Punchscan - Punchscan

Punchscan
Разработчики)	Ричард Карбэк, Дэвид Чаум, Джереми Кларк, Алекс Эссекс, и Стефан Поповенюк.
Стабильный выпуск	1.0 (2 ноября 2006 г.) [±]
Предварительный выпуск	1.5 (16 июля 2007 г.) [±]
Написано в	Ява
Операционная система	Кроссплатформенность
Доступно в	английский
Тип	система подсчета голосов
Лицензия	Пересмотрено Лицензия BSD
Интернет сайт	http://punchscan.org/

Punchscan является оптическое сканирование система подсчета голосов изобретен криптограф Дэвид Чаум. Punchscan разработан для обеспечения целостности, конфиденциальности и прозрачности. Система проверяется избирателями, обеспечивает сквозной (E2E) аудит механизм и выдает бюллетень каждому избирателю. Система получила главный приз на конкурсе 2007 г. Конкурс университетских систем голосования.

В компьютерное программное обеспечение который включает в себя Punchscan Открытый исходный код; то исходный код был выпущен 2 ноября 2006 г. Лицензия BSD.^[1] Однако Punchscan не зависит от программного обеспечения; он черпает свою безопасность из криптографический функции вместо того, чтобы полагаться на безопасность программного обеспечения подобно Машины для голосования DRE. По этой причине Punchscan можно запускать на закрытый исходный код операционные системы, подобно Майкрософт Виндоус, и при этом сохранять безусловную целостность.

Команда Punchscan с дополнительными участниками с тех пор разработала Скупость.

Порядок голосования

Помеченный бюллетень Punchscan. Полный бюллетень (вверху), отдельный бюллетень (внизу).

Punchscan бюллетень имеет два слоя бумаги. На верхнем слое значок кандидаты перечислены с символ или же письмо рядом с их именем. Под списком кандидатов есть ряд круглых отверстий в верхнем слое бюллетеня. Внутри отверстий нижнего слоя напечатаны соответствующие символы.

Чтобы проголосовать за кандидата, избиратель должен найти отверстие с символом, соответствующим символу рядом с именем кандидата. Это отверстие отмечено значком Бинго чернильный мазок в стиле, который намеренно больше отверстия. Затем избиратель отделяет бюллетень, выбирает верхний или нижний слой, чтобы оставить его в качестве квитанция, и клочья другой слой. Квитанция сканированный на избирательном участке для табулирование.

Порядок символов рядом с именами кандидатов генерируется случайно для каждого бюллетеня и, следовательно, отличается от бюллетеня к бюллетеню. То же самое и с порядком расположения символов в отверстиях. По этой причине квитанция не содержит достаточно информации, чтобы определить, за какого кандидата был отдан голос. Если оставить верхний слой, порядок прохождения символов через отверстия неизвестен. Если нижний слой сохраняется, порядок символов рядом с именем кандидата неизвестен. Следовательно, избиратель не может кому-либо доказать, как он проголосовал, что мешает покупка голосов или запугивание избирателей.

Процедура подведения итогов

В качестве примера рассмотрим выборы двух кандидатов между Кокс и Пепси, как показано на предыдущей диаграмме. Порядок букв рядом с именами кандидатов может быть следующим: A, затем B, или B, а затем A. Мы будем называть этот порядок ${displaystyle P_ {1}}$ , и разреши ${displaystyle P_ {1}}$ = 0 для прежнего порядка и ${displaystyle P_ {1}}$ = 1 для последнего. Следовательно,

${displaystyle P_ {1}}$ : порядок символов рядом со списком кандидатов,

{displaystyle P_ {1} в {0,1} = {{mbox {AB}}, {mbox {BA}}},}

.

Точно так же мы можем сделать обобщение для других частей бюллетеня:

${displaystyle P_ {2}}$ : порядок символов через отверстия,

{displaystyle P_ {2} в {0,1} = {{mbox {AB}}, {mbox {BA}}},}

.

${displaystyle P_ {3}}$ : какое отверстие отмечено,

{displaystyle P_ {3} in {0,1} = {{mbox {1st}}, {mbox {2nd}}},}

.

${displaystyle R}$ : результат голосования,

{displaystyle Rin {0,1} = {{mbox {Coke}}, {mbox {Pepsi}}},}

.

Обратите внимание, что порядок имен кандидатов фиксируется во всех бюллетенях. Результат голосования может быть рассчитан напрямую как,

{displaystyle R = P_ {1} + P_ {2} + P_ {3} {mod {2}},}

(Уравнение 1)

Однако, когда один слой бюллетеня измельчается, либо ${displaystyle P_ {1}}$ или же ${displaystyle P_ {2}}$ уничтожен. Поэтому информации для расчета ${displaystyle R}$ из чека (который сканируется). Для подсчета результатов выборов электронный база данных используется.

Перед выборами создается база данных с набором столбцов как таковых. Каждая строка в базе данных представляет бюллетень, и порядок, в котором бюллетени хранятся в базе данных, следующий: перетасованный (используя криптографический ключ что каждый кандидат может способствовать ). Первый столбец, ${displaystyle D_ {1}}$ , имеет перетасованный порядок серийных номеров. ${displaystyle D_ {2}}$ содержит псевдослучайный битовый поток генерируется из ключа, и он будет действовать как потоковый шифр. ${displaystyle D_ {3}}$ сохранит промежуточный результат. ${displaystyle D_ {4}}$ содержит такой бит:

{displaystyle D_ {2} + D_ {4} = P_ {1} + P_ {2} {mod {2}},}

Результат каждого голосования будет храниться в отдельной колонке, ${displaystyle R}$ , где снова будет изменен порядок голосования. Таким образом ${displaystyle D_ {5}}$ содержит номер строки в ${displaystyle R}$ столбец, в который будет помещен результат.

После того, как выборы пройдут и ${displaystyle P_ {3}}$ значения были отсканированы, ${displaystyle D_ {3}}$ рассчитывается как:

{displaystyle D_ {3} = P_ {3} + D_ {2} {mod {2}},}

Результат рассчитывается как

{displaystyle R = D_ {3} + D_ {4} {mod {2}},}

Это эквивалентно уравнению 1,

{displaystyle {egin {align} R & = (D_ {3}) + D_ {4} {mod {2}} & = (P_ {3} + D_ {2}) + D_ {4} {mod {2} } & = P_ {3} + (D_ {2} + D_ {4}) {mod {2}} & = P_ {3} + (P_ {1} + P_ {2}) {mod {2} } конец {выровнен}}}

Столбец результатов публикуется и, учитывая, что бюллетени были перетасованы (дважды), порядок столбца результатов не указывает, какой результат от какого номера бюллетеня. Таким образом, избирательная комиссия не может отследить голоса по серийным номерам.

Обобщенная форма

Для выборов с ${displaystyle n}$ кандидатов, описанная выше процедура выполняется с использованием по модулю -n уравнений.

Основные процедуры аудита

В бюллетене избирателя не указано, за какого кандидата проголосовал избиратель, и поэтому это не секретная информация. После выборов избирательная комиссия опубликует изображение каждой квитанции в Интернете. Избиратель может найти свой бюллетень, введя серийный номер, и он может проверить, совпадает ли информация, хранящаяся в избирательном органе, с его бюллетенем. Таким образом, избиратель может быть уверен, что его бюллетень был бросить как задумано.

Любой избиратель или заинтересованная сторона может также проверить часть базы данных, чтобы убедиться, что результаты были рассчитаны правильно. Они не могут проверить всю базу данных, иначе они могут связать голоса с порядковыми номерами бюллетеней. Однако половину базы данных можно безопасно проверить без нарушения конфиденциальности. Случайный выбор между открытием ${displaystyle {D_ {1}, D_ {2}, D_ {3}}}$ или же ${displaystyle {D_ {3}, D_ {4}, D_ {5}}}$ (этот выбор может быть получен из секретного ключа или из правда случайный источник, например игральная кость^[2] или фондовый рынок^[3]). Эта процедура позволяет избирателю быть уверенным в том, что комплект всех бюллетеней засчитывается как актер.

Если все бюллетени засчитывается как актер и бросить как задумано, то все бюллетени засчитывается как предполагалось. Следовательно, честность выборов может быть доказана с очень высокой вероятностью.

Дополнительная безопасность

Чтобы еще больше повысить честность выборов Punchscan, можно предпринять несколько дальнейших шагов для защиты от полностью коррумпированной избирательной комиссии.

Несколько баз данных

С ${displaystyle D_ {1}}$ , ${displaystyle D_ {2}}$ , и ${displaystyle D_ {5}}$ в базе данных все генерируются псевдослучайно, можно создать несколько баз данных с разными случайными значениями для этих столбцов. Каждая база данных независима от других, что позволяет открывать и проверять первую половину некоторых баз данных, а также вторую половину других. Каждая база данных должна давать одинаковые окончательные итоги. Таким образом, если избирательный орган внесет изменения в базу данных, чтобы исказить окончательный результат, им придется вмешиваться в каждую из баз данных. Вероятность обнаружения взлома в ходе аудита возрастает с увеличением количества независимых баз данных.

Обязательства

Перед выборами избирательный орган распечатывает бюллетени и создает базы данных. Часть этого процесса создания включает совершение к уникальной информации, содержащейся в каждом бюллетене и в базах данных. Это достигается путем применения криптографического односторонняя функция к информации. Хотя результат этой функции, обязательство, становится достоянием общественности, фактическая информация остается закрытой. Поскольку функция является односторонней, с вычислительной точки зрения невозможно определить информацию о запечатанном бюллетене, учитывая только его публично опубликованное обязательство.

Проверка бюллетеней

Перед выборами изготавливается вдвое больше бюллетеней, чем предназначено для использования на выборах. Половина бюллетеней выбирается случайным образом (или каждый кандидат может выбрать часть бюллетеней) и вскрывается. Строки в базе данных, соответствующие этим выбранным бюллетеням, можно проверить, чтобы убедиться, что расчеты верны и не подделаны. Поскольку избирательный орган не знает априори какие бюллетени будут выбраны, прохождение этого аудита означает, что база данных сформирована правильно с очень высокой вероятностью. Более того, бюллетени можно проверить на соответствие их обязательствам, чтобы с высокой вероятностью убедиться в правильности обязательств по бюллетеням.

Смотрите также

внешняя ссылка

Домашняя страница проекта
Представление Vocomp - подробный 80-страничный документ, объясняющий все аспекты системы.
Электронная демократия — BBC World с Цифровая планета аудио-интервью с Дэвид Чаум.
Учитывать каждый электронный голос — IEEE Spectrum.
Прозрачное и открытое голосование с Punchscan: Часть I и Часть II
Будущее время аудио-интервью с Дэвид Чаум.

[1] Система школьных выборов Punchscan становится открытым исходным кодом В архиве 2007-09-28 на Wayback Machine. ИТ-бизнес Edge

[2] Арел Кордеро, Дэвид Вагнер и Дэвид Дилл. Роль игральных костей в ревизии выборов - Расширенная аннотация.

[3] Джереми Кларк, Алекс Эссекс, Карлайл Адамс. Безопасный и наблюдаемый аудит электронных систем голосования с использованием фондовых индексов^{[постоянная мертвая ссылка ]}.

[1]

[2]

[3]