Verifizierte anonyme Online-Abstimmung

Aus Piratenwiki
Wechseln zu: Navigation, Suche

Anmerkung: Es geht hier nicht um ein Verfahren, um mittels Kryptographie digital eine Urne zu simulieren.

tl;dr

  • Wenn man in einer echten Urne in einer geheimen Wahl eine Anzahl von Pseudonymen sammelt und diese anschließend veröffentlicht, kann man unter Verwendung dieser Pseudonyme offene Abstimmungen mit Hilfe eines Online-Tools durchführen. Das Verfahren ist damit in seiner Gesamtheit sicher, nachvollziehbar, computerunterstützt und trotzdem geheim.
  • Verbindet man das Verfahren mit einer Signierung der Stimmabgabe mit aysmmetrischen Schlüsseln und veröffentlicht alle elektronischen Stimmabgaben, dann lassen sich selbst Manipulationen der Stimmauszählung innerhalb des Computers ausschließen.

Das Problem

In unserer Partei stehen große Projekte an. Viele wünschen sich, dass LiquidFeedback eine bessere Repräsentativität und in Verbindung damit eine größere Bedeutung in der parteiinternen Meinungsbildung und Meinungsabbildung bekommt. Die Einrichtung eines ständigen Online-Parteitages, auf dem verbindliche Entscheiunden getroffen werden können, wird intensiv diskutiert und auch in Form eines Antrags auf dem kommenden Bundesparteitag eingebracht. Die 2.0-Version von LiquidFeedback und das sich in Arbeit befindliche und von vielen erwartete neue Interface werden ihr übriges tun, um den Online-Abstimmungstools einen Push zu geben und die Online-Abstimmung von Initiativen und Anträgen in unserer Partei voranzubringen.

Dabei entbrennt allerdings ein heftiger Konflikt. Das Wahlcomputer-Dilemma besagt, dass sichere, geheime und nachvollziehbare Online-Abstimmungen nicht möglich sind. Ein reines Online-Tool, in dem verbindliche Entscheidungen geheim getroffen werden sollen, ist technisich derzeit nicht möglich, da ein heutiger Computer die Wahlurne, die bei offline Abstimmungen eine geheime und dennoch nachvollziehbare Wahl möglich macht, nicht nachbilden kann.

Beim Einwurf des Stimmzettels an der Wahlurne geschieht folgendes: Einerseits kann die Person des Abstimmenden von allen bei der Abgabe der Stimme beobachtet werden. Gibt es Einwände dagegen, dass diese Person abstimmen darf, können sie geltend gemacht werden. Gleichzeitig wird am Schlitz der Urne das konkrete Stimmverhalten der abstimmenden Person, das auf ihrem Stimmzettel dokumentiert ist, von der abstimmenden Person getrennt. Zusammen mit der anschließenden Mischung der Stimmzettel in der Wahlurne untereinander wird so eine Anonymisierung der Wahl hergestellt, bei der gleichzeitig zwar nachvollziehbar ist, wer alles abgestimmt hat und wie die Abstimmenden gemeinsam abgestimmt haben, aber nicht, wer im Einzelnen wie abgestimmt hat.

Ein Computer kann dies allerdings nicht leisten, da es ihm nicht gelingt, voneinander nicht zu unterscheidende Stimmzettel manipulationssicher zu mischen, wie es die Urne macht. Entweder ist die Wahl geheim, dann kann ich nicht sicher nachvollziehen, wer alles gewählt hat (und ob alle Stimmen, die abgegeben wurden, wirklich von stimmberechtigen Personen abgegeben wurden). Oder aber, ich kann jede Stimmabgabe eindeutig einer Person zuordnen und damit die Wahl vor Manipulationen sichern, beraube damit die Abstimmung aber gleichzeitig ihrer Eigenschaft, geheim zu sein.

Stelle ich die Anonymisierung als Kompromiss dadurch her, dass die stimmberechtigten zwar namentlich abstimmen, ihre Stimme aber dann von einer zentralen Autorisierungsinstanz (z. B. der Mitgliederverwaltung) anonymisiert wird (oder aber, was aufs selbe heraus kommt, alle Stimmberechtigten von der zentralen Autorisierungsinstanz einen Schlüssel oder ein Pseudonym zugeteilt bekommen), dann kann die Abstimmung zwar für alle außer denen, die Zugriff auf die Autorisierungsinstanz haben, geheim und sicher sein, allerdings ist sie dann für alle, die keinen Einblick in die Autorisierungsdaten nehmen dürfen, nicht mehr nachvollziehbar. Werden diese Daten wiederum geleakt, dann ist die Wahl zwar wieder nachvollziehbar, aber eben nicht mehr geheim.

Wie man es auch dreht und wendet: Eine sichere, geheime, nachvollziehbare Online-Abstimmung ist also nicht möglich. Man muss an irgendeiner Stelle Abstriche machen. Während nun die einen generell offene Abstimmungen fordern, und damit auf das Kriterium der geheimen Abstimmung verzichten wollen, weisen die anderen dies mit Hinweis auf Datenschutz und der Notwendigkeit einer freien Meinungsäußerung zurück, die nur in einer geheimen Abstimmung möglich sind. Sie wollen lieber auf die Nachvollziehbarkeit verzichten und das Tool aufgrund der dann fehlenden öffentlich sichtbaren Garantie einer manipulationsfreien Abstimmung nur für Meinungsbilder nutzen, die nicht verbindlich sind. Die Argumente beider Seiten sind gewichtig und valide, alle vorgeschlagenen Lösungen jedoch durchwegs unbefriedigend - ein scharfer und emotional geführter Konflikt ist vorprogrammiert.

Dennoch: Wenn sichere, geheime, nachvollziehbare Online-Abstimmungen nicht möglich sind, müssen wir auf ein Kennzeichen solcher Abstimmungen verzichten, und miteinander aushandeln, welches Kriterium das ist.

Eine Lösungsidee

VAOV schema 1.png
VAOV schema 2.png

An dieser Stelle wird gerne übersehen, dass wir nicht nur über drei Kriterien verhandeln, von denen eines zumindest teilweise fallengelassen werden muss, sondern vier. Schließlich ist ja eine sichere, geheime, nachvollziehbare Abstimmung generell möglich, unmöglich wird erst die sichere, geheime und nachvollziehbare Online-Abstimmung.

Dies erscheint ersteinmal wie ein Gemeinplatz, weil das Online-Kriterium ja gerade das ist, was uns ausufernde Parteitage mit zehn Millionen Stimmberechtigten ersparen soll. Es ist jedoch gar nicht nötig, komplett auf die Hilfe von Computer und Internet zu verzichten. Es genügt, an einer entscheidenden Stelle von online zu offline zu wechseln.

Das Wahlcomputer-Dilemma liegt darin begründet, dass ein heutiger Computer die Wahlurne nicht nachbilden kann. Also müssen wir den Computer um eine Urne ergänzen, um ihn für sichere und geheime Stimmabgaben verwenden zu können, die trotzdem nachvollziehbar sind.

Der Urnenprozess zur Verifikation für das Verifizierte Anonyme Online-Voting

Dies könnte beispielsweise auf einem Parteitag geschehen. Wenn alle Abstimmungen im LiquidFeedback-System (oder einer anderen Plattform) unter Pseudonym möglich sind, allerdings für jedes Pseudonym das Stimmverhalten für alle nachvollziehbar eingesehen werden kann, dann fehlt die Information, welche Pseudonyme tatsächlich stimmberechtigten Piraten zugeordnet werden können, und welche evtl. eine Fälschung o.ä. darstellen. Lässt man nun auf einem Parteitag in eine Urne jeden Stimmberechtigten einen Stimmzettel einwerfen, auf dem ein Pseudonym notiert ist, dann kann man alle dort vorgefundenen Pseudonyme als legitimiert betrachten, und der Parteitag könnte damit im Nachhinein alle Abstimmungsergebnisse aus dem LiquidFeedback-System, die sich aus dem Stimmverhalten dieser bestätigten Pseudonyme ergeben, legitimieren. Theoretisch könnte nun auch in der Zukunft eine Abstimmung unter diesen legitimierten Pseudonymen als legitimiert gelten. Jedoch wäre es nun möglich, dass ich auf dem Parteitag mein eigenes Pseudonym legitimiere, mir nach dem Parteitag jemand allerdings das Pseudonym entreißt und das Passwort ändert.

Da die Beziehung zwischen Stimmberechtigen und verifiziertem Pseudonym anonym ist, habe ich dann keine Möglichkeit, mein Pseudonym zurückzufordern oder zumindest für ungültig zu erklären. Auch kann ich den Vorwurf, mein Pseudonym sei gestohlen, nicht beweisen.

Dieses neue Dilemma ließe sich nun wiederum auf komplizierte Weise mit nummerierten Stimmzetteln lösen, die durch die Stimmberechtigten aus einer Urne geheim gezogen werden. Wenn mir von einem solchen Stimmzettel ein fälschungssicherer Quittungsabschnitt verbleibt, auf dem die Nummer des Stimmzettels vermerkt wird, kann ich ggf. unter Vorlage des Quittungsabschnitts die Anonymität aufheben und die Sperrung eines Pseudonyms beantragen. Eleganter geht das ganze aber mit asymetrischen elektronischen Schlüsseln.

Bei diesen Schlüsselverfahren werden durch eine mathematische Operation immer je zwei Schlüssel erzeugt, ein öffentlicher und ein privater. Eine Nachricht, die ich mit meinem privaten Schlüssel verschlüssele, kann von jedem anderen mit meinem öffentlichen Schlüssel entschlüsselt werden. Dadurch, dass meine Nachricht mit meinem öffentlichen Schlüssel entschlüsselbar ist, kann ich gleichzeitig beweisen, dass die Nachricht von mir selbst stammen muss, ich kann die Nachricht signieren.

Für unsere Aufgabe bedeutet das folgendes: Wenn auf einem Parteitag alle Stimmberechtigten ihren öffentlichen Schlüssel in eine Urne einlegen, erhalte ich nach dem Öffnen der Urne ein Verzeichnis der öffentlichen Schlüssel aller Stimmberechtigten. Wird nun in der Folgezeit eine Stimmabgabe, die ja auch nichts anderes als eine Nachricht ist, mit einem privaten Schlüssel verschlüsselt, zu dem einer der vorher in der Urne enthaltenen öffentlichen Schlüssel passt, dann ist für alle nachvollziehbar, dass die Stimmabgabe von einem stimmberechtigten Mitglied stammen muss.

Durch diesen Verifikationsmechanismus wird gleichsam eine offene Online-Abstimmung, die sicher und nachvollziehbar ist, per Urnenwahl anonymisiert. Wir haben das Verfahren daher „verifizierte anonyme Online-Abstimmung“ genannt.

Das Verfahren, das in Grundzügen bereits vor einiger Zeit von Johannes Ponader in seinem Blog vorgestellt wurde, wurde zusammen mit Dunkelzahn verfeinert und um wichtige Details ergänzt. Lennart Dührsen hat das Verfahren - hier unter Einbeziehung einer Briefwahlmöglichkeit - in die untenstehende Grafik gegossen, die unter Datei:VAOV schema.pdf als pdf verfügbar ist.