TU Darmstadt / ULB / TUbiblio

Privacy and Verifiability in Electronic Voting

Langer, Lucie (2010)
Privacy and Verifiability in Electronic Voting.
Technische Universität Darmstadt
Dissertation, Erstveröffentlichung

Kurzbeschreibung (Abstract)

Privacy and verifiability refer to fundamental principles of democratic elections and therefore belong to the set of established security requirements which each electronic voting scheme is expected to meet. However, very different ideas and opinions about privacy and verifiability exist in the scientific community, which shows that both properties are not well understood yet. Moreover, although the desired properties (captured by the security requirements) should be separated from the assumed adversary model (expressed by adversary capabilities), specific adversary capabilities are inherently assumed for the privacy-related security requirements of receipt-freeness and coercion-resistance, which complicates the analysis of voting schemes. The first part of this thesis presents a taxonomy for privacy and verifiability in electronic voting. We compile the conceivable levels of privacy and verifiability and investigate the relation between both properties. To this end, we introduce a conceptual model capturing both privacy and verifiability. We also provide a comprehensive adversary model for electronic voting by considering different adversary capabilities. The conceptual model, the levels of privacy and verifiability, and the adversary capabilities together form our taxonomy for privacy and verifiability in electronic voting. The presented taxonomy provides a deeper understanding of privacy and verifiability and their correlation in electronic voting. We show how the taxonomy can be used to analyze the security of voting schemes by identifying the level of privacy and verifiability provided depending on the adversary capabilities assumed. Moreover, the taxonomy allows to select appropriate levels of the requirements for different types of elections, and to determine reasonable adversary models for individual election scenarios. The second part of this thesis considers long-term aspects of verifiability in remote electronic voting. The lawfulness of any legally binding election must be provable for several years due to possible scrutiny proceedings. Therefore, specific documents such as the ballots must be retained. The election records are usually retained for the legislative period of the elected body; however, this period may be extended if scrutiny procedures are pending. Retention obligations apply not only to conventional paper-based elections, but also to remote electronic voting. But contrary to the case of paper-based elections, general regulations or guidelines on retention of remote electronic election data have not been issued so far. In particular, the question which records should be retained is yet unanswered. The second part of this thesis sets out to identify the election records that have to be retained in order to prove the proper conduct of a remote electronic election. We derive retention requirements for online elections from legal regulations which apply to Federal Elections for the German Bundestag, and we make recommendations on how to meet these requirements. Establishing Internet voting in parliamentary elections presupposes that its technical implementation meets certain legal requirements, and conclusive retention of election data is one of them. Thus, our work contributes to establishing online voting as an additional voting channel in parliamentary elections in Germany. It may support legislative organs when issuing a legal framework on remote electronic voting. Moreover, our work is valuable for developing legally compliant voting systems as the need for record keeping should be considered already when designing and implementing a remote electronic voting scheme.

Typ des Eintrags: Dissertation
Erschienen: 2010
Autor(en): Langer, Lucie
Art des Eintrags: Erstveröffentlichung
Titel: Privacy and Verifiability in Electronic Voting
Sprache: Englisch
Referenten: Buchmann, Prof. Dr. Johannes ; Grimm, Prof. Dr. Rüdiger
Publikationsjahr: 21 Oktober 2010
Datum der mündlichen Prüfung: 20 Oktober 2010
URL / URN: urn:nbn:de:tuda-tuprints-23138
Kurzbeschreibung (Abstract):

Privacy and verifiability refer to fundamental principles of democratic elections and therefore belong to the set of established security requirements which each electronic voting scheme is expected to meet. However, very different ideas and opinions about privacy and verifiability exist in the scientific community, which shows that both properties are not well understood yet. Moreover, although the desired properties (captured by the security requirements) should be separated from the assumed adversary model (expressed by adversary capabilities), specific adversary capabilities are inherently assumed for the privacy-related security requirements of receipt-freeness and coercion-resistance, which complicates the analysis of voting schemes. The first part of this thesis presents a taxonomy for privacy and verifiability in electronic voting. We compile the conceivable levels of privacy and verifiability and investigate the relation between both properties. To this end, we introduce a conceptual model capturing both privacy and verifiability. We also provide a comprehensive adversary model for electronic voting by considering different adversary capabilities. The conceptual model, the levels of privacy and verifiability, and the adversary capabilities together form our taxonomy for privacy and verifiability in electronic voting. The presented taxonomy provides a deeper understanding of privacy and verifiability and their correlation in electronic voting. We show how the taxonomy can be used to analyze the security of voting schemes by identifying the level of privacy and verifiability provided depending on the adversary capabilities assumed. Moreover, the taxonomy allows to select appropriate levels of the requirements for different types of elections, and to determine reasonable adversary models for individual election scenarios. The second part of this thesis considers long-term aspects of verifiability in remote electronic voting. The lawfulness of any legally binding election must be provable for several years due to possible scrutiny proceedings. Therefore, specific documents such as the ballots must be retained. The election records are usually retained for the legislative period of the elected body; however, this period may be extended if scrutiny procedures are pending. Retention obligations apply not only to conventional paper-based elections, but also to remote electronic voting. But contrary to the case of paper-based elections, general regulations or guidelines on retention of remote electronic election data have not been issued so far. In particular, the question which records should be retained is yet unanswered. The second part of this thesis sets out to identify the election records that have to be retained in order to prove the proper conduct of a remote electronic election. We derive retention requirements for online elections from legal regulations which apply to Federal Elections for the German Bundestag, and we make recommendations on how to meet these requirements. Establishing Internet voting in parliamentary elections presupposes that its technical implementation meets certain legal requirements, and conclusive retention of election data is one of them. Thus, our work contributes to establishing online voting as an additional voting channel in parliamentary elections in Germany. It may support legislative organs when issuing a legal framework on remote electronic voting. Moreover, our work is valuable for developing legally compliant voting systems as the need for record keeping should be considered already when designing and implementing a remote electronic voting scheme.

Alternatives oder übersetztes Abstract:
Alternatives AbstractSprache

Privatheit und Verifizierbarkeit entsprechen fundamentalen Prinzipien demokratischer Wahlen und gehören deshalb zu den Sicherheitsanforderungen, die jedes elektronische Wahlsystem erfüllen muss. Dennoch existieren sehr unterschiedliche Ideen und Auffassungen von Privatheit und Verifizierbarkeit innerhalb der Wissenschaftsgemeinde. Obwohl die gewünschten Eigenschaften eines Wahlprotokolls außerdem getrennt vom jeweiligen Angreifermodell betrachtet werden sollten, beinhalten die Sicherheitsanforderungen der Quittungsfreiheit und Unzwingbarkeit, die in engem Bezug zur Privatheit stehen, implizite Annahmen hinsichtlich bestimmter Angreifermächtigkeiten, was die Analyse von Wahlprotokollen zusätzlich erschwert. Der erste Teil dieser Arbeit stellt eine Taxonomie für Privatheit und Verifizierbarkeit bei elektronischen Wahlen vor. Wir stellen mögliche Stufen dieser beiden Anforderungen zusammen und untersuchen die Zusammenhänge zwischen Privatheit und Verifizierbarkeit. Dazu führen wir ein Begriffsmodell ein, welches beide Eigenschaften erfasst. Wir erstellen außerdem eine Liste möglicher Angreifermächtigkeiten, die als Basis für ein individuelles Angreifermodell dienen können. Die Taxonomie trägt zu einem tieferen Verständnis von Privatheit und Verifizierbarkeit und dem Zusammenhang zwischen diesen beiden Eigenschaften bei. Wir zeigen, dass die Taxonomie zur Sicherheitsanalyse von Wahlprotokollen verwendet werden kann, indem die erreichte Stufe an Privatheit und Verifizierbarkeit in Abhängigkeit von den zugrunde gelegten Angreifermächtigkeiten bestimmt wird. Die Taxonomie erlaubt es außerdem, adäquate Stufen dieser beiden Sicherheitsanforderungen für verschiedene Wahlszenarien auszuwählen und ein angemessenes Angreifermodell festzulegen. Der zweite Teil dieser Arbeit betrachtet langfristige Aspekte der Verifizierbarkeit bei Internetwahlen. Aufgrund einer möglichen Wahlanfechtung muss die Rechtmäßigkeit jeder gesetzlich bindenden Wahl auch nach Jahren beweisbar sein. Dazu müssen bestimmte Wahldokumente, wie zum Beispiel die Stimmzettel, aufbewahrt werden. Die Wahlunterlagen werden üblicherweise für die Dauer der Amtszeit des gewählten Organs archiviert. Bei laufenden Wahlprüfungsverfahren kann die notwendige Aufbewahrungsdauer jedoch ausgedehnt werden. Aufbewahrungspflichten gelten nicht nur für gewöhnliche papierbasierte Wahlen, sondern auch für Internetwahlen. Im Gegensatz zu Papierwahlen existieren für Internetwahlen jedoch keinerlei Bestimmungen oder Richtlinien hinsichtlich der Aufbewahrung elektronischer Wahldokumente. Insbesondere ist offen, welche Daten hierbei überhaupt zu archivieren sind. Im zweiten Teil dieser Arbeit werden die Wahldokumente identifiziert, welche bei einer Internetwahl aufbewahrt werden müssen, um den korrekten Ablauf der Wahl nachweisen zu können. Ausgehend von gesetzlichen Bestimmungen für Bundestagswahlen leiten wir Anforderungen hinsichtlich der Aufbewahrung von Internetwahldaten ab und machen konkrete Vorschläge für die Umsetzung dieser Anforderungen. Die Einführung von Internetwahlen auf parlamentarischer Ebene setzt voraus, dass ihre technische Umsetzung gesetzliche Anforderungen erfüllt, zu denen auch eine beweiskräftige Aufbewahrung von Wahldaten gehört. Unsere Arbeit trägt daher dazu bei, Internetwahlen als zusätzliche Option bei Bundestagswahlen zu etablieren, und kann gesetzgebende Organe darin unterstützen, eine entsprechende gesetzliche Basis zu schaffen. Weiterhin ist diese Arbeit bei der Entwicklung gesetzeskonformer Wahlsysteme von Wert, da die Notwendigkeit der Aufbewahrung bereits beim Entwurf von Wahlprotokollen berücksichtigt werden sollte.

Deutsch
Sachgruppe der Dewey Dezimalklassifikatin (DDC): 000 Allgemeines, Informatik, Informationswissenschaft > 004 Informatik
Fachbereich(e)/-gebiet(e): 20 Fachbereich Informatik > Theoretische Informatik - Kryptographie und Computeralgebra
20 Fachbereich Informatik
Hinterlegungsdatum: 25 Okt 2010 08:49
Letzte Änderung: 05 Mär 2013 09:41
PPN:
Referenten: Buchmann, Prof. Dr. Johannes ; Grimm, Prof. Dr. Rüdiger
Datum der mündlichen Prüfung / Verteidigung / mdl. Prüfung: 20 Oktober 2010
Export:
Suche nach Titel in: TUfind oder in Google
Frage zum Eintrag Frage zum Eintrag

Optionen (nur für Redakteure)
Redaktionelle Details anzeigen Redaktionelle Details anzeigen