the electronic polling station decrypts the electronic voting slip provided with the election and signed by the electronic election supervisor, removes the identifier assigned to the voter and the electronic voting slip in the case of his Sends authenticity without the identifier but with a signature to the electronic election computer for collection and / or evaluation.
  • coding and encryption methods are preferably used which encrypt the data generated during the electronic dialing, such as personal data and dialing data, in such a way that, in the event of unauthorized access, this data is illegible and therefore unusable.
  • these coding and encryption methods are also particularly preferably used, which only apply to the electronic election supervisor (validator), the electronic election computer (Psephor) and the electronic polling station ( Pollster) are known.
  • These private coding and encryption methods are therefore only known to the computer which uses them, ie only he alone can encrypt and then decrypt a data packet using these methods.
  • Coding and encryption methods which allow the use, ie also reading, of data only for certain groups and exclude other groups from this use can also be used.
  • This measure namely the use of different coding and encryption methods, forms the basis for a transfer method of data packets which can now be sorted, counted and managed by the recipient, but the original information of the data packets is not known to the recipient.
  • This means that procedures can be formally controlled and reproduced without the risk of disclosure of information.
  • the encryption of the data packets can also be carried out asymmetrically.
  • a data packet sent in this way can have the following structure:
  • a pub B priv (message); message
  • A is the receiver and B is the transmitter.
  • This data packet contains the same message twice.
  • this message is encrypted with a private code from the sender B, on the other hand it is unencrypted.
  • the entire data packet is encoded again with the public key of the recipient A pub . Only this person can open the data packet and then read the unencrypted message.
  • Receiver A cannot decrypt the message encrypted with the sender's private code. This only serves as a possible check by the sender as to whether the data packet was changed during the transmission. If this is the case, ie if the two initially identical messages are no longer identical, the message was manipulated without authorization. A possible manipulator would have to arrive at two keys present at separate locations in order to be able to change such a structured data packet without being noticed.
  • the actual electronic dialing according to the telecommunications protocol available here preferably takes place in the following 11 steps: All data packets which are transferred in the context of the electronic dialing according to the telecommunications protocol available here are encoded using at least one encryption method.
  • the election process is opened, in which an election registration w of the voter is submitted to the electronic election supervisor, the validator, and checked for the voting rights of the respective voter.
  • the electronic polling station the so-called pollster, connects to the validator via the network.
  • a data packet which contains the election registration w is now transmitted from the pollster to the validator.
  • the validator checks the digital election registration w transmitted by the pollster, namely the digital election registration w contained in the data package, by comparing it with the digital data, preferably stored in a TrustCenter, and then either confirming voting authorization for this voter or immediately confirming the voting process in the event of any discrepancies aborts. If the right to vote is now available, the validator checks whether voting approval can be granted. To do this, he checks the electoral roll for a possible entry. Is there already a ballot of the voter with 'the present right to vote before, then the election process at this point also canceled. This prevents multiple votes. If the voter has not yet given a voting slip for this right to vote, the voting must still be granted.
  • the voters For the final approval of the election, the voters must now be properly identified. The voter is also identified online. For this purpose, a data packet is in turn sent from the pollster to the validator. The latter then compares this data transmitted in the data packet with the data present in the electoral register and valid for this election. If there is now an entry with the corresponding data, the voter has properly identified himself. The properly identified voter is now entitled to vote. The validator now gives the pollster the right to vote for this properly identified voter. For this purpose, the selection release is transferred from the validator to the pollster in the form of a data packet. Without the granted voting approval, no further data transmission from the pollster to the validator for the continuation of this already initiated voting process is possible.
  • an electronic ballot preferably a datagram, for example particularly preferably also in the form of a website or an e-mail
  • the electronic voting form issued by the validator and transmitted to the pollster must be filled in, preferably an electronic pointing device, such as a mouse or an electronic pen, is used for this purpose. This increases the ease of use and the number of invalid ballots is reduced.
  • the poll string ws generated in this way (the completed website, i.e. the electronic ballot with the vote) is encrypted by the pollster and sent back to the validator.
  • the validator is now not able to decrypt this electronic voting form because it does not have the necessary information, i.e. the decryption code.
  • the validator signs the ballot, ie it ensures the submission of the ballot up to this step and the formal correctness of the electronic ballot.
  • the voting slip signed in this way is then sent back to the pollster.
  • the pollster decrypts the electronic signed by the validator Voting slip, he removes the identifier assigned to the voter (for example, all personal data or an anonymized identifier) and sends a data packet, which has the election string, to the electronic voting computer (the ballot box), ie the pesphor. With the receipt of the electronic ballot paper and its storage in the ballot box, the electoral roll will be blocked for the corresponding voter.
  • a simple electronic note is sufficient for this, such as a change in the status information in the respective field of the electoral roll. It is therefore impossible for a voter to cast his vote more than once, but on the other hand, if the election is terminated due to a technical defect, such as a power failure and the resulting interruption of data flow in the electoral network, it is possible for these voters to carry out the election again can. After a complete, properly conducted election, the voter receives a message that expressly confirms this. The electronic election supervisor then no longer sends a polling card to the voter who has already voted; Possibly multiple-time polling cards are only taken into account in the form of the first and properly signed ballot papers received by the Psephor; all others are not taken into account.
  • the encrypted votes are transferred from the psephor to electronic buffers and then completely handed over to the validator, who then counts and then calculates the result.
  • digital signatures offer the possibility of making the process sequence safe and comfortable.
  • Data packets provided with digital signatures can be clearly assigned to the validator, psephor or pollster, depending on who signed the respective data packet from the above-mentioned network participants.
  • the digital signature also takes on the function of a clearly identifiable signature, so that the signed data packets are guaranteed to be checked and processed in a certain way.
  • the validator signs the ballot paper filled in by the voter and sent by the pollster without being able to find out its contents.
  • the signature of the validator then added to the data packet thus guarantees the pollster that the data packet transferred back can be processed properly and can thus participate in the election. In this step, the voter sees that the validator has accepted his own choice, i.e.
  • the telecommunications protocol according to the invention thus protects particularly effectively against undesired manipulation of the dialing system.
  • an electronic election supervisor (validator) who is set up in terms of programming so that he checks the eligibility of a voter using an electronic polling station to participate in an electronic election and, if the entitlement of the voter using the electronic polling station is determined, to participate in the electronic election sends the electronic ballot to the polling station and the electronic election supervisor signs an encrypted electronic voting slip sent back to him from the electronic polling station and then sends it back to the electronic polling station, signed by him, and
  • an electronic voting computer (psephor, urn) which is set up in terms of program technology so that it only collects and / or evaluates electronic voting cards which are also signed by an electronic election manager.
  • a further embodiment of the telecommunications protocol for the anonymous and authentic handling of an electronic election is characterized in that the identifier assigned to the voter is an identification that identifies the voter.
  • the identifier assigned to the voter can also be anonymously assigned to the voter and thus do not represent an identification of the voter. This can preferably be done in that the electoral-specific data, for example the personal data, is eliminated in the first steps of the electronic election. The earlier such direct anonymization of the voter is carried out, the safer the voter is from being identified by unauthorized persons.
  • a further embodiment of the telecommunication protocol for the anonymous and authentic handling of an electronic election is characterized in that the electronic voting station decrypts the electronic voting slip provided with the election and signed by the electronic election supervisor, removes the identifier assigned to the voter and the electronic voting slip without the identifier but only sends a signature to the electronic voting computer for collection and / or evaluation if the electronic voting center determines the authenticity of the signed electronic voting slip in such a way that the identifier assigned to the voter corresponds to the identifier after receipt from the electronic election officer as it does from the electronic one Polling station has been sent to the electronic returning officer.
  • Another embodiment of the telecommunications protocol for the anonymous and authentic handling of an electronic election is characterized in that the electronic polling station decrypts the electronic voting slip provided with the election and signed by the electronic election supervisor, removes the identifier assigned to the voter and the electronic voting slip without the identifier but only sends a signature to the electronic voting computer for collection / evaluation if the electronic voting center determines the authenticity of the signed electronic voting slip in such a way that the choice made by the voter corresponds to the choice as it was sent from the electronic voting point to the electronic election officer ,
  • the aforementioned embodiments relate to a particularly secure way of transmitting an already signed electronic voting form from the electronic see electoral office for the electronic voting calculator, which relates to the type of verification of the content of the electronic voting form by the electronic electoral office.
  • a further embodiment of the telecommunications protocol according to the invention is characterized in that electronic ballots are only collected on the electronic voting computer, but are not evaluated.
  • the electronic voting cards collected by the electronic voting computer are preferably sent to the electronic election manager for evaluation.
  • a particularly preferred embodiment of the telecommunication protocol for the anonymous and authentic handling of an electronic election is further characterized in that only those electronic voting cards are evaluated which are also signed by the electronic election supervisor.
  • This embodiment is an additional security measure, which preferably enables a further control step at the end of the choice, for example the psephor or the validator.
  • a further embodiment of the telecommunications protocol for the anonymous and authentic handling of an electronic election is characterized in that the evaluation of the electronic voting cards in the form of a count, preferably according to election categories, the election made in each case, as in the case of a political election or voting, as a rule. usually done.
  • At least one of the following encryption methods can be used to operate the telecommunications protocol according to the invention:
  • a hash function preferably a one-way hash function.
  • the data is encrypted using a number known only to the user so that it is available for formal processing, such as counting, archiving and identification with a digital signature.
  • content such as the dial string but only known to the user.
  • the data is saved using a hash function.
  • a hash function instead of the actual message can also lead to a significant reduction in the data packet size and thus significantly reduce the transmission time.
  • the electronic polling station (pollster) used to operate the telecommunications method according to the invention preferably a client computer system, is, preferably via a telecommunications network, with an electronic dialing station (validator), preferably a first server computer system and an electronic voting computer (psephor) , Urn), preferably a second server computer system, connected and characterized in that it is set up in terms of programming so that it handles its communication traffic to the electronic election manager and to the electronic election computer according to an embodiment of the telecommunications protocol according to the invention.
  • the electronic polling station can have a reading device for reading an electronically readable data carrier, preferably a non-rewritable data carrier, particularly preferably a chip card or a CD-ROM or also a DVD, which is used to authenticate or identify the voter by means of the non-rewritable one Disk serves.
  • a reading device for reading an electronically readable data carrier preferably a non-rewritable data carrier, particularly preferably a chip card or a CD-ROM or also a DVD, which is used to authenticate or identify the voter by means of the non-rewritable one Disk serves.
  • Authentication / identification of the voter can be carried out using an electronically readable medium.
  • This automation of the authentication means a clear time saving and less personnel, since not every voter has to be identified visually, but rather identifies himself with the help of his chip-dialing card, which can be created forgery-proof these days.
  • the electronic polling station can also have a reading device for carrying out a biometric identification, preferably a retina scanner or a fingerprint reader, particularly preferably a sensor field, which serves to identify the voter.
  • a biometric identification preferably a retina scanner or a fingerprint reader, particularly preferably a sensor field
  • the voter is identified using a biometric method, for example by scanning a palm.
  • biometric measurement methods allow unambiguous identification, so that this identification method, together with secure authentication, almost excludes manipulation of the polling poll on the voter.
  • the electronic polling station can also have an electronic voting panel (1), which preferably also has a reading unit for the electronically readable chip card and thus enables inexperienced voters - with appropriate operator guidance - to use the polling station without outside help , which also serves to ensure anonymity.
  • the software modules required to operate the electronic polling station can also be present on non-rewritable data carriers, preferably on CD-ROM or on DVD. This makes manipulation of the pollster - for example by Trojans - more difficult but increases the mobility of the pollster, which also makes the home PC electronic voting point comes into question.
  • a combination of the CD-ROM as a carrier of the operating software modules and as an identification badge for the voter is also possible.
  • All - in particular the above-described - embodiments of the telecommunication protocol according to the present invention, as well as the methods for operating the individual system components according to the present invention, that is to say in particular of the validator, pollster and psephor, are each of course suitable as a computer program product which contains a computer-readable medium with computer program.
  • Fig. 4 is an electronic voting booth
  • FIG. 1 shows schematically the flow of information in an electronic election in the form of a publicly controlled Internet voting booth election. The following transmission protocol could be used for this.
  • W p, ub public key of the voter
  • V ⁇ p ⁇ • v? V ⁇ pub private and public key of the validator
  • the electoral office server contains the file "Electoral district constituency XX" with the following fields:
  • FV AV WS 10
  • ZIP code ZIP code
  • a token list (TL) is kept for correspondence selection:
  • F_TL_WS election status of the wtoken; 0 - not used
  • the urn file WL has the following structure:
  • Wtoken Voting card identifier E pub (voting form (x)): Voter vote encrypted with the public key of the electoral board
  • F_P_Apub public key of the anonymous identity of the voter (A pub )
  • F_P_Vpriv the hash value of the vote signed by the validator, the ballot ID V priv (hash (E pub (ballot (x)), wtoken)
  • F_P_Apriv_w Control Dialing control ring A priv (w control) or A priv (hash (w control) signed with the private key of the anonymous identity
  • F_P_Wtoken wtoken (voting slip identification)
  • F P Status 0 - not used; (1 - issued)
  • the system run can be varied depending on whether the choice is made from a publicly controlled input station (voting booth, public terminal) or from a private input station (PC or similar). Depending on the reason for the election and the context of the election, the security requirements can be changed and the protocol can be varied.
  • the electronic election takes place in 11 phases:
  • the transferred data packet message 0 contains information for establishing an SSL connection between pollster and validator
  • the validator creates a random election control ring, namely w control.
  • the hash value of the election control string is calculated, ie hash (w control).
  • the public key of the electoral office V pub , the election control ring and the signed hash value are transmitted as message 1 from the validator to the pollster.
  • the data packet message 1 contains: (V priv (hash (w Control)); w Control; V pub )
  • Phase 2 Transfer of a data packet from Pollster to Validator:
  • the pollster checks the identity of the validator.
  • the pollster uses the hash function to check the correctness of the transmission.
  • the data packet message 2 thus contains: V pub (W priv (w Control); W pub )
  • Phase 3 Transfer of a data packet from Validator to Pollster:
  • the validator checks the identity and voting rights of the voter.
  • the hash value of the voting documents (ballot), public key of the psephor (Ppub) and public key of the election committee (Epub) is formed: hash (ballot, Ppub, Epub)
  • the signed hash value and the election documents are encrypted with the voter's public key and sent as a message from the validator to the pollster.
  • the data packet message 3 thus contains: W pub (Vpriv (hash (ballot, P pub , E pub )); ballot; P pub ; E pub )
  • Phase 4 Transfer of a data packet from Pollster to Psephor:
  • the pollster decrypts the message and checks the correctness.
  • the pollster generates a random key pair as an anonymous identity (A priv , A pub )
  • the signed public key and the election control ring and the public key of the anonymous identity are encrypted with the public key of the psephor and sent as a message from the pollster to the psephor.
  • the data packet message 4 thus contains: P pub (A priv (w Control, A pub ); w Control, A pub )
  • Phase 5 Transfer of a data packet from Pspehor to Pollster:
  • the psephor decrypts message 4 and checks it for correctness. 2.
  • the psephor assigns a unique k-digit election form (wtoken) for A pub .
  • the following field values are set:
  • the data packet message 5 thus contains: A pub (P priv (wtoken); wtoken;)
  • Phase 6 Transfer of a data packet from Pollster to Validator:
  • the pollster decrypts message 5 and checks the correctness of the transmission.
  • ballot (x) is the completed ballot.
  • the completed voting form (x) is encrypted with the public key of the election board E pub : E pub (voting form (x))
  • the pollster hashes the encrypted dial together with the wtoken: hash (E pub (ballot (x), wtoken)
  • the signed blinded and hashed value of the encrypted vote and the ballot number and the blinded value itself will be with the public Encryption key encrypted and sent as a message from the pollster to the validator.
  • the data packet message 6 thus contains:
  • V pub W priv (blind (m, hash (E pub (ballot (x)), wtoken))); blind (m, hash (
  • Phase 7 Transfer of a data packet from Validator to Pollster:
  • the validator decrypts message 6 and checks the correctness.
  • the data packet message 7 thus contains:
  • W pub V priv (blind (m, hash (E pub (ballot (x)), wtoken)), WL); blind (m, hash (E pub (ballot (x)), wtoken)); WL )
  • Phase 8 Transfer of a data packet from Pollster to Psephor:
  • the pollster decrypts message 7 and checks the digital signature and correctness.
  • the pollster signs the encrypted voting decision, ballot number and polling station number. Those signed by the electoral office and by the anonymous identity Values are encrypted with the Psephor's public key and sent to the Psephor.
  • the data packet message 8 thus contains: P pub (V priv (hash (E pub (ballot (x)); wtoken), WL); A priv (E pu (ballot (x), wtoken, WL); wtoken)
  • Phase 9 Transmission of a data packet from Psephor to Pollster:
  • the psephor places the e pub (ballot (x) and the ballot number in the urn WL
  • F_P_A priv A priv (E pub (voting slip (x), wtoken, WL)
  • the psephor generates a unique election control number i
  • This signed election confirmation is sent to the pollster by the psephor with the public key of the anonymous identity.
  • the data packet message 9 thus contains: A pub (P priv (election confirmation); election confirmation) Phase 10: Transfer of a data packet from Pollster to Validator:
  • the pollster decrypts and checks the correctness of the message 9.
  • the election control number i is issued to the voter.
  • the pollster forwards this message, signed and encrypted, to the validator
  • the data packet message 10 thus contains: V pub (W priv (P priv (election confirmation); W pub ); election confirmation; W pub )
  • Phase 11 Transfer of a data packet from Validator to Pollster
  • the validator decrypts and checks the correctness of the message 10.
  • the validator generates an election control number i
  • the validator sends the election confirmation with the election control number i
  • the data packet message 11 thus contains: W pub (V priv (P pr ; v (election confirmation), i); election confirmation; i)
  • the pollster checks the message
  • the election confirmation and the election control number i are communicated and / or printed out on the input monitor.
  • FIG. 2 schematically shows the information flow of the electronic election in the form of an Internet correspondent election. With this form of election, the public voting booths are omitted. The choice can be made on any PC connected to the Internet.
  • the psephor Before the election, the psephor generates a list of k-digit voting tokens (voting slip IDs) and sends them encrypted to the validator. (It can also be brought to the validator - saved on a medium.) Where TL represents the token list (each election token is also encrypted).
  • the data packet contains the following information: V pub (P priv (hash (TL)), TL)
  • the validator then confirms receipt of the list with the data packet: P Pub (V priv (hash (TL)), TL)
  • the data packet message 0 contains information on establishing an SSL connection between pollster and validator.
  • Phase 1 Transfer of a data packet from Validator to Pollster:
  • the validator creates a random election control ring (w control)
  • the hash value of the election control string is calculated: hash (w Control)
  • the data packet message 1 thus contains: (V priv (hash (w Control)); w control; V pub )
  • Phase 2 Transfer of a data packet from Pollster to Validator:
  • the pollster checks the identity of the validator.
  • the pollster uses the hash function to check the correctness of the transmission
  • the pollster sends this message to the validator.
  • the data packet message 2 thus contains: V pub (W pr ; v (w control); W pub )
  • Phase 3 Transfer of a data packet from Validator to Pollster:
  • the validator checks the identity and voting rights of the voter
  • the hash value of the election documents (voting form (voting form), public key of the psephor (P pub ) and public key of the election committee (E pub ) is formed: hash (voting form, P pub , E pub )
  • This hash value is signed by the electoral office with N priv ; V priv (hash (ballot, wtoken, P pub , E pub ))
  • the signed hash value and election documents (ballot, wtpken, P pub , E pub ) are encrypted with the voter's public key and sent as a message from the validator to the pollster.
  • the data packet message 3 thus contains: W pub (V priv (hash (ballot, wtoken, P pub , E pUb )); ballot; wtoken, P pub ; E pub )
  • Phase 4 Transfer of a data packet from Pollster to Validator:
  • the pollster decrypts the message and checks the correctness of the transmission.
  • ballot (x) is the completed ballot.
  • the completed voting form (x) is encrypted with the public key of the election board E pub : Epub (voting form (x))
  • the signed blinded and hashed value of the encrypted vote and the ballot number and the blinded value itself are encrypted with the public key of the electoral office and sent as a message from the pollster to the validator.
  • the data packet message 4 thus contains: V pub (W priv (blind (n, hash (E pub (voting slip (x)), wtoken))); blind (n, hash (Epub (voting slip (x)), wtoken)) )
  • Phase 5 Transfer of a data packet from Validator to Pollster:
  • the validator decrypts message 4 and checks the correctness.
  • the polling station numbers are encrypted and sent back to the pollster with the voter's public key.
  • the data packet message 5 thus contains: W pub (V priv (blind (m, hash (E pub (voting slip (x)), wtoken)), WL); blind (m, hash (E pub (voting slip (x)), wtoken); WL))
  • Phase 6 Transfer of a data packet from Pollster to Psephor:
  • the pollster decrypts the message and checks the digital signature and correctness of the message.
  • the pollster signs the encrypted voting decision, ballot number, constituency / polling station number.
  • V priv hash (E pu (ballot (x), wtoken), WL) and A priv (Epub (ballot (x), wtoken, WL) signed by the electoral office and by the anonymous identity are with the public key encrypted by the Psephor and sent to the Psephor This message is sent as an email with an anonymized, possibly fictitious SenderIP, which the server can control via a firewall.
  • the data packet message 6 thus contains: P pub (V pr ; v (hash (E pub (ballot (x)), wtoken), WL); A priv (E pub (ballot (x)); wtoken, WL); A pub )
  • Phase 7 Transfer of a data packet from Psephor to Validator
  • the psephor decrypts the message.
  • V pub The signature of the electoral office is checked with V pub
  • a pub the signature of the anonymous identity is checked with A pub .
  • the psephor places the e pub (ballot (x)) and the ballot number in the urn WL.
  • F_P_A priv A priv (E pub (voting slip (x), wtoken, WL)
  • the dialing status code F_P_WS is set to 9. (Ballot in ballot box)
  • This message is signed by the psephor and sent to the validator with the validator's public key.
  • the data packet message 7 thus contains: V pub (P priv (wtoken), election confirmation); wtoken; Choice confirmation)
  • Phase 8 Transfer of a data packet from Validator to Pollster
  • the validator decrypts and checks the correctness of the message 7.
  • the validator forms an election control number i and forwards the election confirmation and the election control number to the pollster: • •
  • the data packet message 8 thus contains: W pub (V priv (confirmation of choice, i); P priv (confirmation of choice, i);)
  • Phase 9 Transmission of a data packet from Psephor to the validator
  • V pub P priv (Urne_XX), Urne_XX)
  • the votes are decrypted and counted by the electoral board using E priv .
  • FIG. 3 shows an electronic voice input panel 1.
  • This is a panel which is preferably set up in the public voting booth and which enables the user to be clearly identified by means of biometric measurement.
  • sensor fields 2 are attached to the panel.
  • Fig. 4 shows an electronic voting booth 3 with the electronic voice input panel 1. This electronic voting booth 3 is connected directly to the election network and thus enables the direct and simple handling of the election.

Abstract

The invention relates to a telecommunications protocol for anonymous, validated electronic polling. According to the invention, a polling point requests an electronic polling card from an electronic polling validator, the electronic polling validator verifies the authorisation of a voter using the electronic polling point to participate in the electronic poll and if said authorisation is verified, sends an electronic polling card to the polling point. The latter then supplies the electronic polling card received from the electronic polling validator with the vote cast by the voter and the electronic polling point forwards the electronic polling card with the vote that has been cast to an electronic polling computer for collection and/or evaluation. The data that has been unequivocally assigned to the voter and the electronic vote that has been cast by the voter are either present throughout all the processing or transmission phases in an encrypted or separate form, or in an encrypted and separate form.

Description

Titel: Telekommunikationsprotokoll, -System und -Vorrichtungen zur anonymen und authentischen Abwicklung einer elektronischen WahlTitle: Telecommunications protocol, system and devices for the anonymous and authentic handling of an electronic election
Die vorliegende Erfindung betrifft ein Telekommunikationsprotokoll, Telekommunikationssystem und Telekommunikationsvorrichtungen zur anonymen und authentischen Abwicklung einer elektronischen Wahl.The present invention relates to a telecommunications protocol, telecommunications system and telecommunications devices for the anonymous and authentic handling of an electronic choice.
Die hier vorgestellte Erfindung dient der Wahl auf elektronischem Wege über Datenverkehrsnetze, wobei Stimmabgabe, Stimmauszählung und die Authentifizierung der zur Wahl zugelassenen Personen durch elektronische Rechner vorgenommen werden.The invention presented here is used for dialing electronically via data traffic networks, with voting, vote counting and authentication of the persons authorized to vote being carried out by electronic computers.
Eine „klassische" Wahl, also die Wahl ohne intensive elektronische Unterstützung, ver¬A "classic" choice, that is, the choice without intensive electronic support
läuft, grob gegliedert in 3 Schritten.runs, roughly structured in 3 steps.
1. Die Identifikation und Authentifizierung des Wählers. Der Wähler betritt mit seinem Wahlschein das Wahllokal und identifiziert sich dort, etwa durch Ausweisen mit seinem Personalausweis. Seine Wahlberechtigung weist er durch ein ihm über- sandtes Dokument (Authentifizierungsdokument) nach. Der Wahlleiter prüft die Dokumente, überreicht den Wahlschein und kennzeichnet den Wähler in einer Liste. Weiterhin behält er die dem jeweiligen Wähler zugesandten Wahlunterlagen (Authentifizierungsdokumente), so dass die Wahl nur einmal durchgeführt werden kann.1. The identification and authentication of the voter. The voter enters the polling station with his voting card and identifies himself there, for example by showing his identity card. He proves his eligibility for voting by means of a document (authentication document) sent to him. The election supervisor checks the documents, hands over the ballot and marks the voter in a list. He also keeps the election documents (authentication documents) sent to the respective voter, so that the election can only be carried out once.
2. Die Stimmabgabe. Der so identifizierte und authentifizierte Wähler wird nun zur Wahl zugelassen. Der Wähler führt in einem abgeschirmten Raum seine Wahl durch, so daß nur er alleine seine Wahl kennt und übergibt danach seinen Wahlzettel der Wahlurne.2. Voting. The voter identified and authenticated in this way is now allowed to vote. The voter carries out his election in a shielded room so that he alone knows his choice and then hands over his ballot to the ballot box.
3. Die Stimmauszählung. Die Wahlurne wird unter Aufsicht geöffnet und die Stimmen werden ausgezählt. Es werden die ausgezählten Stimmen aller Wahlurnen zusammengezählt und die Wahl wird anhand dieses Ergebnisses ausgewertet.3. The vote count. The ballot box is opened under supervision and the votes are counted. The counted votes of all ballot boxes are added up and the election is evaluated on the basis of this result.
Durch dieses Vorgehen wird die Zuordnung einer abgegebenen Wahlstimme zu einem bestimmten Wähler, nämlich dem, der diese Wahlstimme auch abgegeben hat, nahezu ausgeschlossen und die Manipulation der Wahl selbst, als auch die Manipulation des Wahlergebnisses durch mehrmalige Stimmabgabe im Rahmen demokratischer Verfahrensweisen ausgeschlossen. Dieses aufwendige, aber bei jedem Wähler sich wiederholende Verfahren, legt den Einsatz von elektronischen Datenverarbeitungsanlagen nahe. Bekannt sind hier, bei Wahlen mit streng offiziellen Charakter, die üblichen Hilfsmittel, etwa Rechner, Scanner und graphische Aufbereitungssysteme, die allerdings nur bei dem letzten der drei Schritte, der endgültigen Stimmauszählung verwendet werden. Bei Wahlen mit weniger offiziellem Charakter, etwa Umfragen und Abstimmungen, sind schon elektronische Verfahren im Einsatz. Die periodisch neu aufgestellte Rangliste populärer Musikstücke durch Wahl des Titels und des Interpreten ist heutzutage im Internet möglich. Hierbei wird allerdings der Datensicherheit zuliebe auf die Authentifizierung des Wählers verzichtet, so dass eine mehrfache Stimmabgabe möglich ist. Auch bei den im Internet durchgeführten Umfragen und Wahlen zu bestimmten Produkten, bei welchen die Angabe von Name und Adresse zum möglichen Gewinn von Preisen führt, ist die strikte Trennung von Wähler und die von ihm durchgeführte Wahl nicht vollzogen, was anhand der hierauf folgenden Flut neuer und nur das gewählte Produkt betreffende Werbung leicht erkannt werden kann.This procedure almost eliminates the assignment of a cast vote to a specific voter, namely the one who cast the vote, and the manipulation of the election itself as well as the manipulation of the election result by repeated voting in the framework of democratic procedures is excluded. This complex procedure, which is repeated for every voter, suggests the use of electronic data processing systems. In elections with a strictly official character, the usual tools such as computers, scanners and graphic processing systems are known, but are only used in the last of the three steps, the final vote count. Electronic procedures are already in use for elections with less official character, such as polls and votes. The periodically renewed ranking of popular pieces of music by choosing the title and the artist is now possible on the Internet. For the sake of data security, however, authentication of the voter is dispensed with, so that multiple votes are possible. In the surveys and elections for certain products carried out on the Internet, in which the indication of name and address leads to the possible winning of prizes, the strict separation of voters and the election they carried out has not been completed, which is new due to the subsequent flood and only advertising relating to the selected product can be easily recognized.
Grundsätzlich wäre es möglich eine Wahl nach dem Stand der Technik, so wie sie - wie oben beschrieben - auch im Wahllokal abläuft im Rahmen eines durch eine Datenverkehrsnetz verbundenen Systems von Rechner abzuwickeln. Dies würde zu einem Verfahren führen, bei demIn principle, it would be possible to carry out a state-of-the-art election such as that - as described above - also takes place in the polling station as part of a computer system connected by a data traffic network. This would lead to a procedure in which
von einer elektronischen Wahlstelle ein elektronischer Wahlschein von einem elektronischen Wahlleiter angefordert wird,an electronic polling station requests an electronic polling station from an electronic polling station,
der elektronische Wahlleiter die Berechtigung eines die elektronische Wahlstelle verwendenden Wählers zur Teilnahme an der elektronischen Wahl prüft und im Falle der Feststellung der Berechtigung des die elektronische Wahlstelle verwendenden Wählers zur Teilnahme an der elektronischen Wahl einen elektronischen Wahlschein an die Wahlstelle sendet,the electronic returning officer checks the eligibility of a voter using the electronic voting station to participate in the electronic election and, if the eligibility of the voter using the electronic voting station to participate in the electronic election is determined, sends an electronic voting card to the voting station,
die elektronische Wahlstelle den vom elektronischen Wahlleiter empfangenen elektronischen Wahlschein mit einer von einem Wähler elektronisch getroffenen Wahl versieht, undthe electronic polling station provides the electronic voting form received by the electronic election supervisor with an election made electronically by a voter, and
die elektronische Wahlstelle den mit der Wahl versehenen elektronischen Wahlschein an einen elektronischen Wahlrechner zur Sammlung und/oder Auswertung sendet.the electronic polling station sends the electronic voting slip provided with the election to an electronic voting computer for collection and / or evaluation.
Ein solches aus der Vorgehensweise in einem Wahllokal her bekanntes Verfahren wäre jedoch aus verschiedenen Gründen zur Durchführung einer gewissen Anforderungen genügenden Wahl ungeeignet.However, such a method, which is known from the procedure in a polling station, would be unsuitable for various reasons for carrying out a selection that meets certain requirements.
Offizielle Wahlen müssen gewissen gesetzlichen Anforderungen genügen. In der Bundesrepublik Deutschland müssen sie etwa im Falle der Wahl zum Deutschen Bundestag allgemein, unmittelbar, frei, gleich und geheim sein (vgl. Art. 39 Abs. 1 GG der Bundesrepublik Deutschland).Official elections must meet certain legal requirements. In the Federal Republic of Germany, for example, in the event of an election to the German Bundestag, they must be general, direct, free, equal and secret (cf. Article 39.1 GG of the Federal Republic of Germany).
Einige dieser Anforderungen lassen sich nur rechtlich und nicht technisch herstellen, so etwa die Freiheit der Wahl.Some of these requirements can only be created legally and not technically, such as the freedom of choice.
Die Allgemeinheit und Unmittelbarkeit der Wahl kann jedoch durch ein elektronisches Wahlverfahren erheblich unterstützt werden, da der für die konventionelle Abhaltung von Wahlen erforderliche organisatorische Aufwand in Gestalt der Bildung vieler kleiner ört- lieh verteilter Wahlvorstände maßgeblich durch elektronische Systeme vor Ort wählernah reduziert werden kann.The generality and immediacy of the election can, however, be considerably supported by an electronic voting process, since the organizational effort required for the conventional holding of elections in the form of the formation of many small local distributed election boards can be significantly reduced by local electronic systems.
Auch muß eine - gewissen Mindestanforderungen genügende - Wahl gleich und geheim sein. Die Gleichheit bedingt, daß jeder Wahlberechtigte nur eine Stimme abgeben darf wohingegen der geheime Charakter darin seinen Ausdruck findet, daß nicht nachvollzogen werden kann, wer wie gewählt hat.Also, a choice that meets certain minimum requirements must be the same and secret. The equality implies that each person entitled to vote may only cast one vote, whereas the secret character is expressed in the fact that it cannot be traced who voted how.
Aus den letzten beiden Forderungen (Gleichheit und Geheimnis der Wahl) ergeben sich jedoch gegenläufige Anforderungen an das zu verwendende Wahlsystem. Zum einen bedingt die Forderung nach der Gleichheit der Wahl, daß eine Identifikation und Authentifizierung des Wählers erfolgt, zum anderen darf jedoch nach dem dieses festgestellt ist die von ihm getroffene Wahl nicht nachvollzogen werden können.However, the last two requirements (equality and secret of choice) result in opposing requirements for the voting system to be used. On the one hand, the demand for the equality of the election means that the voter is identified and authenticated, but on the other hand, once the voter has been determined, the choice he has made cannot be understood.
Diese gegenläufigen Forderungen werden im Wahllokal durch das eingangs beschriebene Procedere eingehalten.These opposing demands are met in the polling station by the procedure described at the beginning.
Während man nun im Wahllokal aufgrund dessen, daß der dort persönlich anwesende Wahlvorstand das Wahlgeschehen mit den beteiligten Personen stets im Blick hat diesen Anforderungen leicht zu genügen ist, so ist dies auf elektronischem Wege so nicht möglich. Hier unterliegen die zu übertragenden Datagramme während ihrer Übertragung in einem Datenverkehrsnetz potentiellen Angriffen von Außen. Dies wäre insbesondere im Falle öffentlicher Wahlen zu Staatsorganen angesichts der sich hieraus womöglich ergebenden massenweisen Manipulationsmöglichkeiten eine echte Gefahr für eine Demokratie, die sich solcher Verfahren bedienen würde.While it is now easy to meet these requirements in the polling station due to the fact that the electoral board present there always has an eye on the election process with the people involved, this is not possible electronically. Here, the datagrams to be transmitted are subject to potential external attacks during their transmission in a data traffic network. This would be a real threat to a democracy that would use such procedures, particularly in the case of public elections to state organs, given the potential for massive manipulation that could result.
Andererseits besteht jedoch auch - gerade aus dem Wunsch nach mehr direkter Demokratie heraus - ein Interesse Wahlen mittels elektronischer Systeme einfacher durchführen zu können und damit mehr Entscheidungen allgemein und unmittelbar treffen zu können.On the other hand, there is also - especially because of the desire for more direct democracy - an interest in being able to carry out elections more easily using electronic systems and thus being able to make more decisions in general and directly.
In diesem Zusammenhang sei angemerkt, daß der Begriff Wahlen im Rahmen dieser Schrift allgemein im Sinne jeglicher Abstimmung, somit auch etwa im Sinne von-Bürgerentschei- den oder Volksbegehren oder Ähnlichem gemeint ist. Die Aufgabe der vorliegenden Erfindung ist es daher ein elektronisches Wahlsystem anzugeben, welches sowohl die Anonymität (also das Geheimnis der Wahl) als auch die Authentizität (mithin auch die Gleichheit der Wahl) gleichermaßen technisch gewährleistet.In this context, it should be noted that the term “elections” in the context of this document is generally understood in the sense of any vote, and therefore also in the sense of citizen decisions or referendums or the like. The object of the present invention is therefore to provide an electronic voting system which technically guarantees both anonymity (that is, the secret of the choice) and authenticity (and therefore also the equality of the choice).
Diese Aufgabe wird durch ein elektronisches Telekommunikationsprotokoll zur anonymen und authentischen Abwicklung einer elektronischen Wahl gelöst, wobei von einer elektronischen Wahlstelle ein elektronischer Wahlschein von einem elektronischen Wahlleiter angefordert wird, der elektronische Wahlleiter die Berechtigung eines die elektronische Wahlstelle verwendenden Wählers zur Teilnahme an der elektronischen Wahl prüft und im Falle der Feststellung der Berechtigung des die elektronische Wahlstelle verwendenden Wählers zur Teilnahme an der elektronischen Wahl einen elektronischen Wahlschein an die Wahlstelle sendet, die elektronische Wahlstelle den vom elektronischen Wahlleiter empfangenen elektronischen Wahlschein mit einer von einem Wähler elektronisch getroffenen Wahl versieht, und die elektronische Wahlstelle den mit der Wahl versehenen elektronischen Wahlschein an einen elektronischen Wahlrechner zur Sammlung und/oder Auswertung sendet und welches dadurch gekennzeichnet ist, daß die der Person des Wählers eindeutig zugeordneten Daten und die von dem Wähler getroffene elektronische Wahl in allen Phasen der Verarbeitung oder Übertragung entweder voneinander getrennt oder verschlüsselt oder voneinander getrennt und verschlüsselt vorliegen.This task is solved by an electronic telecommunication protocol for the anonymous and authentic handling of an electronic election, whereby an electronic polling station requests an electronic polling card from an electronic polling officer, the electronic polling officer checks the authorization of a voter using the electronic polling station to participate in the electronic poll and in the event of determining the eligibility of the voter using the electronic polling station to participate in the electronic election, sends an electronic ballot to the polling station, the electronic polling station provides the electronic polling card received by the electronic polling officer with an election made electronically by a voter, and the electronic one The electoral office sends the electronic voting slip provided with the election to an electronic election computer for collection and / or evaluation and which is characterized by it. D ate the data uniquely assigned to the person of the voter and the electronic choice made by the voter in all phases of processing or transmission either separated or encrypted or separated and encrypted.
Auch dient der Lösung dieser Aufgabe ein elektronischer Wahlleiter (Vahdator) , vorzugsweise ein Server-Rechner-System, welcher, vorzugsweise über ein Telekommunikationsnetzwerk, mit mindestens einer elektronischen Wahlstelle (Pollster), vorzugsweise einem Client-Rechner-System, verbunden ist, und der elektronische Wahlleiter programmtechnisch so eingerichtet ist, daß er die Berechtigung eines die elektronische Wahlstelle verwendenden Wählers zur Teilnahme an einer elektronischen Wahl prüft, wobei auch er dadurch gekennzeichnet ist, daß die der Person des Wählers eindeutig zugeordneten Daten und die von dem Wähler getroffene elektronische Wahl in allen Phasen der Verarbeitung auf dem elektronischen Wahlleiter oder Übertragung zum oder vom elektronischen Wahlleiter entweder voneinander getrennt oder verschlüsselt oder voneinander getrennt und verschlüsselt vorliegen. Auch ein elektronischer Wahlrechner (Psephor, Urne), vorzugsweise ein Server-Rechner- System, welcher, vorzugsweise über ein Telekommunikationsnetzwerk, mit mindestens einer elektronischen Wahlstelle (Pollster), vorzugsweise einem Client-Rechner-System, verbunden ist, wobei der elektronische Wahlrechner programmtechnisch so eingerichtet ist, daß er eine Sammlung und/oder Auswertung der, an ihn von der elektronischen Wahlstelle gesendeten elektronischen Wahlscheine vornimmt und der ebenfalls dadurch gekennzeichnet ist, daß die der Person des Wählers eindeutig zugeordneten Daten und eine vom Wähler getroffene elektronische Wahl in allen Phasen der Verarbeitung auf dem elektronischen Wahlrechner oder Übertragung zum oder vom elektronischen Wahlleiter entweder voneinander getrennt oder verschlüsselt oder voneinander getrennt und verschlüsselt vorliegen, dient der Lösung der vorstehenden Aufgabe.This task is also solved by an electronic election manager (Vahdator), preferably a server computer system, which, preferably via a telecommunication network, is connected to at least one electronic polling station (pollster), preferably a client computer system, and the electronic election manager is set up in terms of programming so that he checks the authorization of a voter using the electronic voting station to participate in an electronic election, whereby he is also characterized in that the data clearly assigned to the person of the voter and the electronic choice made by the voter in all phases of processing on the electronic returning officer or transmission to or from the electronic returning officer are either separated or encrypted or separated and encrypted. Also an electronic voting computer (psephor, urn), preferably a server computer system, which, preferably via a telecommunication network, is connected to at least one electronic polling station (pollster), preferably a client computer system, the electronic voting computer being program-related is set up in such a way that it collects and / or evaluates the electronic voting cards sent to it by the electronic voting point and is also characterized in that the data clearly assigned to the person of the voter and an electronic choice made by the voter in all phases Processing on the electronic election computer or transmission to or from the electronic election supervisor either separated or encrypted or separated and encrypted is used to achieve the above object.
Hiernach enthalten somit Datenpakete (auch Datagramme oder Telegramme genannt) entweder keine Angaben über die Wähleridentität oder sie enthalten Angeben hierzu (nämlich zum Zwecke der Identifizierung und Authentifizierung), dann aber liegen sie verschlüsselt vor, was im Ergebnis zu einer sogenannten informationeilen Gewaltenteilung führt und Anonymität und Authentizität der Wahl sichert.According to this, data packets (also called datagrams or telegrams) either contain no information about the voter identity or contain information about this (namely for the purpose of identification and authentication), but then they are encrypted, which results in a so-called information-based separation of powers and anonymity and ensures authenticity of choice.
Eine besonders bevorzugte Ausführungsform des Telekommunikationsprotokolls zur anonymen und authentischen Abwicklung einer elektronischen Wahl ist dadurch gekennzeichnet, daß die elektronische Wahlstelle den elektronischen Wahlschein mit der getroffenen Wahl und mit einer dem Wähler zugeordneten Kennung versehen, verschlüsselt an den elektronischen Wahlleiter zurücksendet, der elektronische Wahlleiter den an ihn zurückgesandten verschlüsselten elektronischen Wahlschein signiert und dann wieder von ihm signiert an die elektronische Wahlstelle sendet, die elektronische Wahlstelle den mit der Wahl versehenen und von dem elektronischen Wahlleiter signierten elektronischen Wahlschein wieder entschlüsselt, die dem Wähler zugeordnete Kennung entfernt und den elektronischen Wahlschein im Falle seiner Authentizität ohne die Kennung aber mit Signatur an den elektronischen Wahlrechner zur Sammlung und/oder Auswertung sendet. Bei der Durchführung der elektronischen Wahl werden vorzugsweise Codierungs- und Verschlüsselungsverfahren angewendet, welche die während der elektronischen Wahl erzeugten Daten, etwa Personaldaten und Wahldaten, so verschlüsseln, daß im Fall eines nicht autorisierten Zugriffes, diese Daten unlesbar und somit auch unbrauchbar sind. Weiterhin können nicht nur diese Codierungs- und Verschlüsselungsverfahren in dem Wahlverfahren verwendet werden, sondern es werden besonders bevorzugterweise auch sogenannte private Codierungs- und Verschlüsselungsverfahren verwendet, welche nur jeweils dem elektronischen Wahlleiter (Validator), dem elektronischen Wahlrechner (Psephor) und der elektronischen Wahlstelle (Pollster) bekannt sind. Diese privaten Codierungs- und Verschlüsselungsverfahren sind also nur dem jeweiligen Rechner, welcher sie anwendet bekannt, d.h. nur er allein kann ein Datenpaket mit diesen Verfahren ver- und danach auch wieder entschlüsseln. Auch Codierungs- und Verschlüsselungsverfahren, welche die Nutzung, also auch das Lesen, von Daten nur bestimmten Gruppen erlauben und andere Gruppen von dieser Nutzung ausschließen, können verwendet werden. Diese Maßnahme, nämlich die Verwendung unterschiedlicher Codierungs- und Verschlüsselungsverfahren, bildet die Grundlage für ein Übergabeverfahren von Datenpaketen, welche nun zwar von dem Empfänger sortiert, gezählt und verwaltet werden können, wobei aber die ursprüngliche Information der Datenpakete dem Empfänger nicht bekannt ist. Hierdurch ist es möglich, daß ein Datenpaket, mit für den derzeitigen Besitzer unbekannten Inhalt, von diesem Besitzer auf seinen Zugang hin signiert werden kann, etwa in Form einer geänderten Statuskennzahl. Dadurch können Verfahrensabläufe formal kontrolliert und nachvollzogen werden, ohne daß die Gefahr der Informationspreisgabe droht. Weiterhin kann auch die Verschlüsselung der Datenpakete unsymmetrisch ausgeführt sein. Hierbei ist der Sender des von ihm verschlüsselten Datenpaketes selbst nicht mehr in der Lage das Datenpaket zu entschlüsseln, dies kann nur ein bestimmter Empfänger. Diese Verschlüsselungsstruktur erhöht die Sicherheit des Datenpaketes hinsichtlich einer möglichen Veränderung während der Übertragung. Ein solchermaßen verschicktes Datenpaket kann etwa folgende Struktur aufweisen:A particularly preferred embodiment of the telecommunication protocol for the anonymous and authentic handling of an electronic election is characterized in that the electronic polling station sends the electronic ballot with the choice made and with an identifier assigned to the voter, sends it back to the electronic election officer in encrypted form, and the electronic election officer sends it to signs the encrypted electronic ballot paper sent back to him and then sends it, signed by him, to the electronic polling station, the electronic polling station decrypts the electronic voting slip provided with the election and signed by the electronic election supervisor, removes the identifier assigned to the voter and the electronic voting slip in the case of his Sends authenticity without the identifier but with a signature to the electronic election computer for collection and / or evaluation. When electronic dialing is carried out, coding and encryption methods are preferably used which encrypt the data generated during the electronic dialing, such as personal data and dialing data, in such a way that, in the event of unauthorized access, this data is illegible and therefore unusable. Furthermore, not only can these coding and encryption methods be used in the election process, but so-called private coding and encryption processes are also particularly preferably used, which only apply to the electronic election supervisor (validator), the electronic election computer (Psephor) and the electronic polling station ( Pollster) are known. These private coding and encryption methods are therefore only known to the computer which uses them, ie only he alone can encrypt and then decrypt a data packet using these methods. Coding and encryption methods which allow the use, ie also reading, of data only for certain groups and exclude other groups from this use can also be used. This measure, namely the use of different coding and encryption methods, forms the basis for a transfer method of data packets which can now be sorted, counted and managed by the recipient, but the original information of the data packets is not known to the recipient. This makes it possible for a data packet with content unknown to the current owner to be signed by this owner upon access, for example in the form of a changed status code. This means that procedures can be formally controlled and reproduced without the risk of disclosure of information. Furthermore, the encryption of the data packets can also be carried out asymmetrically. The sender of the data packet encrypted by him is no longer able to decrypt the data packet himself, only a certain recipient can do this. This encryption structure increases the security of the data packet with regard to a possible change during the transmission. A data packet sent in this way can have the following structure:
Apub(Bpriv(nachricht);nachricht) Wobei A hier den Empfänger darstellt und B der Sender sein soll. Dieses Datenpaket enthält zweimal die gleiche Nachricht. Einmal ist diese Nachricht mit einem privaten Code von dem Sender B verschlüsselt, das andere mal liegt sie unverschlüsselt vor. Das gesamte Datenpaket ist nochmals mit dem öffentlichen Schlüssel des Empfängers Apub codiert. Nur dieser kann das Datenpaket öffnen und dann die unverschlüsselte Nachricht lesen. Der Empfänger A kann nicht die mit dem privaten Code des Senders verschlüsselte Nachricht entschlüsseln. Diese dient nur einer möglichen Kontrolle durch den Sender, ob das Datenpaket während der Übertragung verändert wurde. Ist dies der Fall, sind also die beiden anfangs identischen Nachrichten nicht mehr identisch, wurde an der Nachricht unautorisiert manipuliert. Ein möglicher Manipulator müßte um ein solch strukturiertes Datenpaket unbemerkt verändern zu können an zwei, an getrennten Orten, vorliegende Schlüssel gelangen.A pub (B priv (message); message) Where A is the receiver and B is the transmitter. This data packet contains the same message twice. On the one hand this message is encrypted with a private code from the sender B, on the other hand it is unencrypted. The entire data packet is encoded again with the public key of the recipient A pub . Only this person can open the data packet and then read the unencrypted message. Receiver A cannot decrypt the message encrypted with the sender's private code. This only serves as a possible check by the sender as to whether the data packet was changed during the transmission. If this is the case, ie if the two initially identical messages are no longer identical, the message was manipulated without authorization. A possible manipulator would have to arrive at two keys present at separate locations in order to be able to change such a structured data packet without being noticed.
Die eigentliche elektronische Wahl nach dem hier vorliegenden Telekommunikationsprotokoll verläuft vorzugsweise dabei in folgenden 11 Schritten: Alle Datenpakete, die im Rahmen der elektronischen Wahl nach dem hier vorliegenden Telekommunikationsprotokoll transferiert werden, sind zumindest mit einem Verschlüsselungsverfahren codiert. Im ersten Schritt wird der Wahlvorgang eröffnet, hierbei wird eine Wahlanmeldung w des Wählers, bei dem elektronischen Wahlleiter, dem Validator, vorgelegt und auf eine Wahlberechtigung des jeweiligen Wählers hin überprüft. Hierzu wird von der elektronischen Wahlstelle, dem sogenannten Pollster, eine Verbindung zum Validator über das Netzwerk hergestellt. Ein Datenpaket, welches die Wahlanmeldung w enthält wird nun vom Pollster zum Validator übermittelt. Der Validator überprüft hierauf die vom Pollster übermittelte, nämlich die in dem Datenpaket enthaltene digitale Wahlanmeldung w, indem er diese mit den, vorzugsweise in einem TrustCenter hinterlegten, digitalen Daten vergleicht und dann eine Wahlberechtigung für diesen Wähler entweder bestätigt oder den Wahlvorgang bei etwaigen Unstimmigkeiten sofort abbricht. Liegt nun die Wahlberechtigung vor, überprüft der Validator, ob eine Wahlfreigabe erteilt werden kann. Hierzu kontrolliert er das Wählerverzeichnis auf einen möglichen Eintrag. Liegt dort schon ein Stimmzettel des Wählers mit' der vorliegenden Wahlberechtigung vor, so wird der Wahlvorgang an dieser Stelle ebenfalls abgebrochen. Dadurch wird die mehrfache Stimmabgabe unterbunden. Ist noch kein Stimmzettel des Wählers auf diese Wahlberechtigung hin abgegeben worden, so ist die Wahlfreigabe noch zu erteilen. Zur endgültigen Wahlfreigabe muß nun noch die ordnungsgemäße Identifikation des Wählers erfolgen. Die Identifikation des Wählers erfolgt ebenfalls online. Hierzu wird wiederum ein Datenpaket vom Pollster an den Validator geschickt. Dieser vergleicht dann diese in dem Datenpaket übermittelten Daten mit den vorliegenden im Wählerverzeichnis eingetragenen und für diese Wahl gültigen Daten. Liegt nun dort eine Eintragung mit den entsprechenden Daten vor, so hat sich der Wähler ordnungsgemäß identifiziert. Dem ordnungsgemäß identifizierten Wähler steht nun die Möglichkeit der Wahl zu. Der Validator erteilt nun dem Pollster die Wahlfreigabe für diesen ordnungsgemäß identifizierten Wähler. Hierzu wird die Wahlfreigabe in Form eines Datenpaketes von dem Validator zum Pollster transferiert. Ohne die erteilte Wahlfreigabe ist keine weitere Datenübermittlung des Pollsters zu dem Validator zur Weiterführung dieses bereits eingeleiteten Wahlvorgangs mehr möglich.The actual electronic dialing according to the telecommunications protocol available here preferably takes place in the following 11 steps: All data packets which are transferred in the context of the electronic dialing according to the telecommunications protocol available here are encoded using at least one encryption method. In the first step, the election process is opened, in which an election registration w of the voter is submitted to the electronic election supervisor, the validator, and checked for the voting rights of the respective voter. For this purpose, the electronic polling station, the so-called pollster, connects to the validator via the network. A data packet which contains the election registration w is now transmitted from the pollster to the validator. The validator then checks the digital election registration w transmitted by the pollster, namely the digital election registration w contained in the data package, by comparing it with the digital data, preferably stored in a TrustCenter, and then either confirming voting authorization for this voter or immediately confirming the voting process in the event of any discrepancies aborts. If the right to vote is now available, the validator checks whether voting approval can be granted. To do this, he checks the electoral roll for a possible entry. Is there already a ballot of the voter with 'the present right to vote before, then the election process at this point also canceled. This prevents multiple votes. If the voter has not yet given a voting slip for this right to vote, the voting must still be granted. For the final approval of the election, the voters must now be properly identified. The voter is also identified online. For this purpose, a data packet is in turn sent from the pollster to the validator. The latter then compares this data transmitted in the data packet with the data present in the electoral register and valid for this election. If there is now an entry with the corresponding data, the voter has properly identified himself. The properly identified voter is now entitled to vote. The validator now gives the pollster the right to vote for this properly identified voter. For this purpose, the selection release is transferred from the validator to the pollster in the form of a data packet. Without the granted voting approval, no further data transmission from the pollster to the validator for the continuation of this already initiated voting process is possible.
Nach der erteilten Wahlfreigabe wird ein elektronischer Wahlschein, vorzugsweise ein Datagramm, etwa besonders bevorzugterweise auch in der Form einer Webseite oder auch einer e-mail, an den Pollster und damit an den zur Wahl berechtigten Wähler übermittelt. Nun wird die eigentliche Wahl durchgeführt. Hierzu muß der vom Validator erteilte und zum Pollster übermittelte elektronische Wahlschein ausgefüllt werden, vorzugsweise wird hierzu eine elektronische Zeigevorrichtung, etwa eine Maus oder ein elektronischer Stift verwendet. Dadurch wird der Bedienkomfort erhöht und die Anzahl ungültiger Stimmzettel wird reduziert. Der so erzeugte Wahlstring ws (die ausgefüllte Webseite, also der mit der Wahl versehene elektronische Wahlschein) wird vom Pollster verschlüsselt und zum Validator zurückgesandt. Der Validator ist nun nicht in der Lage diesen elektronischen Wahlschein zu entschlüsseln, da er nicht über die notwendigen Informationen, also den Entschlüsselungscode verfügt. Der Validator signiert den Wahlschein, d.h. er stellt die Wahlscheinabgabe bis zu diesem Schritt und die formale Richtigkeit des elektronischen Wahlscheins sicher. Der so signierte Wahlschein (Stimmzettel) wird danach an den Pollster zurückgeschickt. Der Pollster entschlüsselt den vom Validator signierten elektronischen Wahlschein, er entfernt die dem Wähler zugeordnete Kennung (etwa alle Personaldaten oder auch eine anonymisierte Kennung) und sendet ein Datenpaket, welches den Wahlstring aufweist, zu dem elektronischen Wahlrechner (der Wahlurne), also dem Pse- phor. Mit dem Eingang des elektronischen Stimmzettels und seiner Speicherung in der Wahlurne wird das Wählerverzeichnis für den entsprechenden Wähler gesperrt. Hierzu genügt ein einfacher elektronischer Vermerk, etwa eine Änderung der Statusangabe in dem jeweiligen Feld des Wählerverzeichnisses. Somit ist es ausgeschlossen, daß ein Wähler seine Stimme mehrfach abgeben kann, andererseits ist es aber auch beim Abbruch der Wahl durch einen technischen Defekt, etwa einem Stromausfall und der damit bedingten Unterbrechung des Datenflusses in dem Wahlnetzwerk möglich, daß dieser Wähler die Wahl erneut durchführen kann. Nach einer vollständigen ordnungsgemäß durchgeführten Wahl erhält der Wähler eine Meldung, die ihm dies ausdrücklich bestätigt. Der elektronische Wahlleiter sendet sodann an den Wähler der bereits gewählt hat keinen Wahlschein mehr; evtl. bereits mehrfach angeforderte Wahlscheine werden nur in Form des ersten bei dem Psephor eingehenden und ordnungsgemäß signierten Wahlscheines berücksichtigt; alle weiteren werden nicht berücksichtigt. An dem vereinbarten Wahlstichtag nach Schließung der Wahllokale, also auch der Trennung des Pollsters von dem Wahlnetzwerk, werden die verschlüsselten Voten von dem Psephor in elektronische Zwischenspeicher transferiert und danach vollständig dem Validator übergeben, der dann die Auszählung vornimmt und danach das Ergebnis berechnet.After the voting approval has been given, an electronic ballot, preferably a datagram, for example particularly preferably also in the form of a website or an e-mail, is transmitted to the pollster and thus to the voter entitled to vote. Now the actual choice is made. For this purpose, the electronic voting form issued by the validator and transmitted to the pollster must be filled in, preferably an electronic pointing device, such as a mouse or an electronic pen, is used for this purpose. This increases the ease of use and the number of invalid ballots is reduced. The poll string ws generated in this way (the completed website, i.e. the electronic ballot with the vote) is encrypted by the pollster and sent back to the validator. The validator is now not able to decrypt this electronic voting form because it does not have the necessary information, i.e. the decryption code. The validator signs the ballot, ie it ensures the submission of the ballot up to this step and the formal correctness of the electronic ballot. The voting slip signed in this way is then sent back to the pollster. The pollster decrypts the electronic signed by the validator Voting slip, he removes the identifier assigned to the voter (for example, all personal data or an anonymized identifier) and sends a data packet, which has the election string, to the electronic voting computer (the ballot box), ie the pesphor. With the receipt of the electronic ballot paper and its storage in the ballot box, the electoral roll will be blocked for the corresponding voter. A simple electronic note is sufficient for this, such as a change in the status information in the respective field of the electoral roll. It is therefore impossible for a voter to cast his vote more than once, but on the other hand, if the election is terminated due to a technical defect, such as a power failure and the resulting interruption of data flow in the electoral network, it is possible for these voters to carry out the election again can. After a complete, properly conducted election, the voter receives a message that expressly confirms this. The electronic election supervisor then no longer sends a polling card to the voter who has already voted; Possibly multiple-time polling cards are only taken into account in the form of the first and properly signed ballot papers received by the Psephor; all others are not taken into account. On the agreed election date after the polling stations have closed, i.e. also the pollster has been separated from the election network, the encrypted votes are transferred from the psephor to electronic buffers and then completely handed over to the validator, who then counts and then calculates the result.
Die Anwendung digitaler Signatüren bietet hierbei die Möglichkeit den Verfahrensablauf sicher und komfortabel zu gestalten. So sind mit digitalen Signaturen versehenen Datenpakete eindeutig dem Validator, Psephor oder Pollster zuzuordnen, je nachdem wer von den oben genannten Wahlnetzteilnehmern das jeweilige Datenpaket signiert hat. Die digitale Signatur übernimmt hierbei auch die Funktion einer eindeutig zu identifizierenden Unterschrift, so daß die signierten Datenpakete garantiert in einer bestimmten Weise überprüft und bearbeitet sind. So signiert der Validator den vom Wähler ausgefüllten und vom Pollster übermittelten Stimmzettel ohne von dessen Inhalt Kenntnis erlangen zu können. Die dann dem Datenpaket zugefügte Signatur des Validators garantiert dem Pollster somit, daß das zurück transferierte Datenpaket ordnungsgemäß weiter bearbeitet werden und damit an der Wahl teilnehmen kann. Der Wähler sieht in diesem Schritt, daß der Validator seine eigene Wahl angenommen, also signiert hat, er sieht weiterhin, daß es sich um seine eigene von ihm vorgenommene Wahl handelt, da er das signierte und ihm rückübersandte Datagramm im gegensatz zum signierenden Validator entschlüsseln und prüfen kann,, ob hieran unauthorisierte Veränderungen vorgenommen wurden.. Somit ist eine Übergabe eines durch den Validator und durch den jeweiligen Wähler geprüften und für korrekt befundenen Wahlscheins an den Psphor gesichert. Auch ist diese Übergabe anonym, da der Pollster die Kennung aus dem Datenpaket vorher entfernt ohne die Signatur zu beschädigen.The use of digital signatures offers the possibility of making the process sequence safe and comfortable. Data packets provided with digital signatures can be clearly assigned to the validator, psephor or pollster, depending on who signed the respective data packet from the above-mentioned network participants. The digital signature also takes on the function of a clearly identifiable signature, so that the signed data packets are guaranteed to be checked and processed in a certain way. The validator signs the ballot paper filled in by the voter and sent by the pollster without being able to find out its contents. The signature of the validator then added to the data packet thus guarantees the pollster that the data packet transferred back can be processed properly and can thus participate in the election. In this step, the voter sees that the validator has accepted his own choice, i.e. he has signed, he sees further that it is his own choice, since he decrypt the signed and returned datagram in contrast to the signing validator and can check whether unauthorized changes have been made to it. This ensures that a voting slip that has been checked by the validator and by the respective voter and found to be correct is sent to Psphor. This transfer is also anonymous, since the pollster removes the identifier from the data packet beforehand without damaging the signature.
So schützt das erfindungsgemäße Telekommunikationsprotokoll in dieser Ausführungsform besonders wirksam vor einer unerwünschten Wahlmanipulation.In this embodiment, the telecommunications protocol according to the invention thus protects particularly effectively against undesired manipulation of the dialing system.
Zum Betrieb der vorstehend erläuterten Ausführungsform des erfindungsgemäßen Telekommunikationsprotokolls dienen vorzugsweisePreferably serve to operate the above-described embodiment of the telecommunication protocol according to the invention
auch ein elektronischer Wahlleiter (Validator) der programmtechnisch so eingerichtet ist, daß er die Berechtigung eines eine elektronische Wahlstelle verwendenden Wählers zur Teilnahme an einer elektronischen Wahl prüft und im Falle der Feststellung der Berechtigung des die elektronische Wahlstelle verwendenden Wählers zur Teilnahme an der elektronischen Wahl einen elektronischen Wahlschein an die Wahlstelle sendet und der elektronische Wahlleiter einen an ihn von der elektronischen Wahlstelle zurückgesandten verschlüsselten elektronischen Wahlschein signiert und dann wieder so von ihm signiert an die elektronische Wahlstelle sendet, sowiealso an electronic election supervisor (validator) who is set up in terms of programming so that he checks the eligibility of a voter using an electronic polling station to participate in an electronic election and, if the entitlement of the voter using the electronic polling station is determined, to participate in the electronic election sends the electronic ballot to the polling station and the electronic election supervisor signs an encrypted electronic voting slip sent back to him from the electronic polling station and then sends it back to the electronic polling station, signed by him, and
auch ein elektronischer Wahlrechner (Psephor, Urne) der programmtechnisch so eingerichtet ist, daß auf er nur solche elektronischen Wahlscheine sammelt und/oder auswertet, die auch von einem elektronischen Wahlleiter signiert sind.also an electronic voting computer (psephor, urn) which is set up in terms of program technology so that it only collects and / or evaluates electronic voting cards which are also signed by an electronic election manager.
Eine weitere Ausführungsform des Telekommunikationsprotokolls zur anonymen und authentischen Abwicklung einer elektronischen Wahl ist dadurch gekennzeichnet, daß die dem Wähler zugeordnete Kennung eine den Wähler identifizierende Identifikation ist. Auch kann die dem Wähler zugeordnete Kennung diesem anonym zugeordnet sein und so keine Identifikation des Wählers darstellen. Vorzugsweise kann dies dadurch geschehen, daß schon in den ersten Schritten der elektronischen Wahl eine Eliminierung der wählerspezifischen Daten, etwa der Personaldaten stattffindet. Je früher eine solche direkte An- onymisierung des Wählers durchgeführt wird, um so sicherer ist der Wähler vor einer Identifikation seiner Person durch Unbefugte.A further embodiment of the telecommunications protocol for the anonymous and authentic handling of an electronic election is characterized in that the identifier assigned to the voter is an identification that identifies the voter. The identifier assigned to the voter can also be anonymously assigned to the voter and thus do not represent an identification of the voter. This can preferably be done in that the electoral-specific data, for example the personal data, is eliminated in the first steps of the electronic election. The earlier such direct anonymization of the voter is carried out, the safer the voter is from being identified by unauthorized persons.
Eine weitere Ausführungsform des Telekommunikationsprotokolls zur anonymen und authentischen Abwicklung einer elektronischen Wahl ist dadurch gekennzeichnet, daß die elektronische Wahlstelle den mit der Wahl versehenen und von dem elektronischen Wahlleiter signierten elektronischen Wahlschein wieder entschlüsselt, die dem Wähler zugeordnete Kennung entfernt und den elektronischen Wahlschein ohne die Kennung aber mit Signatur an den elektronischen Wahlrechner nur dann zur Sammlung und/oder Auswertung sendet, wenn die elektronische Wahlstelle die Authentizität des signierten elektronischen Wahlscheins derart feststellt, daß die dem Wähler zugeordnete Kennung nach Empfang vom elektronischen Wahlleiter der Kennung entspricht, wie sie von der elektronischen Wahlstelle an den elektronischen Wahlleiter gesendet wurde.A further embodiment of the telecommunication protocol for the anonymous and authentic handling of an electronic election is characterized in that the electronic voting station decrypts the electronic voting slip provided with the election and signed by the electronic election supervisor, removes the identifier assigned to the voter and the electronic voting slip without the identifier but only sends a signature to the electronic voting computer for collection and / or evaluation if the electronic voting center determines the authenticity of the signed electronic voting slip in such a way that the identifier assigned to the voter corresponds to the identifier after receipt from the electronic election officer as it does from the electronic one Polling station has been sent to the electronic returning officer.
Eine andere Ausführungsform des Telekommunikationsprotokolls zur anonymen und authentischen Abwicklung einer elektronischen Wahl ist dadurch gekennzeichnet, daß die elektronische Wahlstelle den mit der Wahl versehenen und von dem elektronischen Wahlleiter signierten elektronischen Wahlschein wieder entschlüsselt, die dem Wähler zugeordnete Kennung entfernt und den elektronischen Wahlschein ohne die Kennung aber mit Signatur an den elektronischen Wahlrechner nur dann zur Sammlung/ Auswertung sendet, wenn die elektronische Wahlstelle die Authentizität des signierten elektronischen Wahlscheins derart feststellt, daß die vom Wähler getroffene Wahl der Wahl entspricht, wie sie von der elektronischen Wahlstelle an den elektronischen Wahlleiter gesendet wurde.Another embodiment of the telecommunications protocol for the anonymous and authentic handling of an electronic election is characterized in that the electronic polling station decrypts the electronic voting slip provided with the election and signed by the electronic election supervisor, removes the identifier assigned to the voter and the electronic voting slip without the identifier but only sends a signature to the electronic voting computer for collection / evaluation if the electronic voting center determines the authenticity of the signed electronic voting slip in such a way that the choice made by the voter corresponds to the choice as it was sent from the electronic voting point to the electronic election officer ,
Die vorgenannten Ausführungsformen beziehen sich dabei auf eine besonders sichere Art der Übermittlung eines bereits signierten elektronischen Wahlscheines von der elektroni- sehe Wahlstelle zum elektronischen Wahlrechner, die die Art der Überprüfung des Inhaltes des elektronischen Wahlscheines durch die elektronische Wahlstelle betreffen.The aforementioned embodiments relate to a particularly secure way of transmitting an already signed electronic voting form from the electronic see electoral office for the electronic voting calculator, which relates to the type of verification of the content of the electronic voting form by the electronic electoral office.
Eine weitere Ausführungsform des erfindungsgemäßen Telekommunikationsprotokolls ist dadurch gekennzeichnet, daß auf dem elektronischen Wahlrechner elektronische Wahlscheine nur gesammelt nicht jedoch ausgewertet werden. Vorzugsweise werden dabei die vom elektronischen Wahlrechner gesammelten elektronischen Wahlscheine an den elektronischen Wahlleiter zur Auswertung gesendet.A further embodiment of the telecommunications protocol according to the invention is characterized in that electronic ballots are only collected on the electronic voting computer, but are not evaluated. The electronic voting cards collected by the electronic voting computer are preferably sent to the electronic election manager for evaluation.
Eine besonders bevorzugte Ausführungsform des Telekommunikationsprotokolls zur anonymen und authentischen Abwicklung einer elektronischen Wahl ist im weiteren dadurch gekennzeichnet, daß nur solche elektronischen Wahlscheine ausgewertet werden, die auch vom elektronischen Wahlleiter signiert sind. Diese Ausführungsform ist eine zusätzliche Sicherheitsmaßnahme, welche vorzugsweise am Ende der Wahl, etwa dem Psephor oder auch dem Validator einen weiteren Kontrollschritt ermöglicht.A particularly preferred embodiment of the telecommunication protocol for the anonymous and authentic handling of an electronic election is further characterized in that only those electronic voting cards are evaluated which are also signed by the electronic election supervisor. This embodiment is an additional security measure, which preferably enables a further control step at the end of the choice, for example the psephor or the validator.
Eine weitere Ausführungsform des Telekommunikationsprotokolls zur anonymen und authentischen Abwicklung einer elektronischen Wahl ist dadurch gekennzeichnet, daß die Auswertung der elektronischen Wahlscheine in Form einer Zählung, vorzugsweise nach Wahlkategorien, der jeweils getroffenen Wahl also wie bei einer politischen Wahl oder Stimmabgabe i.d.R. üblich erfolgt.A further embodiment of the telecommunications protocol for the anonymous and authentic handling of an electronic election is characterized in that the evaluation of the electronic voting cards in the form of a count, preferably according to election categories, the election made in each case, as in the case of a political election or voting, as a rule. usually done.
Zum Betrieb des erfindungsgemäßen Telekommunikationsprotokolls kann mindestens eines der folgenden Verschlüsselungsverfahren Verwendung finden:At least one of the following encryption methods can be used to operate the telecommunications protocol according to the invention:
ein Blinding- Verfahren, und/odera blinding process, and / or
ein RSA- Verschlüsselungsverfahren, und oderan RSA encryption method, and or
eine Hashfunktion, vorzugsweise eine Einweg-Hashfunktion.a hash function, preferably a one-way hash function.
Bei einem Blinding- Verfahren werden die Daten mit Hilfe einer nur dem Anwender bekannten Zahl so verschlüsselt, daß sie zur formellen Bearbeitung, etwa der Zählung, Archivierung und Kennzeichnung mit einer digitalen Signatur, zur Verfügung stehen, der eigent- liche Inhalt, etwa der Wahlstring aber nur dem Anwender bekannt ist. Hierbei ist besonders zu beachten, das eine Nachricht, welche geblindet und dann zur Signatur verschickt wurde nach ihrer Rückübertragung zusammen mit der Signatur von dem Ersteller der Blindung entblindet werden kann ohne die Signatur zu zerstören. Es können also Nachrichten oder Datenpakete für den jeweiligen Empfänger unlesbar, da sie geblindet wurden, nur zum Zwecke des Signaturerhaltes verschickt werden. Die so signierten Datenpakete können hiernach auch von ihrem ursprünglichen Ersteller entblindet und dann weiterbearbeitet werden. Die Signatur stellt nur sicher, daß die Datenpakete formal geprüft wurden.In a blinding process, the data is encrypted using a number known only to the user so that it is available for formal processing, such as counting, archiving and identification with a digital signature. content, such as the dial string but only known to the user. It is particularly important to note that a message that was blinded and then sent for signature can be unblinded together with the signature by the creator of the blind after it has been retransmitted without destroying the signature. Messages or data packets can therefore be sent illegible to the respective recipient, since they have been blinded, only for the purpose of maintaining the signature. The data packets signed in this way can then also be unblinded from their original creator and then further processed. The signature only ensures that the data packets have been formally checked.
In einer weiteren Ausführungsform werden die Daten über eine Hashfunktion gesichert. Die Sicherung der Daten über eine Hahfunktion oder sogar eine Einweghasfunktion ermöglicht es die Chronologie der Ereignisse des elektronischen Wahlverfahrens so zu verändern, daß sie nicht mehr rekonstruiert werden können und somit eine Rekonstruktion der Wahl auch während des laufenden Wahlvorganges von nicht authorisierten Stellen nicht möglich ist. Hierzu wird dem Datensatz ein für ihn signifikantes Datum zugeteilt, welches aber keinen Aufschluß über dem eigentlichen Datensatz zuläßt. Die Verwendung einer Hashfunktion anstelle der eigentlichen Nachricht kann zudem auch noch zu einer deutlichen Verringerung des Datenpaketgröße führen und damit die Übertragungszeit erheblich verringern.In a further embodiment, the data is saved using a hash function. Backing up the data using a manual function or even a one-way hash function enables the chronology of the events in the electronic voting process to be changed so that they can no longer be reconstructed and thus it is not possible for unauthorized parties to reconstruct the election even during the ongoing election process. For this purpose, a date that is significant for him is assigned to the data record, but this does not allow any information about the actual data record. The use of a hash function instead of the actual message can also lead to a significant reduction in the data packet size and thus significantly reduce the transmission time.
Die zum Betrieb des erfindungsgemäßen Telekommunikationsverfahrens verwendete elektronische Wahlstelle (Pollster), vorzugsweise ein Client-Rechner-System, ist, vorzugsweise über ein Telekommunikationsnetzwerk, mit einem elektronischen Wahlleiter (Validator), vorzugsweise einem ersten Server-Rechner-System und einem elektronischen Wahlrechner (Psephor, Urne), vorzugsweise einem zweiten Server-Rechner-System, verbunden und dadurch gekennzeichnet, daß sie programmtechnisch so eingerichtet ist, daß sie ihren Kommunikationsverkehr zum elektronischem Wahlleiter und zum elektronischen Wahlrechner nach einer Ausführungsform des erfindungsgemäßen Telekommunikationsprotokolls abwickelt. Die elektronische Wahlstelle (Pollster) kann dabei eine Lesevorrichtung zum Lesen eines elektronisch lesbaren Datenträgers, vorzugsweise eines nicht wiederbeschreibbaren Datenträgers, besonders bevorzugterweise einer Chipkarte oder einer CD-ROM oder auch einer DVD, aufweisen, die zur Authentifizierung oder Identifikation des Wählers mittels des nicht wiederbeschreibbaren Datenträgers dient.The electronic polling station (pollster) used to operate the telecommunications method according to the invention, preferably a client computer system, is, preferably via a telecommunications network, with an electronic dialing station (validator), preferably a first server computer system and an electronic voting computer (psephor) , Urn), preferably a second server computer system, connected and characterized in that it is set up in terms of programming so that it handles its communication traffic to the electronic election manager and to the electronic election computer according to an embodiment of the telecommunications protocol according to the invention. The electronic polling station (pollster) can have a reading device for reading an electronically readable data carrier, preferably a non-rewritable data carrier, particularly preferably a chip card or a CD-ROM or also a DVD, which is used to authenticate or identify the voter by means of the non-rewritable one Disk serves.
So kann die Authentifizierung/Identifikation des Wählers mit Hilfe einer elektronisch lesbaren Mediums durchgeführt werden. Diese Automatisierung der Authentifizierung bedeutet eine eindeutige Zeitersparnis und weniger Personal, da nicht jeder Wähler durch Augenschein identifiziert werden muß, sondern sich etwa mit Hilfe seiner Chipwahlkarte ausweist, welche heutzutage fälschungssicher erstellt werden können.Authentication / identification of the voter can be carried out using an electronically readable medium. This automation of the authentication means a clear time saving and less personnel, since not every voter has to be identified visually, but rather identifies himself with the help of his chip-dialing card, which can be created forgery-proof these days.
Auch kann die elektronische Wahlstelle (Pollster) eine Lesevorrichtung zur Durchführung einer biometrischen Identifikation, vorzugsweise einen Retina-Scanner oder ein Fingerabdrucklesegerät, besonders bevorzugterweise ein Sensorfeld, aufweisen, die zur Identifikation des Wählers dient. In dieser ganz besonderen Ausführungsform wird die Identifikation des Wählers mit Hilfe einer biometrischen Methode, etwa durch Scannen einer Handfläche, durchgeführt. Auch ist der Sicherheitsaspekt bestimmend, da biometrische Meßmethoden eine eindeutige Identifikation zulassen, so daß diese Identifikationsmethode zusammen mit einer sicheren Authentifikation eine Manipulation der Wahl am Pollster den Wähler betreffend nahezu ausschließen.The electronic polling station (pollster) can also have a reading device for carrying out a biometric identification, preferably a retina scanner or a fingerprint reader, particularly preferably a sensor field, which serves to identify the voter. In this very special embodiment, the voter is identified using a biometric method, for example by scanning a palm. The security aspect is also decisive, since biometric measurement methods allow unambiguous identification, so that this identification method, together with secure authentication, almost excludes manipulation of the polling poll on the voter.
Weiterhin kann die elektronische Wahlstelle (Pollster) auch ein elektronisches Stimmabgabe-Panel (1) aufweisen, welches vorzugsweise auch eine Leseeinheit für die elektronisch lesbare Chipkarte aufweist und es so auch unerfahrenen Wählern - bei entsprechender Bedienerführung - ermöglicht, die Wahlstelle ohne fremde Hilfe zu benutzen, was ebenfalls der Gewährleistung der Anonymität dient.Furthermore, the electronic polling station (pollster) can also have an electronic voting panel (1), which preferably also has a reading unit for the electronically readable chip card and thus enables inexperienced voters - with appropriate operator guidance - to use the polling station without outside help , which also serves to ensure anonymity.
Auch können die zum Betrieb der elektronischen Wahlstelle (des Pollsters) benötigten Software-Module auf nicht wiederbeschreibbarem Datenträger, vorzugsweise auf CD-ROM oder auf DVD vorliegen. Hierdurch wird eine Manipulation - etwa durch Trojaner - des Pollsters erschwert die Mobilität des Pollster aber erhöht, wodurch auch der Heim-PC als elektronische Wahlstelle in Frage kommt. Auch eine Kombination der CD-ROM als Träger der Betriebssoftware-Module und als Identifikationsausweis des Wählers kommt hierdurch in Frage.The software modules required to operate the electronic polling station (the pollster) can also be present on non-rewritable data carriers, preferably on CD-ROM or on DVD. This makes manipulation of the pollster - for example by Trojans - more difficult but increases the mobility of the pollster, which also makes the home PC electronic voting point comes into question. A combination of the CD-ROM as a carrier of the operating software modules and as an identification badge for the voter is also possible.
Alle - insbesondere die vorstehend beschriebenen - Ausführungsformen des Telekommunikationsprotokolls nach der vorliegenden Erfindung wie auch die Verfahren zum Betrieb der einzelnen Systemkomponenten nach der vorliegenden Erfindung, also insbesondere von Validator, Pollster und Psephor eignen sich jeweils selbstverständlich als Computerprogrammprodukt, welches ein computerlesbares Medium mit Computerprogramm-Code- Mitteln aufweist oder als ein Computerprogramm auf einem elektronischen Trägersignal und bei dem jeweils nach Laden des Computerprogramms der jeweilige Computer durch das Programm zum Betrieb der hier beschriebenen jeweiligen Ausführungsform des erfindungsgemäßen Telekommunikationsprotokolls oder des erfindungsgemäßen Verfahrens zum Betrieb der einzelnen Systemkomponenten veranlaßt wird.All - in particular the above-described - embodiments of the telecommunication protocol according to the present invention, as well as the methods for operating the individual system components according to the present invention, that is to say in particular of the validator, pollster and psephor, are each of course suitable as a computer program product which contains a computer-readable medium with computer program. Has code means or as a computer program on an electronic carrier signal and in which, after loading the computer program, the respective computer is prompted by the program to operate the respective embodiment of the telecommunication protocol according to the invention described here or the method according to the invention to operate the individual system components.
Im folgenden werden nicht einschränkend zu verstehenden Ausführungsbeispiele z.T. anhand der Zeichnung besprochen. In dieser zeigen:In the following, exemplary embodiments to be understood in a non-restrictive manner are partially described. discussed using the drawing. In this show:
Fig. 1 schematisch den Informationsfluß bei einer elektronischen Wahl,1 schematically shows the flow of information in an electronic election,
Fig. 2 schematisch den Informationsfluß bei einer elektronischen Wahl in Form einer In- ternetkorrespondenszwahl,2 schematically shows the flow of information in the case of an electronic election in the form of an Internet correspondent election,
Fig. 3 ein elektronisches Stimmeingabe-Panel,3 is an electronic voice input panel,
Fig. 4 eine elektronische Wahlkabine, undFig. 4 is an electronic voting booth, and
Fig. 5 eine Vorrichtung zur Identifikation und Authentisierung unter Verwendung digitalen Signaturen,5 shows a device for identification and authentication using digital signatures,
alles entsprechend der vorliegenden Erfindung. Fig. 1 zeigt schematisch den Informationsfluß bei einer elektronischen Wahl in Form einer öffentlich kontrollierten Internetwahlkabinenwahl. Hierzu könnte folgendes Übertragungsprotokoll genutzt werden.all in accordance with the present invention. Fig. 1 shows schematically the flow of information in an electronic election in the form of a publicly controlled Internet voting booth election. The following transmission protocol could be used for this.
Für die folgenden Figuren gelten beispielhaft diese Nomenklaturvereinfachungen für die Verschlüsselungsverfahren, die Signaturen und die Statuskennzeichen:These nomenclature simplifications for the encryption methods, signatures and status indicators apply to the following figures as examples:
W p, πv :privater Schlüssel des Wählers;W p, πv: private key of the voter;
W p, ub :öffentlicher Schlüssel des Wählers;W p, ub: public key of the voter;
V Ύ pπ •v? V τ pub :privater und öffentlicher Schlüssel des ValidatorsV Ύ pπ • v? V τ pub: private and public key of the validator
P pri •v' P-*- pub :privater und öffentlicher Schlüssel des Psephor; Urnenserver (*)P pri • v 'P - * - pub: private and public key of the Psephor; Urn server (*)
Figure imgf000019_0001
:privater und öffentlicher Schlüssel des Wahlvorstand, Wahl
Figure imgf000019_0001
: private and public key of the election board, election
-^ Apriv» -° A-pub :privater und öffentlicher Schlüssel der anonymen Identität des Wählers- ^ Apriv »- ° A-pub: private and public key of the anonymous identity of the voter
Zufallszahlen: n,m :Blindingsfaktoren idw :Wahlberechtigungsnummer eines Wählers wtoken :Wahlscheinnummer für einen ausgegebenen WahlscheinRandom numbers: n, m: Blinding factors idw: Voting authorization number of a voter wtoken: Voting card number for an issued voting form
ValidatorValidator
Der Wahlamtserver enthält als elektronisches Wählerverzeichnis die Datei „Wählerverzeichnis Wahlkreis XX" mit folgenden Feldern:The electoral office server contains the file "Electoral district constituency XX" with the following fields:
F_V_Wpub öffentlicher Schlüssel des WählersF_V_Wpub voter public key
F__V_Wl WahllokalnummerF__V_Wl polling station number
F_V_WS Wahlstatus beim ValidatorF_V_WS election status for the validator
F_V_Wpriv_ Wkontrolle signierterWahlkontrollstring Wpriv(wkontrolle)F_V_Wpriv_ W Control Signed Dial Control String Wpriv (W Control)
F_V_AV_WS_2 Anzahl der Wahlversuche bei F_V_WS=2F_V_AV_WS_2 Number of dial attempts with F_V_WS = 2
F V AV WS 3 Anzahl der Wahlversuche bei F V WS =3 F_V_AV _WS_6 Anzahl der Wahlversuche bei F_V_WS=6 F_V_AV_WS_7 Anzahl der Wahlversuche bei F_V_WS=7 F V AV WS 10 Anzahl der Wahlversuche bei F V WS= 10FV AV WS 3 Number of attempts at dialing FV WS = 3 F_V_AV _WS_6 Number of attempts to dial F_V_WS = 6 F_V_AV_WS_7 Number of attempts to dial F_V_WS = 7 FV AV WS 10 Number of attempts to dial FV WS = 10
Name : Nachname des WählersName: Last name of the voter
Vorname : VornameFirst name: first name
Straße : Straßenname + HausnummerStreet: street name + house number
PLZ : PostleitzahlZIP code: ZIP code
Ort : OrtLocation: location
Geb_datum : GeburtsdatumDate of birth: Date of birth
PAN : PersonalausweisnummerPAN: ID card number
Für die Korrespondenzwahl wird eine Tokenliste(TL) geführt :A token list (TL) is kept for correspondence selection:
F_TL_wtoken : wtokenF_TL_wtoken: wtoken
F_TL_WS :Wahlstatus des wtoken ; 0 - nicht benutztF_TL_WS: election status of the wtoken; 0 - not used
W p, ub :öffentlicher Schlüssel des Wählers, an dem wtolken vergeben wurde; (wpub ist nur während des Wahlvorganges temporär gespeichert, bei erfolgreicher Wahl wird der Wert von 10 = gewählt überschrieben.W p, ub: public key of the voter to whom wTolken was awarded; (wpub is only temporarily saved during the dialing process; if the dialing is successful, the value 10 = dialed is overwritten.
Die UrnenDatei WL hat folgende Struktur:The urn file WL has the following structure:
Wtoken :Wahlscheinkennung Epub(wahlschein(x)) :Mit dem öffentlichen Schlüssel des Wahlvorstandes verschlüsseltes WählervotumWtoken: Voting card identifier E pub (voting form (x)): Voter vote encrypted with the public key of the electoral board
Die Urnenkontrolldatei enthält folgende Felder:The urn control file contains the following fields:
F_P_Apub : öffentlicher Schlüssel der anonymen Identität des Wählers (Apub)F_P_Apub: public key of the anonymous identity of the voter (A pub )
F_P_Wtoken Wahlscheinkennung (wtoken)F_P_Wtoken voucher identification (wtoken)
F_P_WL Wahllokalnummer (Wl)F_P_WL polling station number (Wl)
F_P_Apriv Feld der anonymen Identität signiertes Wählervotum und Wahlscheinkennung; (Apr;v(Epub(wahlschein(x), wtoken)F_P_Apriv Field of anonymous identity signed voter vote and voting slip identification; (A pr ; v (E pub (ballot (x), wtoken)
F_P_Vpriv :der vom Validator signierte Hashwert des Votum, der Wahl- scheinkennung Vpriv(hash(Epub(wahlschein(x)),wtoken) F_P_Apriv_wkontrolle :mit dem privaten Schlüssel der anonymen Identität signierte WahlkontroUstring Apriv(wkontrolle) oder Apriv(hash(wkontrolle)F_P_Vpriv: the hash value of the vote signed by the validator, the ballot ID V priv (hash (E pub (ballot (x)), wtoken) F_P_Apriv_w Control: Dialing control ring A priv (w control) or A priv (hash (w control) signed with the private key of the anonymous identity
F_P_WS Wahlstatus beim Psephor F_P_AV__WS_4 Anzahl der Wahlversuche bei F_P_WS=4 F_P _AV_WS_5 Anzahl der Wahlversuche bei F_P_WS=5 F_P _AV_WS_8 Anzahl der Wahlversuche bei F_P_WS=8 F P AV WS 9 Anzahl der Wahlversuche bei F P WS =9F_P_WS election status with Psephor F_P_AV__WS_4 number of election attempts with F_P_WS = 4 F_P _AV_WS_5 number of election attempts with F_P_WS = 5 F_P _AV_WS_8 number of election attempts with F_P_WS = 8 F P AV WS 9 number of election attempts with P
WtokenListeWtokenListe
F_P_Wtoken : wtoken (Wahlscheinkennung) F P Status : 0 - nicht benutzt; (1 - ausgegeben)F_P_Wtoken: wtoken (voting slip identification) F P Status: 0 - not used; (1 - issued)
Je nachdem, ob die Wahl von einem öffentlich kontrollierten Eingabestation (Wahlkabine, öffentliches Terminal) oder von einer privaten Eingabestation (PC o.a.) erfolgt, kann der Systemdurchlauf variiert werden. In Abhängigkeit von dem Wahlanlaß und Wahlkontext , können die Sicherheitsanforderungen verändert werden und das Protokoll variiert werden. Die elektronische Wahl findet in 11 Phasen statt:The system run can be varied depending on whether the choice is made from a publicly controlled input station (voting booth, public terminal) or from a private input station (PC or similar). Depending on the reason for the election and the context of the election, the security requirements can be changed and the protocol can be varied. The electronic election takes place in 11 phases:
Phase 0 Der Verbindungsaufbau Pollster/ValidatorPhase 0 The Pollster / Validator connection establishment
Das transferierte Datenpaket Nachricht 0 enthält Informationen zum Aufbau einer SSL- Verbindung zwischen Pollster und ValidatorThe transferred data packet message 0 contains information for establishing an SSL connection between pollster and validator
Phase 1 Übertragung eines Datenpaketes von Validator an Pollster:Phase 1 Transfer of a data packet from Validator to Pollster:
1. Der Validator erzeugt einen zufälligen WahlkontroUstring, nämlich wkontrolle.1. The validator creates a random election control ring, namely w control.
2. Es wird der hash-Wert des Wahlkontrollstrings errechnet, also hash(wkontrolle).2. The hash value of the election control string is calculated, ie hash (w control).
3. Der hash-Wert des Wahlkontrollstrings wkontrolle wird mit dem privaten Schlüssel des Wahlamtes Vpriv verschlüsselt und signiert, es ergibt sich Vpriv(hash(wkontrolle))3. The hash value of the election control string w Control is encrypted and signed with the private key of the electoral office V priv , resulting in V priv (hash (w Control))
4. Der öffentliche Schlüssel des Wahlamtes Vpub, der WahlkontroUstring und der signierte hash-Wert werden als Nachricht 1 vom Validator zum Pollster übertragen. Das Datenpaket Nachricht 1 enthält : (Vpriv(hash(wkontrolle));wkontrolle;Vpub)4. The public key of the electoral office V pub , the election control ring and the signed hash value are transmitted as message 1 from the validator to the pollster. The data packet message 1 contains: (V priv (hash (w Control)); w Control; V pub )
Phase 2 : Übertragung eines Datenpaketes von Pollster an Validator:Phase 2: Transfer of a data packet from Pollster to Validator:
1. Der Pollster prüft die Identität des Validators.1. The pollster checks the identity of the validator.
2. Der Pollster überprüft mittels der hash-Funktion die Korrektheit der Übertragung.2. The pollster uses the hash function to check the correctness of the transmission.
3. Er signiert mit dem privaten Schlüssel des Wählers Wpriv den WahlkontroUstring wkontrolle.3. He signs the election control ring wcontrol with the private key of the voter W priv .
4. Er verschlüsselt den signierten WahlkontroUstring und die Wahlberechtigungsnummer des Wählers idw der Wahlanmeldung w mit dem öffentlichen Schlüssel des Wahlamts.4. It encrypts the signed election control ring and the dialing authorization number of the voter idw of the election registration w with the public key of the electoral office.
Das Datenpaket Nachricht 2 enthält somit: Vpub(Wpriv(wkontrolle); Wpub)The data packet message 2 thus contains: V pub (W priv (w Control); W pub )
Phase 3 : Übertragung eines Datenpaketes von Validator an Pollster:Phase 3: Transfer of a data packet from Validator to Pollster:
1. Der Validator prüft die Identität und Wahlberechtigung des Wählers.1. The validator checks the identity and voting rights of the voter.
• Ist der Wähler nicht wahlberechtigt folgt: Fehlerroutine 1 (Nicht wahlberechtigt). Ist der Wähler wahlberechtigt folgt die Überprüfung der digitalen Signatur Wpriv(wkontrolle) durch den Validator.• If the voter is not entitled to vote: Error routine 1 (not entitled to vote). If the voter is entitled to vote, the digital signature Wpriv (w control) is checked by the validator.
• Schlägt die Authentifizierung fehl folgt : Fehlerroutine 2 (keine gültige Signatur).• If authentication fails, error routine 2 (no valid signature).
Andernfalls überprüft der Validator den Wahlstatus (F_V_WS). Folgende Statuskennzeichen können vorliegen:Otherwise the validator checks the election status (F_V_WS). The following status indicators can exist:
F_V_WS = 10: Nachricht „schon gewählt"F_V_WS = 10: Message "already selected"
F_V_WS > 0 und < 10 : Der Wahlvorgang hat schon begonnen ist aber noch nicht beendet.F_V_WS> 0 and <10: The voting process has already started but has not yet ended.
F_V_WS =0: Beginn des WahlvorgangesF_V_WS = 0: start of the voting process
2. Die Statuskennzahl wird auf Beginn des Wahlvorganges gesetzt: F_V_WS = 1 3. Es wird der hash-Wert der Wahlunterlagen Wahlschein (wahlschein), öffentlicher Schlüssels des Psephors (Ppub) und öffentlicher Schlüssel des Wahlvorstandes (Epub) gebildet: hash(wahlschein,Ppub,Epub)2. The status code is set at the beginning of the voting process: F_V_WS = 1 3. The hash value of the voting documents (ballot), public key of the psephor (Ppub) and public key of the election committee (Epub) is formed: hash (ballot, Ppub, Epub)
4. Dieser hash-Wert wird vom Wahlamt mit Vpriv signiert Vpriv(hash(wahlschein,Ppub,Epub))4. This hash value is signed by the electoral office with Vpriv Vpriv (hash (ballot, Ppub, Epub))
5. Der signierte hash-Wert und die Wahlunterlagen (wahlschein, Ppub, Epub) werden mit dem öffentlichen Schlüssel des Wählers verschlüsselt und als Nachricht vom Validator zum Pollster geschickt.5. The signed hash value and the election documents (ballot, Ppub, Epub) are encrypted with the voter's public key and sent as a message from the validator to the pollster.
Das Datenpaket Nachricht 3 enthält somit: Wpub(Vpriv(hash(wahlschein, Ppub, Epub));wahlschein; Ppub; Epub)The data packet message 3 thus contains: W pub (Vpriv (hash (ballot, P pub , E pub )); ballot; P pub ; E pub )
Phase 4 : Übertragung eines Datenpaketes von Pollster an Psephor:Phase 4: Transfer of a data packet from Pollster to Psephor:
1. Der Pollster entschlüsselt die Nachricht und überprüft die Korrektheit.1. The pollster decrypts the message and checks the correctness.
2. Er überprüft die Identität von der Signaturen und Verschlüsselungen Ppu und Epub.2. It checks the identity of the signatures and encryption P pu and E pub .
3. Der Pollster erzeugt ein zufälliges Schlüsselpaar als anonyme Identität (Apriv, Apub)3. The pollster generates a random key pair as an anonymous identity (A priv , A pub )
4. Er signiert den öffentlichen Schlüssel der anonymen Identität und den WahlkontroUstring mit dem privaten Schlüssel der anonymen Identität Apriv(wkontrolle, Apub).4. He signs the public key of the anonymous identity and the election control ring with the private key of the anonymous identity A priv (w Control, A pub ).
5. Der signierte öffentlicher Schlüssel und der WahlkontroUstring und der öffentliche Schlüssel der anonymen Identität werden mit dem öffentlichen Schlüssel des Psephors verschlüsselt und als Nachricht vom Pollster zum Psephor gesandt.5. The signed public key and the election control ring and the public key of the anonymous identity are encrypted with the public key of the psephor and sent as a message from the pollster to the psephor.
Das Datenpaket Nachricht 4 enthält somit: Ppub (Apriv (wkontrolle, Apub); wkontrolle, Apub)The data packet message 4 thus contains: P pub (A priv (w Control, A pub ); w Control, A pub )
Phase 5 : Übertragung eines Datenpaketes von Pspehor an Pollster:Phase 5: Transfer of a data packet from Pspehor to Pollster:
1. Der Psephor entschlüsselt die Nachricht 4 und überprüft diese auf Korrektheit. 2. Der Psephor vergibt für Apub ein eindeutiges k-stelliges Wahlscheinken- nung(wtoken). Es werden folgende Feldwerte gesetzt:1. The psephor decrypts message 4 and checks it for correctness. 2. The psephor assigns a unique k-digit election form (wtoken) for A pub . The following field values are set:
• F_P_ pub = Apub • F_P_ pub = A pub
• F_P_WS = 3 (Apub empfangen)• F_P_WS = 3 (A pub received)
• F_P_wtoken = wtoken• F_P_wtoken = wtoken
• F_P_Apriv =Apriv(wkontrolle)• F_P_A priv = A priv (w control)
3. Er signiert die Wahlscheinkennung mit seinem privaten Schlüssel Ppriv(wtoken) und verschlüsselt diese Werte mit dem öffentlichen Schlüssel der anonymen Identität Apub. Der Psephor schickt diese Nachricht zum Pollster.3. He signs the ballot ID with his private key Ppriv (wtoken) and encrypts these values with the public key of the anonymous identity A pub . The psephor sends this message to the pollster.
Das Datenpaket Nachricht 5 enthält somit: Apub(Ppriv(wtoken);wtoken;)The data packet message 5 thus contains: A pub (P priv (wtoken); wtoken;)
4. F_P_WS = 4 (Wahlscheinkennung versandt)4. F_P_WS = 4 (voting slip identification sent)
Phase 6 : Übertragung eines Datenpaketes von Pollster an Validator:Phase 6: Transfer of a data packet from Pollster to Validator:
1. Der Pollster entschlüsselt die Nachricht 5 und überprüft die Korrektheit der Übertragung.1. The pollster decrypts message 5 and checks the correctness of the transmission.
2. Der Wähler füllt den Wahlschein aus : wahlschein(x) ist der ausgefüllte Wahlschein.2. The voter fills out the ballot: ballot (x) is the completed ballot.
3. Der ausgefüllte Wahlschein wahlschein(x) wird mit dem öffentlichen Schlüssel des Wahlvorstandes Epub verschlüsselt: Epub(wahlschein(x))3. The completed voting form (x) is encrypted with the public key of the election board E pub : E pub (voting form (x))
4. Der Pollster hasht die verschlüsselte Wahl zusammen mit dem wtoken: hash(Epub(wahlschein(x),wtoken)4. The pollster hashes the encrypted dial together with the wtoken: hash (E pub (ballot (x), wtoken)
5. Der Pollster blindet diesen hash-Wert von Epub(wahlschein(x)) und Wahlscheinnummer (wtoken): blind(m,hash (Epub (wahlschein (x)), wtoken))5. The pollster blinds this hash value of Epub (ballot (x)) and ballot number (wtoken): blind (m, hash (E pub (ballot (x)), wtoken))
6. Dieser geblindete Wert wird mit dem privaten Schlüssel des Wählers signiert: Wpriv(blind(m, hash(Epub(wahlschein(x)) ,wtoken)))6. This blinded value is signed with the voter's private key: Wpriv (blind (m, hash (E pub (ballot (x)), wtoken)))
7. Der signierte geblindete und gehashte Wert des verschlüsselten Wahlvotums und der Wahlscheinnummer und der geblindete Wert selbst werden mit dem öffentlichen Schlüssel des Wahlamtes verschlüsselt und als Nachricht vom Pollster an den Validator gesandt.7. The signed blinded and hashed value of the encrypted vote and the ballot number and the blinded value itself will be with the public Encryption key encrypted and sent as a message from the pollster to the validator.
Das Datenpaket Nachricht 6 enthält somit:The data packet message 6 thus contains:
Vpub(Wpriv(blind (m, hash (Epub (wahlschein (x)), wtoken))); blind(m, hash (V pub (W priv (blind (m, hash (E pub (ballot (x)), wtoken))); blind (m, hash (
Epub(wahlschein(x)), wtoken)))Epub (ballot (x)), wtoken)))
Phase 7 : Übertragung eines Datenpaketes von Validator an Pollster:Phase 7: Transfer of a data packet from Validator to Pollster:
1. Der Validator entschlüsselt die Nachricht 6 und prüft die Korrektheit .1. The validator decrypts message 6 and checks the correctness.
2. Er signiert die geblindete,gehashte Wahlentscheidung und Wahlscheinkennung, und die Wahllokalnummer des Wählers (WL).2. He signs the blinded, hashed voting decision and ballot ID, and the voter's polling station number (WL).
3. Die signierten gehashten geblindeten Werte, die geblindeten Werte und die Wahllokalnummer werden mit dem öffentlichen Schlüssel des Wählers zum Pollster zurückgesandt.3. The signed hashed blinded values, the blinded values and the polling station number are sent back to the pollster with the voter's public key.
Das Datenpaket Nachricht 7 enthält somit:The data packet message 7 thus contains:
Wpub(Vpriv(blind(m, hash(Epub(wahlschein(x)),wtoken)), WL); blind(m, hash(Epub (wahl- schein(x)), wtoken)); WL)W pub (V priv (blind (m, hash (E pub (ballot (x)), wtoken)), WL); blind (m, hash (E pub (ballot (x)), wtoken)); WL )
Phase 8 : Übertragung eines Datenpaketes von Pollster an Psephor:Phase 8: Transfer of a data packet from Pollster to Psephor:
1. Der Pollster entschlüsselt die Nachricht 7 und prüft die digitale Signatur und Korrektheit.1. The pollster decrypts message 7 and checks the digital signature and correctness.
2. Er entblindet die signierte geblindete Wahlentscheidung und Wahlscheinnummer. Unblind (m, Vpriv (blind (m, hash (Epub (wahlschein(x)), wtoken)))) = Vpriv( hash (Epub (wahlschein(x)), wtoken))2. He unblinds the signed blinded voting decision and ballot number. Unblind (m, V priv (blind (m, hash (E pub (ballot (x)), wtoken)))) = V priv (hash (E pub (ballot (x)), wtoken))
3. Der Pollster bildet zur Wahlbestätigung durch den Psephor: blind(n, hash(Wpub(Apub))3. For poll confirmation by the psephor, the pollster forms: blind (n, hash (W pub (A pub ))
4. Der Pollster signiert die verschlüsselte Wahlentscheidung, Wahlscheinnummer und Wahllokalnummer. Die vom Wahlamt und von der anonymen Identität signierten Werte werden mit dem öffentlichen Schlüssel des Psephors verschlüsselt und zum Psephor gesandt.4. The pollster signs the encrypted voting decision, ballot number and polling station number. Those signed by the electoral office and by the anonymous identity Values are encrypted with the Psephor's public key and sent to the Psephor.
Das Datenpaket Nachricht 8 enthält somit: Ppub( Vpriv( hash(Epub(wahlschein(x)); wtoken), WL); Apriv(Epu (wahlschein(x) , wtoken, WL); wtoken)The data packet message 8 thus contains: P pub (V priv (hash (E pub (ballot (x)); wtoken), WL); A priv (E pu (ballot (x), wtoken, WL); wtoken)
Phase 9 : Übertragung eines Datenpaketes von Psephor an Pollster:Phase 9: Transmission of a data packet from Psephor to Pollster:
1. Der Psephor entschlüsselt die Nachricht 8.1. The psephor decrypts the message 8.
2. Pspehor setzt F_P_WS = 8 (Wahlvotum empfangen)2. Pspehor sets F_P_WS = 8 (election vote received)
3. Die Signatur des Wahlamtes wird mit Vpu , die Signatur der anonymen Identität wird mit Apub überprüft.3. The signature of the electoral office is checked with V pu , the signature of the anonymous identity is checked with A pub .
4. Durch Vergleich der resultierenden Werte wird die Korrektheit des empfangenen Votums gesichert.4. By comparing the resulting values, the correctness of the received vote is ensured.
5. Der Psephor legt die Epub(wahlschein(x) und die Wahlscheinnummer in die Urne WL5. The psephor places the e pub (ballot (x) and the ballot number in the urn WL
6. In der wtoken-Liste wird der Status auf 2 = „in Urne gelegt" gesetzt6. In the wtoken list, the status is set to 2 = "put in urn"
7. In der Wahlkontrolldatei werden zu Kontrollzwecken gespeichert:7. The following are stored in the election control file for control purposes:
• F_P_WL = WL• F_P_WL = WL
F_p_v Priv = Vpriv(Epub(wahlschein(x), wtoken, WL)F _ p _ v P ri v = V priv (E pub (ballot (x), wtoken, WL)
• F_P_Apriv = Apriv(Epub(wahlschein(x), wtoken, WL)• F_P_A priv = A priv (E pub (voting slip (x), wtoken, WL)
8. F_P_WS = 9 (Wahlschein in Urne)8. F_P_WS = 9 (ballot in ballot box)
9. Der Psephor erzeugt eine eindeutige Wahlkontrollzahl i9. The psephor generates a unique election control number i
10. Dieser signierte Wahlbestätigung wird vom Psephor mit dem öffentlichen Schlüssel der anonymen Identität zum Pollster geschickt.10. This signed election confirmation is sent to the pollster by the psephor with the public key of the anonymous identity.
Das Datenpaket Nachricht 9 enthält somit: Apub (Ppriv(Wahlbestätigung); Wahlbestätigung) Phase 10 : Übertragung eines Datenpaketes von Pollster an Validator:The data packet message 9 thus contains: A pub (P priv (election confirmation); election confirmation) Phase 10: Transfer of a data packet from Pollster to Validator:
1. Der Pollster entschlüsselt und prüft die Korrektheit der Nachricht 9.1. The pollster decrypts and checks the correctness of the message 9.
2. Die Wahlkontrollzahl i wird dem Wähler ausgegeben.2. The election control number i is issued to the voter.
3. Der Pollster leitet diese Nachricht als Wahlbestätigung signiert und verschlüsselt an den Validator weiter3. The pollster forwards this message, signed and encrypted, to the validator
Das Datenpaket Nachricht 10 enthält somit: Vpub(Wpriv (Ppriv(wahlbestätigung); Wpub); Wahlbestätigung; Wpub)The data packet message 10 thus contains: V pub (W priv (P priv (election confirmation); W pub ); election confirmation; W pub )
Phase 11 : Übertragung eines Datenpaketes von Validator an PollsterPhase 11: Transfer of a data packet from Validator to Pollster
1. Der Validator entschlüsselt und prüft die Korrektheit der Nachricht 10.1. The validator decrypts and checks the correctness of the message 10.
2. Der Wahlstatus beim Validator wird auf „10 = gewählt" gesetzt.2. The election status for the validator is set to "10 = chosen".
3. Der Validator erzeugt eine Wahlkontrollzahl i3. The validator generates an election control number i
4. Der Validator schickt die Wahlbestätigung mit der Wahlkontrollzahl i4. The validator sends the election confirmation with the election control number i
Das Datenpaket Nachricht 11 enthält somit : Wpub (Vpriv(Ppr;v(wahlbestätigung), i); wahlbe- stätigung; i)The data packet message 11 thus contains: W pub (V priv (P pr ; v (election confirmation), i); election confirmation; i)
5. Der Pollster prüft die Nachricht5. The pollster checks the message
6. Die Wahlbestätigung und die Wahlkontrollzahl i auf dem Eingabemonitor mitgeteilt und/oder ausgedruckt.6. The election confirmation and the election control number i are communicated and / or printed out on the input monitor.
Fig. 2 zeigt schematisch den Informationsfluß der elektronischen Wahl in Form einer In- ternetkorrespondenszwahl. Bei dieser Form der Wahl entfallen die öffentlichen Wahlkabinen. Die Wahl kann an jedem mit dem Internet verbundenen Pc durchgeführt werden.2 schematically shows the information flow of the electronic election in the form of an Internet correspondent election. With this form of election, the public voting booths are omitted. The choice can be made on any PC connected to the Internet.
Vorphase: Der Psephor erzeugt vor der Wahl eine Liste von k-stelligen Wahltoken (Wahl- scheinkennungen) und schickt diese verschlüselt an den Validator. (Sie kann auch - auf ein Medium gespeichert - zum Validator gebracht werden.) Wobei TL die Tokenliste darstellt (jedes Wahltoken ist zusätzlich verschlüsselt). Das Datenpaket enthält folgende Informationen: Vpub(Ppriv(hash(TL)), TL)Preliminary phase: Before the election, the psephor generates a list of k-digit voting tokens (voting slip IDs) and sends them encrypted to the validator. (It can also be brought to the validator - saved on a medium.) Where TL represents the token list (each election token is also encrypted). The data packet contains the following information: V pub (P priv (hash (TL)), TL)
Der Validator bestätigt hierauf den Erhalt der Liste mit dem Datenpaket: PPub(Vpriv(hash(TL)),TL)The validator then confirms receipt of the list with the data packet: P Pub (V priv (hash (TL)), TL)
Phase 0 : Verbindungsaufbau Pollster/ValidatorPhase 0: Pollster / Validator connection establishment
Das Datenpaket Nachricht 0 enthält Informationen zum Aufbau einer SSL- Verbindung zwischen Pollster und Validator.The data packet message 0 contains information on establishing an SSL connection between pollster and validator.
Phase 1 : Übertragung eines Datenpaketes von Validator an Pollster:Phase 1: Transfer of a data packet from Validator to Pollster:
1. Der Validator erzeugt einen zufälligen WahlkontroUstring (wkontrolle)1. The validator creates a random election control ring (w control)
2. Es wird der hash-Wert des Wahlkontrollstrings errechnet: hash (wkontrolle)2. The hash value of the election control string is calculated: hash (w Control)
3. Der hash-Wert des Wahlkontrollstrings wkontrolle wird mit dem privaten Schlüssel des Wahlamtes Vpriv verschlüsselt und signiert:3. The hash value of the election control string w Control is encrypted and signed with the private key of the electoral office Vpriv:
4. Vpriv(hash(wkontrolle))4. V priv (hash (w control))
5. Der öffentliche Schlüssel des Wahlamtes Vpub, der WahlkontroUstring und der signierte hash-Wert werden als Nachricht 1 vom Validator zum Pollster übertragen5. The public key of the electoral office V pub , the election control ring and the signed hash value are transmitted as message 1 from the validator to the pollster
Das Datenpaket Nachricht 1 enthält somit : (Vpriv(hash (wkontrolle)) ;wkontrolle;Vpub)The data packet message 1 thus contains: (V priv (hash (w Control)); w control; V pub )
Phase 2 : Übertragung eines Datenpaketes von Pollster an Validator:Phase 2: Transfer of a data packet from Pollster to Validator:
1. Der Pollster prüft die Identität des Validators.1. The pollster checks the identity of the validator.
2. Der Pollster überprüft mittels der hash-Funktion die Korrektheit der Übertragung2. The pollster uses the hash function to check the correctness of the transmission
3. Er signiert mit dem privaten Schlüssel des Wählers Wpriv den WahlkontroUstring wkontrolle. 4. Er verschlüsselt den signierten WahlkontroUstring und seinen öffentlichen Schlüssel mit dem öffentlichen Schlüssel des Wahlamts.3. He signs the election control ring wcontrol with the private key of the voter W priv . 4. It encrypts the signed election control ring and its public key with the public key of the electoral office.
5. Diese Nachricht schickt der Pollster an den Validator.5. The pollster sends this message to the validator.
Das Datenpaket Nachricht 2 enthält somit: Vpub(Wpr;v(wkontrolle); Wpub)The data packet message 2 thus contains: V pub (W pr ; v (w control); W pub )
Phase 3 : Übertragung eines Datenpaketes von Validator an Pollster:Phase 3: Transfer of a data packet from Validator to Pollster:
1. Der Validator prüft die Identität und Wahlberechtigung des Wählers1. The validator checks the identity and voting rights of the voter
Ist Wähler nichtwahlberechtigt : Fehlerroutine 1 (Nicht wahlberechtigt) Schlägt die Authentifizierung fehl: Fehlerroutine 2 (keine gültige Signatur) Andernfalls : Überprüfung des Wahlstatus (F_V_WS)If voters are not authorized to vote: Error routine 1 (not entitled to vote) Authentication fails: Error routine 2 (no valid signature) Otherwise: Checking the election status (F_V_WS)
• Falls F_V_WS = 10 : Nachricht „schon gewählt"• If F_V_WS = 10: message "already selected"
Falls F_V_WS > 0 und < 10 : Der Wahlvorgang hat schon begonnen ist aber noch nicht beendet.If F_V_WS> 0 and <10: The voting process has already started but has not yet ended.
• Falls F_V_WS = 0 : Beginn des Wahlvorganges• If F_V_WS = 0: start of the voting process
2. Die Wahlstatuskennzahl wird auf 1 gesetzt. Die Wahl beginnt; F_V_WS = 12. The dialing status indicator is set to 1. The choice begins; F_V_WS = 1
3. Es wird der hash-Wert der Wahlunterlagen( Wahlschein (wahlschein), öffentlicher Schlüssels des Psephors (Ppub) und öffentlicher Schlüssel des Wahlvorstandes (Epub) gebildet: hash(wahlschein,Ppub,Epub)3. The hash value of the election documents (voting form (voting form), public key of the psephor (P pub ) and public key of the election committee (E pub ) is formed: hash (voting form, P pub , E pub )
4. Dieser hash-Wert wird vom Wahlamt mit Npriv signiert; Vpriv (hash(wahlschein, wtoken, Ppub,Epub))4. This hash value is signed by the electoral office with N priv ; V priv (hash (ballot, wtoken, P pub , E pub ))
5. Der signierte hash-Wert und Wahlunterlagen (wahlschein, wtpken, Ppub, Epub) werden mit dem öffentlichen Schlüssel des Wählers verschlüsselt und als Nachricht vom Validator zum Pollster geschickt.5. The signed hash value and election documents (ballot, wtpken, P pub , E pub ) are encrypted with the voter's public key and sent as a message from the validator to the pollster.
6. Beim Validator wird in die Liste TL das Statusfeld des wtokwn auf idw für die Dauer des Wahlvorganges gesetzt. Das Datenpaket Nachricht 3 enthält somit: Wpub(Vpriv (hash (wahlschein, wtoken, Ppub, E pUb)); wahlschein; wtoken, Ppub; Epub)6. With the Validator, the status field of wtokwn is set to idw in the TL list for the duration of the election process. The data packet message 3 thus contains: W pub (V priv (hash (ballot, wtoken, P pub , E pUb )); ballot; wtoken, P pub ; E pub )
Phase 4 : Übertragung eines Datenpaketes von Pollster an Validator:Phase 4: Transfer of a data packet from Pollster to Validator:
1. Der Pollster entschlüsselt die Nachricht und überprüft die Korrektheit der Übertragung.1. The pollster decrypts the message and checks the correctness of the transmission.
2. Der Wähler füllt den Wahlschein aus : wahlschein(x) ist der ausgefüllte Wahlschein.2. The voter fills out the ballot: ballot (x) is the completed ballot.
3. Der ausgefüllte Wahlschein wahlschein(x) wird mit dem öffentlichen Schlüssel des Wahlvorstandes Epub verschlüsselt: Epub(wahlschein(x))3. The completed voting form (x) is encrypted with the public key of the election board E pub : Epub (voting form (x))
4. Der Pollster hashed Epub(wahlschein(x)) und die Wahlscheinnummer wtoken und blinded sie mit einem zufälligen Blindingsfaktor m : blind(m, hash(Epub(wahlschein(x)), wtoken))4. The pollster hashed E pub (voting slip (x)) and the voting slip number wtoken and blinded them with a random blinding factor m: blind (m, hash (Epub (voting slip (x)), wtoken))
5. Dieser Wert wird mit dem privaten Schlüssel des Wählers signiert:5. This value is signed with the voter's private key:
6. Wpriv(blind(m, hash(Epub(wahlschein(x)), wtoken))6. W priv (blind (m, hash (E pub (ballot (x), wtoken))
7. Der signierte geblindete und gehashte Wert des verschlüsselten Wahlvotums und der Wahlscheinnummer und der geblindete Wert selbst werden mit dem öffentlichen Schlüssel des Wahlamtes verschlüsselt und als Nachricht vom Pollster an den Validator gesandt.7. The signed blinded and hashed value of the encrypted vote and the ballot number and the blinded value itself are encrypted with the public key of the electoral office and sent as a message from the pollster to the validator.
Das Datenpaket Nachricht 4 enthält somit: Vpub(Wpriv(blind(n, hash(Epub(wahlschein(x)), wtoken))); blind(n, hash(Epub(wahlschein(x)), wtoken)))The data packet message 4 thus contains: V pub (W priv (blind (n, hash (E pub (voting slip (x)), wtoken))); blind (n, hash (Epub (voting slip (x)), wtoken)) )
Phase 5 : Übertragung eines Datenpaketes von Validator an Pollster:Phase 5: Transfer of a data packet from Validator to Pollster:
1. Der Validator entschlüsselt die Nachricht 4 und prüft die Korrektheit.1. The validator decrypts message 4 and checks the correctness.
2. Er signiert die geblindete Wahlentscheidung und Wahlscheinkennung, und die Wahllokalnummer des Wählers (WL).2. He signs the blinded voting decision and ballot ID, and the polling station number of the voter (WL).
3. Die signierten geblindeten hash- Werte, der geblindeten hash- Werte und 4. die Wahllokalnummer werden mit dem öffentlichen Schlüssel des Wählers verschlüsselt zum Pollster zurückgesandt.3. The signed blind hash values, the blinded hash values and 4. The polling station numbers are encrypted and sent back to the pollster with the voter's public key.
Das Datenpaket Nachricht 5 enthält somit: Wpub(Vpriv(blind(m, hash (Epub (wahlschein (x)), wtoken)), WL); blind(m, hash(Epub(wahlschein(x)), wtoken); WL))The data packet message 5 thus contains: W pub (V priv (blind (m, hash (E pub (voting slip (x)), wtoken)), WL); blind (m, hash (E pub (voting slip (x)), wtoken); WL))
Phase 6 : Übertragung eines Datenpaketes von Pollster an Psephor:Phase 6: Transfer of a data packet from Pollster to Psephor:
1. Der Pollster entschlüsselt die Nachricht und prüft die digitale Signatur und Korrektheit der Nachricht.1. The pollster decrypts the message and checks the digital signature and correctness of the message.
2. Er entblindet die signierte geblindete gehashte Wahlentscheidung und Wahlscheinnummer.2. He unblinds the signed, blinded, hashed voting decision and ballot number.
3. Der Pollster signiert die verschlüsselte Wahlentscheidung, Wahlscheinnummer, Wahlkreis-/Wahllokalnummer.3. The pollster signs the encrypted voting decision, ballot number, constituency / polling station number.
4. Die vom Wahlamt und von der anonymen Identität signierten Werte Vpriv (hash(Epu (wahlschein(x), wtoken), WL) und Apriv(Epub(wahlschein(x), wtoken, WL ) werden mit dem öffentlichen Schlüssel des Psephors verschlüsselt und zum Psephor gesandt. Diese Nachricht wird als Mail mit einer anonymisierten, u.U. fiktiven AbsenderIP versehen, die der Server über eine Firewall kontrollieren kann.4. The values V priv (hash (E pu (ballot (x), wtoken), WL) and A priv (Epub (ballot (x), wtoken, WL) signed by the electoral office and by the anonymous identity are with the public key encrypted by the Psephor and sent to the Psephor This message is sent as an email with an anonymized, possibly fictitious SenderIP, which the server can control via a firewall.
Das Datenpaket Nachricht 6 enthält somit: Ppub( Vpr;v(hash(Epub(wahlschein(x)),wtoken), WL); Apriv(Epub(wahlschein(x)); wtoken, WL);Apub)The data packet message 6 thus contains: P pub (V pr ; v (hash (E pub (ballot (x)), wtoken), WL); A priv (E pub (ballot (x)); wtoken, WL); A pub )
Phase 7 : Übertragung eines Datenpaketes von Psephor an ValidatorPhase 7: Transfer of a data packet from Psephor to Validator
1. Der Psephor entschlüsselt die Nachricht.1. The psephor decrypts the message.
2. Die Signatur des Wahlamtes wird mit Vpub überprüft, die Signatur der anonymen Identität wird mit Apub überprüft.2. The signature of the electoral office is checked with V pub , the signature of the anonymous identity is checked with A pub .
3. Pspehor setzt die Wahlstatuskennzahl auf F_P_WS = 8 (Wahlvotum empfangen). 4. Durch Vergleich der resultierenden Werte wird die Korrektheit des empfangenen Votums gesichert.3. Pspehor sets the election status indicator to F_P_WS = 8 (election vote received). 4. By comparing the resulting values, the correctness of the received vote is ensured.
5. Es wird geprüft ,ob wtoken aus der Wahltokenliste TL stammt.5. It is checked whether wtoken originates from the TL token list.
6. Der Psephor legt die Epub(wahlschein(x)) und die Wahlscheinnummer in die Urne WL.6. The psephor places the e pub (ballot (x)) and the ballot number in the urn WL.
7. In der wtoken-Liste wird der Status des wtoken auf 2 = „in Urne gelegt" gesetzt.7. In the wtoken list, the status of the wtoken is set to 2 = "put in urn".
8. In der Wahlkontrolldatei werden zu Kontrollzwecken gespeichert:8. The following are stored in the election control file for control purposes:
• F_P_WL = WL• F_P_WL = WL
• F_p_v Priv = Vpriv(hash(Epub(wahlschein(x), , wtoken), WL)• F_ p _ v P ri v = V priv (hash (E pub (ballot (x),, wtoken), WL)
• F_P_Apriv = Apriv(Epub(wahlschein(x), wtoken, WL)• F_P_A priv = A priv (E pub (voting slip (x), wtoken, WL)
(Die Felder F_P_wtoken = wtoken und F_P_Apub = Apub sind schon gespeichert)(The fields F_P_wtoken = wtoken and F_P_Apub = Apub are already saved)
9. Die Wahlstatuskennzahl F_P_WS wird auf 9 gesetzt. (Wahlschein in Urne)9. The dialing status code F_P_WS is set to 9. (Ballot in ballot box)
10. Der Psephor signiert die Wahlbestätigung.10. The psephor signs the election confirmation.
11. Diese Nachricht wird vom Psephor signiert mit dem öffentlichen Schlüssel des Va- lidators zum Validator geschickt.11. This message is signed by the psephor and sent to the validator with the validator's public key.
Das Datenpaket Nachricht 7 enthält somit: Vpub (Ppriv(wtoken), Wahlbestätigung); wtoken; Wahlbestätigung)The data packet message 7 thus contains: V pub (P priv (wtoken), election confirmation); wtoken; Choice confirmation)
Phase 8 : Übertragung eines Datenpaketes von Validator an PollsterPhase 8: Transfer of a data packet from Validator to Pollster
1. Der Validator entschlüsselt und prüft die Korrektheit der Nachricht 7.1. The validator decrypts and checks the correctness of the message 7.
2. Der Wahlstatus von wtoken (= idw) wird in der Liste der Wahltoken wird auf 2 (= „in Urne") gesetzt. Der Wahlstatus beim Validator wird auf „10 = gewählt" gesetzt.2. The voting status of wtoken (= idw) in the list of voting tokens is set to 2 (= "in urn"). The voting status with the validator is set to "10 = voted".
3. Der Validator bildet eine Wahlkontrollzahl i und leitet die Wahlbestätigung und die Wahlkontrollzahl weiter an den Pollster weiter: • • Das Datenpaket Nachricht 8 enthält somit: Wpub (Vpriv (wahlbestätigung, i); Ppriv (wahlbe- stätigung, i);)3. The validator forms an election control number i and forwards the election confirmation and the election control number to the pollster: • • The data packet message 8 thus contains: W pub (V priv (confirmation of choice, i); P priv (confirmation of choice, i);)
Phase 9 : Übertragung eines Datenpaketes von Psephor an den ValidatorPhase 9: Transmission of a data packet from Psephor to the validator
1. Nach Beendigung der Wahl und nach Konsistenzüberprüfungen wird die Urnendatei an den Validator übermittelt. Vpub(Ppriv(Urne_XX), Urne_XX)1. After the election and after consistency checks, the urn file is sent to the validator. V pub (P priv (Urne_XX), Urne_XX)
2. Die Voten werden durch den Wahlvorstand mittels Epriv entschlüsselt und ausgezählt.2. The votes are decrypted and counted by the electoral board using E priv .
3. Nach der Auszählung werden die Stimmen bekannt gegeben und mittels Internet an die Wahlleiter übermittelt.3. After the counting, the votes will be announced and transmitted to the election officers via the Internet.
Fig. 3 zeigt ein elektronisches Stimmeingabe Panel 1. Dies ist ein vorzugsweise in der öffentliche Wahlkabine eingerichtetes Panel, welches mit Hilfe biometrischer Messung eine Eindeutige Identifikation des Benutzers zulässt. Auf dem Panel sind hierzu Sensorfelder 2 angebracht.3 shows an electronic voice input panel 1. This is a panel which is preferably set up in the public voting booth and which enables the user to be clearly identified by means of biometric measurement. For this purpose, sensor fields 2 are attached to the panel.
Fig. 4 zeigt eine elektronische Wahlkabine 3 mit dem elektronische Stimmeingabe-Panel 1. Diese elektronische Wahlkabine 3 ist direkt mit dem Wahlnetzwerk verbunden und ermöglicht so die direkte und einfache Abwicklung der Wahl.Fig. 4 shows an electronic voting booth 3 with the electronic voice input panel 1. This electronic voting booth 3 is connected directly to the election network and thus enables the direct and simple handling of the election.
Fig. 5 zeigt eine Vorrichtung zur Identifikation und Authentisierung unter Verwendung digitalen Signaturen. Hierzu wird das Sensorfeld 2 zur Aufnahme der biometrischen Messung und eine Chipkarte 4, auf welcher Personal- und Verwaltungsdaten stehen benötigt. 5 shows a device for identification and authentication using digital signatures. For this purpose, the sensor field 2 for recording the biometric measurement and a chip card 4, on which personnel and administrative data are required.

Claims

Titel: Telekommunikationsprotokoll, -System und -Vorrichtungen zur anonymen und authentischen Abwicklung einer elektronischen WahlPatentansprüche Title: Telecommunications protocol, system and devices for the anonymous and authentic processing of an electronic election
1. Telekommunikationsprotokoll zur anonymen und authentischen Abwicklung einer elektronischen Wahl, wobei1. Telecommunication protocol for the anonymous and authentic handling of an electronic choice, whereby
von einer elektronischen Wahlstelle ein elektronischer Wahlschein von einem elektronischen Wahlleiter angefordert wird,an electronic polling station requests an electronic polling station from an electronic polling station,
der elektronische Wahlleiter die Berechtigung eines die elektronische Wahlstelle verwendenden Wählers zur Teilnahme an der elektronischen Wahl prüft und im Falle der Feststellung der Berechtigung des die elektronische Wahlstelle verwendenden Wählers zur Teilnahme an der elektronischen Wahl einen elektronischen Wahlschein an die Wahlstelle sendet,the electronic returning officer checks the eligibility of a voter using the electronic voting station to participate in the electronic election and, if the eligibility of the voter using the electronic voting station to participate in the electronic election is determined, sends an electronic voting card to the voting station,
die elektronische Wahlstelle den vom elektronischen Wahlleiter empfangenen elektronischen Wahlschein mit einer von einem Wähler elektronisch getroffenen Wahl versieht, und die elektronische Wahlstelle den mit der Wahl versehenen elektronischen Wahlschein an einen elektronischen Wahlrechner zur Sammlung und/oder Auswertung sendet,the electronic polling station provides the electronic voting form received by the electronic election supervisor with an election made electronically by a voter, and the electronic polling station sends the electronic voting slip provided with the election to an electronic voting computer for collection and / or evaluation,
dadurch gekennzeichnet, daßcharacterized in that
die der Person des Wählers eindeutig zugeordneten Daten und die von dem Wähler getroffene elektronische Wahl in allen Phasen der Verarbeitung oder Übertragung entwederthe data clearly associated with the person of the voter and the electronic choice made by the voter in all phases of processing or transmission either
voneinander getrennt oder verschlüsselt oder voneinander getrennt und verschlüsselt vorliegen.separated or encrypted or separated and encrypted.
2. Telekommunikationsprotokoll zur anonymen und authentischen Abwicklung einer elektronischen Wahl nach Anspruch 1, dadurch gekennzeichnet, daß2. Telecommunication protocol for anonymous and authentic handling of an electronic choice according to claim 1, characterized in that
die elektronische Wahlstelle den elektronischen Wahlschein mit der getroffenen Wahl und mit einer dem Wähler zugeordneten Kennung versehen, verschlüsselt an den elektronischen Wahlleiter zurücksendet,the electronic polling station sends the electronic ballot with the choice made and with an identifier assigned to the voter and sends it back to the electronic polling officer in encrypted form,
der elektronische Wahlleiter den an ihn zurückgesandten verschlüsselten elektronischen Wahlschein signiert und dann wieder so von ihm signiert an die elektronische Wahlstelle sendet,the electronic returning officer signs the encrypted electronic voting form sent back to him and then sends it back to the electronic voting center, signed by him,
die elektronische Wahlstelle den mit der Wahl versehenen und von dem elektronischen Wahlleiter signierten elektronischen Wahlschein wieder entschlüsselt, die dem Wähler zugeordnete Kennung entfernt und den elektronischen Wahlschein im Falle seiner Authentizität ohne die Kennung aber mit Signatur an den elektronischen Wahlrechner zur Sammlung und/oder Auswertung sendet. the electronic polling station decrypts the electronic ballot that has been given the vote and signed by the electronic election supervisor, removes the identifier assigned to the voter and, if it is authentic, sends the electronic ballot to the electronic voting computer for collection and / or evaluation without signature but with a signature ,
3. Telekommunikationsprotokoll zur anonymen und authentischen Abwicklung einer elektronischen Wahl nach Anspruch 2, dadurch gekennzeichnet, daß die dem Wähler zugeordnete Kennung eine den Wähler identifizierende Identifikation ist.3. Telecommunication protocol for anonymous and authentic handling of an electronic election according to claim 2, characterized in that the identifier assigned to the voter is an identifier identifying the voter.
4. Telekommunikationsprotokoll zur anonymen und authentischen Abwicklung einer elektronischen Wahl nach Anspruch 2, dadurch gekennzeichnet, daß die dem Wähler zugeordnete Kennung diesem anonym zugeordnet wird und so keine Identifikation des Wählers darstellt.4. Telecommunication protocol for anonymous and authentic handling of an electronic election according to claim 2, characterized in that the identifier assigned to the voter is anonymously assigned to it and thus does not constitute an identification of the voter.
5. Telekommunikationsprotokoll zur anonymen und authentischen Abwicklung einer elektronischen Wahl nach einem der Ansprüche 2 bis 4 dadurch gekennzeichnet, daß die elektronische Wahlstelle den mit der Wahl versehenen und von dem elektronischen Wahlleiter signierten elektronischen Wahlschein wieder entschlüsselt, die dem Wähler zugeordnete Kennung entfernt und den elektronischen Wahlschein ohne die Kennung aber mit Signatur an den elektronischen Wahlrechner zur Sammlung und/oder Auswertung nur dann sendet, wenn die elektronische Wahlstelle die Authentizität des signierten elektronischen Wahlscheins derart feststellt, daß die dem Wähler zugeordnete Kennung nach Empfang vom elektronischen Wahlleiter der Kennung entspricht, wie sie von der elektronischen Wahlstelle an den elektronischen Wahlleiter gesendet wurde.5. Telecommunications protocol for the anonymous and authentic handling of an electronic election according to one of claims 2 to 4, characterized in that the electronic voting center decrypts the electronic voting slip provided with the election and signed by the electronic election supervisor, removes the identifier assigned to the voter and the electronic one Sends a ballot without the identifier but with a signature to the electronic voting computer for collection and / or evaluation only if the electronic electoral office determines the authenticity of the signed electronic voting slip in such a way that the identifier assigned to the voter corresponds to the identifier after receipt by the electronic election officer, such as it has been sent from the electronic polling station to the electronic returning officer.
6. Telekommunikationsprotokoll zur anonymen und authentischen Abwicklung einer elektronischen Wahl nach einem der Ansprüche 2 bis 5 dadurch gekennzeichnet, daß die elektronische Wahlstelle den mit der Wahl versehenen und von dem elektronischen Wahlleiter signierten elektronischen Wahlschein wieder entschlüsselt, die dem Wähler zugeordnete Kennung entfernt und den elektronischen Wahlschein ohne die Kennung aber mit Signatur an den elektronischen Wahlrechner zur Sammlung und/oder Auswertung nur dann sendet, wenn die elektronische Wahlstelle die Authentizität des signierten elektronischen Wahlscheins derart feststellt, daß die vom Wähler getroffene Wahl der Wahl entspricht, wie sie von der elektronischen Wahlstelle an den elektronischen Wahlleiter gesendet wurde. 6. Telecommunications protocol for anonymous and authentic handling of an electronic election according to one of claims 2 to 5, characterized in that the electronic voting center decrypts the electronic voting slip provided with the election and signed by the electronic election supervisor, removes the identifier assigned to the voter and the electronic one Sends a voting card without the identifier but with a signature to the electronic voting computer for collection and / or evaluation only if the electronic voting station determines the authenticity of the signed electronic voting card in such a way that the choice made by the voter corresponds to the choice made by the electronic voting office was sent to the electronic returning officer.
7. Telekommunikationsprotokoll zur anonymen und authentischen Abwicklung einer elektronischen Wahl nach einem der Ansprüche 2 bis 6 dadurch gekennzeichnet, daß auf dem elektronischen Wahlrechner elektronische Wahlscheine nur gesammelt nicht jedoch ausgewertet werden.7. Telecommunications protocol for the anonymous and authentic handling of an electronic election according to one of claims 2 to 6, characterized in that electronic ballots are only collected but not evaluated on the electronic voting computer.
8. Telekommunikationsprotokoll zur anonymen und authentischen Abwicklung einer elektronischen Wahl nach Anspruch 7 dadurch gekennzeichnet, daß die vom elektronischen Wahlrechner gesammelten elektronischen Wahlscheine an den elektronischen Wahlleiter zur Auswertung gesendet werden.8. Telecommunications protocol for anonymous and authentic handling of an electronic election according to claim 7, characterized in that the electronic voting cards collected by the electronic voting computer are sent to the electronic election manager for evaluation.
9. Telekommunikationsprotokoll zur anonymen und authentischen Abwicklung einer elektronischen Wahl nach einem der Ansprüche 2 bis 8 dadurch gekennzeichnet, daß nur solche elektronischen Wahlscheine gesammelt und/oder ausgewertet werden, die auch vom elektronischen Wahlleiter signiert sind.9. Telecommunications protocol for anonymous and authentic handling of an electronic election according to one of claims 2 to 8, characterized in that only those electronic voting cards are collected and / or evaluated that are also signed by the electronic election manager.
10. Telekommunikationsprotokoll zur anonymen und authentischen Abwicklung einer elektronischen Wahl nach einem der Ansprüche 2 bis 9 dadurch gekennzeichnet, daß die Auswertung der elektronischen Wahlscheine in Form einer Zählung, vorzugsweise nach Wahlkategorien, der jeweils getroffenen Wahl erfolgt.10. Telecommunications protocol for anonymous and authentic handling of an electronic election according to one of claims 2 to 9, characterized in that the evaluation of the electronic voting cards in the form of a count, preferably according to election categories, the choice made.
11. Telekommunikationsprotokoll zur anonymen und authentischen Abwicklung einer elektronischen Wahl nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, daß mindestens eines der verwendeten Verschlüsselungsverfahren ein Blinding- Verfahren ist.11. Telecommunication protocol for anonymous and authentic handling of an electronic choice according to one of claims 1 to 10, characterized in that at least one of the encryption methods used is a blind method.
12. Telekommunikationsprotokoll zur anonymen und authentischen Abwicklung einer elektronischen Wahl nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, daß mindestens eines der verwendeten Verschlüsselungsverfahren ein RSA- Verschlüsselungsverfahren ist.12. Telecommunications protocol for the anonymous and authentic handling of an electronic choice according to one of claims 1 to 11, characterized in that at least one of the encryption methods used is an RSA encryption method.
13. Telekommunikationsprotokoll zur anonymen und authentischen Abwicklung einer elektronischen Wahl nach einem der Ansprüche 1 bis 12 dadurch gekennzeichnet, daß Daten über eine Hashfunktion gesichert übertragen werden. 13. Telecommunication protocol for anonymous and authentic handling of an electronic election according to one of claims 1 to 12, characterized in that data is transmitted securely via a hash function.
14. Elektronisches Wahlsystem zur Durchführung einer elektronischen Wahl mit mindestens einem elektronischen Wahlleiter (Validator), vorzugsweise einem ersten Server- Rechner-System, mindestens einem elektronischen Wahlrechner (Psephor, Urne) vorzugsweise einem zweiten Server-Rechner-System, und mindestens einer elektronischen Wahlstelle (Pollster), vorzugsweise einem Client-Rechner-System, wobei die elektronische Wahlstelle mit dem elektronischen Walleiter und dem elektronischen Wahlrechner, vorzugsweise über ein Telekommunikationsnetzwerk, verbunden ist und das elektronische Wahlsystem programmtechnisch so eingerichtet ist, daß es nach dem Telekommunikationsprotokoll zur anonymen und authentischen Abwicklung einer elektronischen Wahl nach einem der Ansprüche 1 bis 13 arbeitet.14. Electronic voting system for carrying out an electronic election with at least one electronic election manager (validator), preferably a first server computer system, at least one electronic election computer (psephor, urn), preferably a second server computer system, and at least one electronic voting station (Pollster), preferably a client computer system, the electronic voting point being connected to the electronic whale manager and the electronic voting computer, preferably via a telecommunications network, and the electronic voting system being set up in terms of programming so that it is anonymous and authentic according to the telecommunications protocol Processing an electronic election according to one of claims 1 to 13 works.
15. Elektronisches Wahlsystem zur Durchführung einer elektronischen Wahl nach Anspruch 14, dadurch gekennzeichnet, daß der elektronische Wahlleiter und der elektronischer Wahlrechner auf dem gleichen Rechner-System, vorzugsweise einem Server- Rechner-System, vorliegen.15. Electronic voting system for carrying out an electronic election according to claim 14, characterized in that the electronic election manager and the electronic voting computer on the same computer system, preferably a server computer system, are available.
16. Elektronischer Wahlleiter (Validator), vorzugsweise ein Server-Rechner-System, welcher, vorzugsweise über ein Telekommunikationsnetzwerk, mit mindestens einer elektronischen Wahlstelle (Pollster), vorzugsweise einem Client-Rechner-System, verbunden ist, und der elektronische Wahlleiter programmtechnisch so eingerichtet ist, daß er die Berechtigung eines die elektronische Wahlstelle verwendenden Wählers zur Teilnahme an einer elektronischen Wahl prüft, dadurch gekennzeichnet, daß16. Electronic election supervisor (validator), preferably a server computer system, which, preferably via a telecommunications network, is connected to at least one electronic polling station (pollster), preferably a client computer system, and the electronic election supervisor is set up in such a way is that he checks the eligibility of a voter using the electronic voting station to participate in an electronic election, characterized in that
die der Person des Wählers eindeutig zugeordneten Daten und die von dem Wähler getroffene elektronische Wahl in allen Phasen der Verarbeitung auf dem elektronischen Wahlleiter oder Übertragung zum oder vom elektronischen Wahlleiter entwederthe data clearly assigned to the person of the voter and the electronic choice made by the voter in all phases of processing on the electronic election manager or transmission to or from the electronic election manager either
voneinander getrennt oder verschlüsselt oder voneinander getrennt und verschlüsselt vorliegen. separated or encrypted or separated and encrypted.
17. Elektronischer Wahlleiter (Validator) nach Anspruch 16, dadurch gekennzeichnet, daß dieser programmtechnisch so eingerichtet ist, daß er die Berechtigung eines eine elektronische Wahlstelle verwendenden Wählers zur Teilnahme an einer elektronischen Wahl prüft und im Falle der Feststellung der Berechtigung des die elektronische Wahlstelle verwendenden Wählers zur Teilnahme an der elektronischen Wahl einen elektronischen Wahlschein an die Wahlstelle sendet und der elektronische Wahlleiter einen an ihn von der elektronischen Wahlstelle zurückgesandten verschlüsselten elektronischen Wahlschein signiert und dann wieder so von ihm signiert an die elektronische Wahlstelle sendet.17. Electronic election supervisor (validator) according to claim 16, characterized in that it is programmed so that it checks the authorization of a voter using an electronic polling station to participate in an electronic election and in the event of determination of the authorization of the person using the electronic polling station The voter sends an electronic ballot to the polling station to take part in the electronic election and the electronic election supervisor signs an encrypted electronic voting slip sent back to him by the electronic polling station and then sends it signed to the electronic polling station.
18. Elektronischer Wahlrechner (Psephor, Urne), vorzugsweise ein Server-Rechner- System, welcher, vorzugsweise über ein Telekommunikationsnetzwerk, mit mindestens einer elektronischen Wahlstelle (Pollster), vorzugsweise einem Client-Rechner- System, verbunden ist, wobei der elektronische Wahlrechner programmtechnisch so eingerichtet ist, daß er eine Sammlung und/oder Auswertung der, an ihn von der elektronischen Wahlstelle gesendeten elektronischen Wahlscheine vornimmt, dadurch gekennzeichnet, daß18. Electronic voting computer (psephor, urn), preferably a server computer system, which, preferably via a telecommunication network, is connected to at least one electronic polling station (pollster), preferably a client computer system, the electronic voting computer being programmed is set up in such a way that it collects and / or evaluates the electronic voting cards sent to it by the electronic voting point, characterized in that
die der Person des Wählers eindeutig zugeordneten Daten und eine vom Wähler getroffene elektronische Wahl in allen Phasen der Verarbeitung auf dem elektronischen Wahlrechner oder Übertragung zum oder vom elektronischen Wahlleiter entwederthe data clearly assigned to the person of the voter and an electronic choice made by the voter in all phases of processing on the electronic election computer or transmission to or from the electronic election manager either
voneinander getrennt oder verschlüsselt oder voneinander getrennt und verschlüsselt vorliegen.separated or encrypted or separated and encrypted.
19. Elektronischer Wahlrechner (Psephor, Urne) nach Anspruch 18, dadurch gekennzeichnet, daß dieser programmtechnisch so eingerichtet ist, daß auf er nur solche elektronischen Wahlscheine sammelt und/oder auswertet, die auch von einem elektronischen Wahlleiter signiert sind. 19. Electronic voting computer (psephor, urn) according to claim 18, characterized in that this is set up so that it collects and / or evaluates only those electronic voting cards that are also signed by an electronic election manager.
20. Elektronischer Wahlrechner (Psephor, Urne) nach Anspruch 16 oder 17, dadurch gekennzeichnet, daß der elektronische Wahlrechner die Auswertung in Form einer Zählung, vorzugsweise nach Wahlkategorien, der jeweils getroffenen Wahl vornimmt.20. Electronic voting calculator (psephor, urn) according to claim 16 or 17, characterized in that the electronic voting calculator makes the evaluation in the form of a count, preferably according to choice categories, the choice made.
21. Elektronische Wahlstelle (Pollster), vorzugsweise ein Client-Rechner-System, welche, vorzugsweise über ein Telekommunikationsnetzwerk, mit einem elektronischen Wahlleiter (Validator), vorzugsweise einem ersten Server-Rechner-System und einem elektronischen Wahlrechner (Psephor, Urne), vorzugsweise einem zweiten Server- Rechner-System, verbunden ist, dadurch gekennzeichnet, daß sie programmtechnisch so eingerichtet ist, daß sie ihren Kommunikationsverkehr zum elektronischem Wahlleiter und zum elektronischen Wahlrechner nach dem Telekommunikationsprotokoll zur anonymen und authentischen Abwicklung einer elektronischen Wahl nach einem der Ansprüche 1 - 13 abwickelt.21. Electronic polling station (pollster), preferably a client computer system, which, preferably via a telecommunications network, with an electronic election manager (validator), preferably a first server computer system and an electronic voting computer (psephor, urn), preferably a second server computer system is connected, characterized in that it is set up in terms of programming so that it communicates with the electronic election manager and the electronic election computer according to the telecommunications protocol for the anonymous and authentic handling of an electronic election according to one of claims 1-13 unwinds.
22. Elektronische Wahlstelle (Pollster) nach Anspruch 21, dadurch gekennzeichnet, daß die elektronische Wahlstelle eine Lesevorrichtung zum Lesen eines elektronisch lesbaren Datenträgers, vorzugsweise eines nicht wiederbeschreibbaren Datenträgers, besonders bevorzugterweise einer Chipkarte (4) oder einer CD-ROM oder auch einer DVD, aufweist, die zur Authentifizierung oder Identifikation des Wählers mittels des nicht wiederbeschreibbaren Datenträgers dient.22. Electronic polling station (pollster) according to claim 21, characterized in that the electronic polling station is a reading device for reading an electronically readable data carrier, preferably a non-rewritable data carrier, particularly preferably a chip card (4) or a CD-ROM or a DVD, has, which serves for authentication or identification of the voter by means of the non-rewritable data carrier.
23. Elektronische Wahlstelle (Pollster) nach Anspruch 21 oder 22, dadurch gekennzeichnet, daß die elektronische Wahlstelle eine Lesevorrichtung zur Durchführung einer biometrischen Identifikation, vorzugsweise einen Retina-Scanner oder ein Fingerabdrucklesegerät, besonders bevorzugterweise ein Sensorfeld (2), aufweist, die zur Identifikation des Wählers dient.23. Electronic polling station (pollster) according to claim 21 or 22, characterized in that the electronic polling station has a reading device for carrying out a biometric identification, preferably a retina scanner or a fingerprint reader, particularly preferably a sensor field (2), for identification of the voter.
24. Elektronische Wahlstelle (Pollster) nach Anspruch 21, 22 oder 23, dadurch gekennzeichnet, daß die elektronische Wahlstelle ein elektronisches Stimmabgabe-Panel (1) aufweist. 24. Electronic polling station (pollster) according to claim 21, 22 or 23, characterized in that the electronic polling station has an electronic voting panel (1).
25. Elektronische Wahlstelle (Pollster) nach einem der Ansprüche 21, 22, 23 oder 24, dadurch gekennzeichnet, daß die zum Betrieb der elektronischen Wahlstelle benötigten Software-Module auf nicht wiederbeschreibbarem Datenträger, vorzugsweise auf CD- ROM oder auf DVD vorliegen.25. Electronic voting point (pollster) according to one of claims 21, 22, 23 or 24, characterized in that the software modules required for operating the electronic voting point are available on non-rewritable data carriers, preferably on CD-ROM or DVD.
26. Computerprogrammprodukt mit Computerprogramm-Code-Mittel zum Laden in den Speicher eines Computers, wobei die Computerprogramm-Code-Mittel nach ihrem Laden einen Computer zum Betrieb des Telekommunikationsprotokolls nach einem der Ansprüche 1 bis 13 veranlassen, während das Computerprogramm auf dem Computer abläuft.26. A computer program product with computer program code means for loading into the memory of a computer, the computer program code means, after being loaded, causing a computer to operate the telecommunications protocol according to one of claims 1 to 13 while the computer program is running on the computer.
27. Computerprogramm auf einem elektronischen Trägersignal zum Laden in den Speicher eines Computers, welches nach Laden des Computerprogramms in den jeweiligen Computer diesen zum Betrieb des Telekommunikationsprotokolls nach einem der Ansprüche 1 bis 13 veranlaßt, während das Computerprogramm auf dem Computer abläuft. 27. Computer program on an electronic carrier signal for loading into the memory of a computer which, after loading the computer program into the respective computer, causes it to operate the telecommunication protocol according to one of claims 1 to 13 while the computer program is running on the computer.
PCT/DE2001/002334 2001-02-05 2001-06-28 Telecommunications protocol, system and devices for anonymous, validated electronic polling WO2002063824A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
EP01951428A EP1358734A1 (en) 2001-02-05 2001-06-28 Telecommunications protocol, system and devices for anonymous, validated electronic polling
DE10195983T DE10195983D2 (en) 2001-02-05 2001-06-28 Telecommunications protocol, system and devices for the anonymous and authentic handling of an electronic election

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10105334 2001-02-05
DE10105334.7 2001-02-05

Publications (1)

Publication Number Publication Date
WO2002063824A1 true WO2002063824A1 (en) 2002-08-15

Family

ID=7673026

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2001/002334 WO2002063824A1 (en) 2001-02-05 2001-06-28 Telecommunications protocol, system and devices for anonymous, validated electronic polling

Country Status (3)

Country Link
EP (1) EP1358734A1 (en)
DE (1) DE10195983D2 (en)
WO (1) WO2002063824A1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006000245A1 (en) * 2004-06-28 2006-01-05 Genactis, Sarl Transmission of anonymous information through a communication network
US7925372B2 (en) 2003-10-17 2011-04-12 Trinary Anlagenbau Gmbh Neutral data computer control system for a machine tool used to produce workpieces with a threaded surface and associated machine tool
US8402550B2 (en) 2003-10-17 2013-03-19 Trinary Anlagenbau Gmbh Method and device for preventing a control error of a machine tool
DE102011122031A1 (en) * 2011-12-22 2013-06-27 Giesecke & Devrient Gmbh Political science, association-technical, work-technical, electronic selection process securing method, involves decrypting data set for evaluating selection information of voter by voting evaluation instance

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6081793A (en) * 1997-12-30 2000-06-27 International Business Machines Corporation Method and system for secure computer moderated voting

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6081793A (en) * 1997-12-30 2000-06-27 International Business Machines Corporation Method and system for secure computer moderated voting

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
BONETTI P ET AL: "The Italian academic community's electronic voting system", COMPUTER NETWORKS, ELSEVIER SCIENCE PUBLISHERS B.V., AMSTERDAM, NL, vol. 34, no. 6, December 2000 (2000-12-01), pages 851 - 860, XP004304824, ISSN: 1389-1286 *
CRANOR L F ET AL: "SENSUS: A SECURITY-CONSCIOUS ELECTRONIC POLLING SYSTEM FOR THE INTERNET", PROCEEDINGS OF THE HAWAII INTERNATIONAL CONFERENCE ON SYSTEM SCIENCES, XX, XX, vol. 3, 7 January 1997 (1997-01-07), pages 561 - 570, XP002929749 *
MU Y ET AL: "ANONYMOUS SECURE E-VOTING OVER A NETWORK", PROCEEDINGS. ANNUAL COMPUTER SECURITY APPLICATIONS CONFERENCE, XX, XX, vol. 14, CONF, 1998, pages 293 - 299, XP000869577 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7925372B2 (en) 2003-10-17 2011-04-12 Trinary Anlagenbau Gmbh Neutral data computer control system for a machine tool used to produce workpieces with a threaded surface and associated machine tool
US7983786B2 (en) 2003-10-17 2011-07-19 Trinary Anlagenbau Gmbh Neutral data computer control system for a machine tool used to produce workpieces with a threaded surface and associated machine tool
US8402550B2 (en) 2003-10-17 2013-03-19 Trinary Anlagenbau Gmbh Method and device for preventing a control error of a machine tool
WO2006000245A1 (en) * 2004-06-28 2006-01-05 Genactis, Sarl Transmission of anonymous information through a communication network
DE102011122031A1 (en) * 2011-12-22 2013-06-27 Giesecke & Devrient Gmbh Political science, association-technical, work-technical, electronic selection process securing method, involves decrypting data set for evaluating selection information of voter by voting evaluation instance

Also Published As

Publication number Publication date
EP1358734A1 (en) 2003-11-05
DE10195983D2 (en) 2004-01-22

Similar Documents

Publication Publication Date Title
DE3303846C2 (en)
DE3841393C2 (en) Reliable system for determining document authenticity
DE69919020T2 (en) METHOD AND SYSTEM FOR IMPLEMENTING QUICK ELECTRONIC LOTTERIES
DE10124111B4 (en) System and method for distributed group management
EP2013811B1 (en) Method and device for the pseudonymization of digital data
EP2087472B1 (en) Electronic online voting system
EP0440914A2 (en) Method for allocating information data to a certain sender
WO2004114173A2 (en) Product protection gateway and method for authenticity checking of products
EP2438707A2 (en) Pseudonymized authentication
DE102012206341A1 (en) Shared encryption of data
EP3452941A1 (en) Method for electronically documenting license information
EP3561782B1 (en) Voting method
DE102008028701A1 (en) A method and system for generating a derived electronic identity from an electronic master identity
DE60122349T2 (en) METHODS FOR PRODUCING PROOF TESTS FOR SENDING AND RECEIVING AN ELECTRONIC WRITING AND ITS CONTENTS THROUGH A NETWORK
WO2002063824A1 (en) Telecommunications protocol, system and devices for anonymous, validated electronic polling
DE602005000234T2 (en) Method for the secure query of delivery notes for items
EP3734478A1 (en) Method for allocating certificates, management system, use of same, technical system, system component and use of identity provider
DE102007014175A1 (en) Votes, elections and collaborative assessment processing system, has client units by which user identifies voting authorizer indirectly over network and/or communication channel, where client units are connected with server units
EP1625467B1 (en) Electronic transmission of documents
DE102010052170A1 (en) Method for electronic voting via a mobile radio network
WO2020144123A1 (en) Method and system for information transmission
EP1854241A1 (en) Method for preparation of electronic certificates for use in electronic signatures
DE10325491A1 (en) Voting method with generation and control of voting slips from geographically distributed computers connected via e.g. Internet, and using electronic signatures
DE102018109240A1 (en) Multi-chain based method and system for permanent, anonymous and tamper-proof management and proof of consent to send electronic messages
WO1999057688A1 (en) Method for proving the authenticity of documents

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ PL PT RO RU SD SE SG SI SK SL TJ TM TR TT TZ UA UG US UZ VN YU ZA ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZW AM AZ BY KG KZ MD RU TJ TM AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE TR BF BJ CF CG CI CM GA GN GW ML MR NE SN TD TG

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2001951428

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 2001951428

Country of ref document: EP

REF Corresponds to

Ref document number: 10195983

Country of ref document: DE

Date of ref document: 20040122

Kind code of ref document: P

WWE Wipo information: entry into national phase

Ref document number: 10195983

Country of ref document: DE

WWW Wipo information: withdrawn in national office

Ref document number: 2001951428

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: JP