Прямая запись в электронном виде с целостностью - Direct Recording Electronic with integrity

Прямая запись в электронном виде безупречно (DRE-i) - это Сквозное (E2E) электронное голосование с возможностью проверки система, впервые разработанная Фэн Хао и Мэтью Кригером в 2010 году ^[1] и официально опубликовано в 2014 году с дополнительными авторами Брайан Рэнделл, Дилан Кларк, Сиамак Шахандашти и Питер Хен-Джин Ли. ^[2]

DRE-i - первая система электронного голосования, которую можно проверить E2E, без участия каких-либо органов подсчета голосов. Авторы называют такую систему голосования E2E без полномочий подсчета "саморегулирующимся электронным голосованием".^[2] Удаление органов подсчета голосов реализовано в DRE-i путем предварительного вычисления зашифрованных бюллетеней структурированным образом, так что после выборов умножение зашифрованных текстов отменяет все случайные факторы, что позволяет любому общественному наблюдателю проверить целостность подсчета. Улучшенная версия под названием DRE-i с повышенной конфиденциальностью (DRE-ip), который использует стратегию вычислений в реальном времени вместо стратегии предварительного вычисления, был успешно опробован на избирательном участке в Гейтсхеде во время местных выборов в Великобритании в 2019 году.^[3]

Протокол

Позволять ${ displaystyle p}$ и ${ displaystyle q}$ быть двумя большими простыми числами, где ${ textstyle q , | , p-1}$ . Позволять ${ displaystyle g}$ быть генератором подгруппы ${ Displaystyle Z_ {p} ^ {*}}$ первого порядка ${ displaystyle q}$ . Параметры ${ displaystyle (p, q, g)}$ публично согласованы перед выборами. Все операции по модулю выполняются по модулю ${ displaystyle p}$ . Протокол также может быть реализован с использованием эллиптическая кривая, а спецификация остается прежней.

В следующем примере протокол поясняется в контексте выборов «да / нет» по одному кандидату, проводимых на контролируемых избирательных участках с использованием сенсорного экрана. DRE машины. Существуют стандартные способы расширить выборы одного кандидата для поддержки нескольких кандидатов, например, предоставив выбор Да / Нет для каждого из кандидатов или используя закодированные значения для кандидатов. Протокол также может быть реализован для Интернет-голосования, как это сделано для проверяемого голосования в классе.^[4]

Протокол DRE-i состоит из трех этапов: настройка, голосование и подсчет.

Настраивать

Реализация DRE-i может включать в себя сервер и распределенных клиентов DRE, которые подключаются к серверу через защищенный канал. Перед выборами сервер предварительно вычисляет таблицу, как показано ниже.

Настройка выборов
Бюллетень № ${ displaystyle i}$	Случайный открытый ключ ${ displaystyle g ^ {x_ {i}}}$	Реструктурированный открытый ключ ${ displaystyle g ^ {y_ {i}}}$	Криптограмма положительного голосования	Криптограмма отказа от голосования
${ displaystyle 1}$	${ displaystyle g ^ {x_ {1}}}$	${ displaystyle g ^ {y_ {1}}}$	${ displaystyle g ^ {x_ {1} y_ {1}}}$ , 1-из-2 ЗКП	${ displaystyle g ^ {x_ {1} y_ {1}} g}$ , 1-из-2 ЗКП
${ displaystyle 2}$	${ displaystyle g ^ {x_ {2}}}$	${ displaystyle g ^ {y_ {2}}}$	${ displaystyle g ^ {x_ {2} y_ {2}}}$ , 1-из-2 ЗКП	${ displaystyle g ^ {x_ {2} y_ {2}} g}$ , 1-из-2 ЗКП
...	...	...	...	...
${ displaystyle n}$	${ displaystyle g ^ {x_ {n}}}$	${ displaystyle g ^ {y_ {n}}}$	${ displaystyle g ^ {x_ {n} y_ {n}}}$ , 1-из-2 ЗКП	${ displaystyle g ^ {x_ {n} y_ {n}} g}$ , 1-из-2 ЗКП

Таблица содержит ${ displaystyle n}$ строки, каждая из которых соответствует бюллетеню. Номер ${ displaystyle n}$ превышает максимальное количество имеющих право голоса избирателей для проведения проверки избирателей. Для каждого из ${ displaystyle n}$ бюллетени, сервер выбирает случайный секретный ключ ${ displaystyle x_ {i} in _ {R} [1, q-1]}$ и вычисляет соответствующий открытый ключ ${ displaystyle g ^ {x_ {i}}}$ . Когда это будет сделано для всех бюллетеней, сервер вычисляет реструктурированный открытый ключ для каждого бюллетеня следующим образом:

{ displaystyle g ^ {y_ {i}} = prod _ {j i} g ^ {x_ {j}}}

Значение Да / Нет в каждом бюллетене зашифровано в виде ${ displaystyle C_ {i} = g ^ {x_ {i} y_ {i}} cdot g ^ {v_ {i}}}$ куда ${ displaystyle v_ {i}}$ = 0 для «Нет» и 1 для «Да». Кроме того, машина вычисляет 1 из 2 Доказательство с нулевым разглашением (ZKP) для каждого значения Да / Нет. Это необходимо для обеспечения правильного формирования зашифрованного голосования. Другими словами, ценность голоса ${ displaystyle v_ {i}}$ может быть только 0 или 1. Когда предварительное вычисление завершено, сервер публикует все случайные открытые ключи и реструктурированные открытые ключи (первые три столбца таблицы настройки), сохраняя в секрете криптограммы Да и Нет (последние два столбца) .

Голосование

После аутентификации на избирательном участке избиратель получает случайный пароль или смарт-карту и входит в клиент DRE в частной кабине для голосования. Голосование состоит из двух основных этапов.

На первом этапе избиратель выбирает вариант «Да» или «Нет» для кандидата, показанного на сенсорном экране. После выбора аппарат DRE печатает на бумажной квитанции следующие данные: серийный номер бюллетеня. ${ displaystyle i}$ , и криптограмма выбранного варианта, а также цифровая подпись для подтверждения подлинности данных.

На втором этапе избиратель может подтвердить или отменить предыдущий выбор. Если выбран вариант подтверждения, аппарат печатает на бумажной квитанции отметку «Готово» с цифровой подписью, чтобы указать, что был подан действительный бюллетень. С другой стороны, если выбрана опция отмены, аппарат печатает отмененный выбор кандидата в виде обычного текста и другой криптограммы вместе с цифровой подписью. В этом случае был подан фиктивный голос. Избиратель должен проверить, соответствует ли отмененный выбор кандидата, напечатанный в квитанции, его выбору; в противном случае необходимо передать спор перед сотрудниками избирательной комиссии на избирательном участке. Эта опция «подтвердить / отменить» позволяет избирателю убедиться, что голос «подан так, как предполагалось». Избиратель может подать столько фиктивных голосов, сколько пожелает (с учетом разумного ограничения), но ему разрешено отдать только один действительный голос.

Все квитанции публикуются на общедоступной доске объявлений (т. Е. На зеркальном публичном веб-сайте) вместе с цифровыми подписями для подтверждения подлинности данных. После голосования избиратель выходит из кабины для голосования с квитанцией (или более одной квитанцией, если избиратель решает аннулировать бюллетени). Избиратель проверяет, опубликовано ли такое же содержание квитанции на доске объявлений. Это гарантирует, что их голос будет «зарегистрирован как отданный».

Подсчет

Когда выборы завершены, сервер объявляет подсчет голосов «Да». Кроме того, он публикует криптограммы «Да» и «Нет» для всех неиспользованных бюллетеней на доске объявлений, как если бы они были аннулированы избирателями. Пример доски объявлений после выборов показан ниже.

Пример доски объявлений после выборов
Бюллетень № ${ displaystyle i}$	Случайный открытый ключ ${ displaystyle g ^ {x_ {i}}}$	Реструктурированный открытый ключ ${ displaystyle g ^ {y_ {i}}}$	Опубликованные голоса ${ displaystyle V_ {i}}$	ЗКП
${ displaystyle 1}$	${ displaystyle g ^ {x_ {1}}}$	${ displaystyle g ^ {y_ {1}}}$	Действительный: ${ displaystyle g ^ {x_ {1} y_ {1}}}$	1-из-2 ZKP
${ displaystyle 2}$	${ displaystyle g ^ {x_ {2}}}$	${ displaystyle g ^ {y_ {2}}}$	действительный: ${ displaystyle g ^ {x_ {2} y_ {2}}}$	1-из-2 ZKP
${ displaystyle 3}$	${ displaystyle g ^ {x_ {3}}}$	${ displaystyle g ^ {y_ {3}}}$	Отменено: ${ displaystyle g ^ {x_ {3} y_ {3}}}$ , ${ displaystyle g ^ {x_ {3} y_ {3}} cdot g}$	два ЗКП типа 1 из 2
...	...	...	...	...
${ displaystyle n}$	${ displaystyle g ^ {x_ {n}}}$	${ displaystyle g ^ {y_ {n}}}$	Не используется: ${ displaystyle g ^ {x_ {n} y_ {n}}}$ , ${ displaystyle g ^ {x_ {n} y_ {n}} cdot g}$	два ЗКП типа 1 из 2

Чтобы проверить результат, объявленный сервером, просто умножают все опубликованные голоса. ${ displaystyle V_ {i}}$ . Для отмененных (фиктивных) и неиспользованных голосов в умножение включаются только голоса против.

{ displaystyle prod _ {i} V_ {i} = prod _ {i} g ^ {x_ {i} y_ {i}} g ^ {v_ {i}} = prod _ {i} g ^ { v_ {i}} = g ^ { sum _ {i} v_ {i}}}

В приведенном выше вычислении все случайные факторы исключаются из экспоненты, поскольку ${ textstyle сумма _ {я} {x_ {i} y_ {i}} = 0}$ на основе техники отмены, используемой в Анонимная сеть вето. Остается только ${ textstyle сумма _ {я} v_ {я}}$ на показатель степени. Чтобы проверить счет ${ displaystyle t}$ объявленный сервером, нужно просто проверить, выполняется ли следующее уравнение. Это гарантирует, что все голоса «подсчитываются как зарегистрированные», что вместе с ранее полученной гарантией «поданных как предполагалось» и «записанных как поданных» обеспечивает сквозную проверку всего процесса голосования.

{ displaystyle prod _ {i} V_ {i} ; { overset {?} {=}} ; g ^ {t}}

Реализация и практическое применение

Прототип проверяемой системы голосования в классе, основанный на протоколе DRE-i, был реализован в педагогических целях и использовался для голосования в классе и конкурсов студенческих призов.^[4]

Ограничение

Протокол DRE-i работает путем предварительного вычисления зашифрованных бюллетеней. Однако предварительно подсчитанные бюллетени необходимо надежно хранить. Если предварительно подсчитанные бюллетени будут раскрыты, тайна голосования будет нарушена (однако целостность подсчета голосов останется неизменной, что гарантируется сквозной проверяемостью). Это ограничение устраняется путем использования другой стратегии вычислений в реальном времени, которая приводит к усовершенствованному протоколу, называемому DRE-i с повышенной конфиденциальностью (DRE-ip). Протоколы DRE-i и DRE-ip поддаются сквозной проверке без органов подсчета, в отличие от других проверяемых схем электронного голосования E2E, которые включают органы подсчета для выполнения операций дешифрования и подсчета.

Смотрите также

Машина для голосования DRE