Budurushi, Jurlind (2016)
Usable Security Evaluation of EasyVote in the Context of Complex Elections.
Technische Universität Darmstadt
Dissertation, Erstveröffentlichung
Kurzbeschreibung (Abstract)
Elections differ not only between, but also within, countries. Some elections have very simple voting rules and ballots. For instance, in the parliamentary elections in Estonia or Germany, voters can select 1-out-of-n candidates. Other elections, like parliamentary elections in Luxembourg and Belgium or local elections in Germany, have very complex voting rules and huge ballots. These elections combine different voting rules, namely select k-out-of-n, weight and rank candidates, and therefore pose a challenge to both voters and electoral officials. Hence, in such elections voters are likely to spoil their vote unintentionally, due to the complex voting rules. In addition, the tallying process is very time intensive and likely to be error prone, because of the combination of complex voting rules and huge ballots.
In order to address such challenges and improve the situation for both voters and electoral officials, in particular with respect to the local elections in Hesse/Germany, the EasyVote electronic voting scheme was proposed. EasyVote focuses on polling station elections and its central idea is to use an electronic voting device that does not store votes, but rather prints out a summary of voter's selections on a DIN-A4 paper ballot (a paper audit trail). The ballot consists of a human- and a machine readable (a QR-Code) component. Further, electoral officials tally the ballots semi-automatically by scanning the QR-Code of each ballot and verifying that its content matches the human-readable component. However, before EasyVote can be used in legally binding elections, various open research questions need to be addressed.
The goal of this dissertation is to pave the way for the use of EasyVote in legally binding elections. To achieve this goal, this dissertation addresses five open research questions, which are introduced below. While the second and fifth question are EasyVote specific, the remaining ones are relevant to all electronic voting schemes/systems that share similar concepts with EasyVote.
1. Are voters concerned about vote secrecy related to the use of QR-Codes and, if so, how to address such concerns effectively?
2. What is an optimal ballot design that enables voters to understand the impact of their selections and to verify their voting intention easily?
3. What are optimal verification instructions that make voters most likely to verify that their ballot matches their intention?
4. What is an optimal verification setting that makes electoral officials most likely to detect potential discrepancies between the human- and machine-readable ballot components?
5. Are the vote casting and tallying processes usable and, if not, how to improve their usability?
The findings indicate that voters do have secrecy concerns in association with the use of QR-Codes. However, the findings suggest that the threat appraisal approach of the protection motivation theory, is a viable approach to address and significantly allay such concerns. Furthermore, the findings reveal that the ballot design, which highlights the voter's direct selections in orange, represents an optimal design for voters to understand the impact of their selections and to verify their intention easily. In addition, the findings show that just in time verification instructions, which are pre-printed on the reverse of the ballot, have a significant effect on voters with respect to verifying their ballot and detecting discrepancies. The findings also indicate a significant increase with respect to detecting discrepancies when electoral officials read voters' direct selections out loud, while verifying that the human-readable ballot component matches the associated QR-Code. Moreover, the findings suggest that the implemented EasyVote prototype has a high perceived usability. In summary, these findings reveal that EasyVote is likely to be recommended and that a malicious or faulty behaviour of an electronic voting device, which might violate the integrity of the election result, would be detected with very high probability.
Typ des Eintrags: |
Dissertation
|
Erschienen: |
2016 |
Autor(en): |
Budurushi, Jurlind |
Art des Eintrags: |
Erstveröffentlichung |
Titel: |
Usable Security Evaluation of EasyVote in the Context of Complex Elections |
Sprache: |
Englisch |
Referenten: |
Volkamer, Prof. Dr. Melanie ; Renaud, Dr. Karen |
Publikationsjahr: |
8 Februar 2016 |
Ort: |
Darmstadt |
Datum der mündlichen Prüfung: |
21 März 2016 |
URL / URN: |
http://tuprints.ulb.tu-darmstadt.de/5418 |
Kurzbeschreibung (Abstract): |
Elections differ not only between, but also within, countries. Some elections have very simple voting rules and ballots. For instance, in the parliamentary elections in Estonia or Germany, voters can select 1-out-of-n candidates. Other elections, like parliamentary elections in Luxembourg and Belgium or local elections in Germany, have very complex voting rules and huge ballots. These elections combine different voting rules, namely select k-out-of-n, weight and rank candidates, and therefore pose a challenge to both voters and electoral officials. Hence, in such elections voters are likely to spoil their vote unintentionally, due to the complex voting rules. In addition, the tallying process is very time intensive and likely to be error prone, because of the combination of complex voting rules and huge ballots.
In order to address such challenges and improve the situation for both voters and electoral officials, in particular with respect to the local elections in Hesse/Germany, the EasyVote electronic voting scheme was proposed. EasyVote focuses on polling station elections and its central idea is to use an electronic voting device that does not store votes, but rather prints out a summary of voter's selections on a DIN-A4 paper ballot (a paper audit trail). The ballot consists of a human- and a machine readable (a QR-Code) component. Further, electoral officials tally the ballots semi-automatically by scanning the QR-Code of each ballot and verifying that its content matches the human-readable component. However, before EasyVote can be used in legally binding elections, various open research questions need to be addressed.
The goal of this dissertation is to pave the way for the use of EasyVote in legally binding elections. To achieve this goal, this dissertation addresses five open research questions, which are introduced below. While the second and fifth question are EasyVote specific, the remaining ones are relevant to all electronic voting schemes/systems that share similar concepts with EasyVote.
1. Are voters concerned about vote secrecy related to the use of QR-Codes and, if so, how to address such concerns effectively?
2. What is an optimal ballot design that enables voters to understand the impact of their selections and to verify their voting intention easily?
3. What are optimal verification instructions that make voters most likely to verify that their ballot matches their intention?
4. What is an optimal verification setting that makes electoral officials most likely to detect potential discrepancies between the human- and machine-readable ballot components?
5. Are the vote casting and tallying processes usable and, if not, how to improve their usability?
The findings indicate that voters do have secrecy concerns in association with the use of QR-Codes. However, the findings suggest that the threat appraisal approach of the protection motivation theory, is a viable approach to address and significantly allay such concerns. Furthermore, the findings reveal that the ballot design, which highlights the voter's direct selections in orange, represents an optimal design for voters to understand the impact of their selections and to verify their intention easily. In addition, the findings show that just in time verification instructions, which are pre-printed on the reverse of the ballot, have a significant effect on voters with respect to verifying their ballot and detecting discrepancies. The findings also indicate a significant increase with respect to detecting discrepancies when electoral officials read voters' direct selections out loud, while verifying that the human-readable ballot component matches the associated QR-Code. Moreover, the findings suggest that the implemented EasyVote prototype has a high perceived usability. In summary, these findings reveal that EasyVote is likely to be recommended and that a malicious or faulty behaviour of an electronic voting device, which might violate the integrity of the election result, would be detected with very high probability. |
Alternatives oder übersetztes Abstract: |
Alternatives Abstract | Sprache |
---|
Wahlen unterscheiden sich nicht nur zwischen, sondern auch innerhalb einzelner Länder. Einige Wahlen haben sehr einfache Abstimmungsregeln und Stimmzettel. Bei Parlamentswahlen in Estland oder in Deutschland können Wähler zum Beispiel 1-aus-n Kandidaten wählen. Andere Wahlen, wie die Parlamentswahlen in Luxemburg und Belgien oder die Kommunalwahlen in Deutschland, haben sehr komplexe Abstimmungsregeln und große Stimmzettel. Da diese Wahlen verschiedene Abstimmungsregeln kombinieren wie k-aus-n Kandidaten wählen (Panaschieren), Stimmengewichtung (Kumulieren) und Vorzugswahl (den Rang der Kandidaten beeinflussen), stellen diese Wahlen sowohl für Wähler als auch für Wahlhelfer eine Herausforderung dar. Aufgrund der komplexen Abstimmungsregeln ist es wahrscheinlich, dass die Wähler in solchen Wahlen unabsichtlich ungültige Stimmen abgeben. Darüber hinaus ist die Auszählung der abgegebenen Stimmen aufgrund der Kombination von komplexen Abstimmungsregeln und den großen Stimmzetteln überaus zeitintensiv und mit hoher Wahrscheinlichkeit fehleranfällig.
Um solchen Herausforderungen wirksam zu begegnen und die Situation sowohl für Wähler als auch für Wahlhelfer zu verbessern, insbesondere in Bezug auf die Kommunalwahlen in Hessen/Deutschland, wurde EasyVote als Konzept eines hybriden (elektronisch/Papier) Wahlsystems vorgeschlagen. Der Fokus von EasyVote liegt auf Wahlen im Wahlbezirk. Die zentrale Idee von EasyVote besteht in der Anwendung eines elektronischen Abstimmungsgeräts, welches keine elektronischen Stimmen speichert, sondern eine Zusammenfassung der Stimmabgabe auf DIN-A4-Papier (einem sogenannten ``Paper Audit Trail'') ausdruckt. Der Ausdruck (Stimmzettel) besteht sowohl aus einer menschlich lesbaren als auch einer maschinenlesbaren (QR-Code) Komponente. Innerhalb des Auszählungsprozesses werden die Stimmzettel, d.h. die abgegebenen Stimmen, halbautomatisch gezählt. Dabei scannen Wahlhelfer den QR-Code jedes einzelnen Stimmzettels ein und überprüfen, ob dessen Inhalt mit dem Inhalt der menschlich lesbaren Komponente übereinstimmt. Bevor EasyVote jedoch in rechtsverbindlichen Wahlen verwendet werden kann, müssen diverse Forschungsfragen adressiert werden.
Das Ziel dieser Dissertation ist es, den Weg für den Einsatz von EasyVote in rechtsverbindlichen Wahlen zu ebnen. Um dieses Ziel zu erreichen, befasst sich diese Dissertation mit fünf offenen Forschungsfragen, die im Folgenden vorgestellt werden. Während die zweite und die fünfte Frage EasyVote spezifisch sind, sind die restlichen Fragen für alle Wahlsysteme relevant, welche auf ähnlichen Konzepten wie EasyVote aufbauen. 1. Sind Wähler über ihr Wahlgeheimnis in Zusammenhang mit der Verwendung von QR-Codes besorgt und, wenn ja, wie können solche Sorgen effektiv adressiert werden?
2. Wie sieht ein optimales Stimmzetteldesign aus, das den Wählern die Nachvollziehbarkeit der Auswirkung und eine leichte Überprüfbarkeit ihrer Stimmabgabe ermöglicht?
3. Wie sehen optimale Anweisungen zur Stimmzettelüberprüfung aus, die höchstwahrscheinlich sicherstellen, dass Wähler überprüfen, ob ihr Stimmzettel ihrer Wahlintention entspricht?
4. Welche Methode zur Stimmzettelüberprüfung stellt am besten sicher, dass Wahlhelfer mögliche Diskrepanzen zwischen den menschlich- und maschinenlesbaren Stimmzettelkomponenten feststellen?
5. Sind die Prozesse der Stimmabgabe und Auszählung benutzbar und wenn nicht, wie kann die Benutzbarkeit dieser Prozesse verbessert werden? Die Ergebnisse zeigen Bedenken der Wähler bezüglich ihres Wahlgeheimnisses in Zusammenhang mit dem Einsatz von QR-Codes. Allerdings zeigen die Ergebnisse auch, dass der Ansatz der Schutzmotivationstheorie zur Einschätzung der Bedrohung ein angemessener Ansatz ist, um solche Bedenken signifikant zu verringern. Darüber hinaus zeigen die Ergebnisse, dass ein optimales Stimmzetteldesign bezüglich der Nachvollziehbarkeit und Überprüfbarkeit der Stimmabgabe erreicht werden kann, indem die direkt vergebenen Stimmen in Orange hervorgehoben werden. Die Ergebnisse zeigen auch, dass Anweisungen zur Stimmzettelüberprüfung, die auf der Rückseite des Stimmzettels vorgedruckt sind und den Wählern zum richtigen Zeitpunkt gegeben werden, einen signifikanten Einfluss darauf haben, ob Wähler ihren Stimmzettel überprüfen und Diskrepanzen zu ihrer Wahlintention feststellen. Zusätzlich zeigen die Ergebnisse eine signifikante Steigerung der erfolgreichen Feststellung von Diskrepanzen zwischen der menschlich lesbaren Stimmzettelkomponente und dem QR-Code, wenn Wahlhelfer während der Auszählung die direkt vergebenen Stimmen laut vorlesen. Außerdem belegen die Ergebnisse eine hohe wahrgenommene Benutzerfreundlichkeit des implementierten EasyVote Prototypen. Zusammenfassend zeigen diese Ergebnisse, dass der Einsatz von EasyVote zu empfehlen ist, und dass ein böswilliges oder fehlerhaftes Verhalten eines Abstimmungsgeräts, welches die Integrität des Wahlergebnisses verletzen könnte, mit sehr hoher Wahrscheinlichkeit festgestellt wird. | Deutsch |
|
URN: |
urn:nbn:de:tuda-tuprints-54189 |
Sachgruppe der Dewey Dezimalklassifikatin (DDC): |
000 Allgemeines, Informatik, Informationswissenschaft > 004 Informatik |
Fachbereich(e)/-gebiet(e): |
20 Fachbereich Informatik |
Hinterlegungsdatum: |
01 Mai 2016 19:55 |
Letzte Änderung: |
01 Mai 2016 19:55 |
PPN: |
|
Referenten: |
Volkamer, Prof. Dr. Melanie ; Renaud, Dr. Karen |
Datum der mündlichen Prüfung / Verteidigung / mdl. Prüfung: |
21 März 2016 |
Export: |
|
Suche nach Titel in: |
TUfind oder in Google |
|
Frage zum Eintrag |
Optionen (nur für Redakteure)
|
Redaktionelle Details anzeigen |