Neumann, Stephan (2016)
Evaluation and Improvement of Internet Voting Schemes Based on Legally-Founded Security Requirements.
Technische Universität Darmstadt
Dissertation, Erstveröffentlichung
Kurzbeschreibung (Abstract)
In recent years, several nations and private associations have introduced Internet voting as additional means to conduct elections. To date, a variety of voting schemes to conduct Internet-based elections have been constructed, both from the scientific community and industry. Because of its fundamental importance to democratic societies, Internet voting – as any other voting method – is bound to high legal standards, particularly imposing security requirements on the voting method. However, these legal standards, and resultant derived security requirements, partially oppose each other. As a consequence, Internet voting schemes cannot enforce these legally-founded security requirements to their full extent, but rather build upon specific assumptions. The criticality of these assumptions depends on the target election setting, particularly the adversary expected within that setting. Given the lack of an election-specific evaluation framework for these assumptions, or more generally Internet voting schemes, the adequacy of Internet voting schemes for specific elections cannot readily be determined. Hence, selecting the Internet voting scheme that satisfies legally-founded security requirements within a specific election setting in the most appropriate manner, is a challenging task.
To support election officials in the selection process, the first goal of this dissertation is the construction of a evaluation framework for Internet voting schemes based on legally-founded security requirements. Therefore, on the foundation of previous interdisciplinary research, legally-founded security requirements for Internet voting schemes are derived. To provide election officials with improved decision alternatives, the second goal of this dissertation is the improvement of two established Internet voting schemes with regard to legally-founded security requirements, namely the Polyas Internet voting scheme and the Estonian Internet voting scheme.
Our research results in five (partially opposing) security requirements for Internet voting schemes. On the basis of these security requirements, we construct a capability-based risk assessment approach for the security evaluation of Internet voting schemes in specific election settings. The evaluation of the Polyas scheme reveals the fact that compromised voting devices can alter votes undetectably. Considering surrounding circumstances, we eliminate this shortcoming by incorporating out of band codes to acknowledge voters’ votes. It turns out that in the Estonian scheme, four out of five security requirements rely on the correct behaviour of voting devices. We improve the Estonian scheme in that regard by incorporating out of band voting and acknowledgment codes. Thereby, we maintain four out of five security requirements against adversaries capable of compromising voting devices.
Typ des Eintrags: |
Dissertation
|
Erschienen: |
2016 |
Autor(en): |
Neumann, Stephan |
Art des Eintrags: |
Erstveröffentlichung |
Titel: |
Evaluation and Improvement of Internet Voting Schemes Based on Legally-Founded Security Requirements |
Sprache: |
Englisch |
Referenten: |
Volkamer, Prof. Dr. Melanie ; Grimm, Prof. Dr. Rüdiger |
Publikationsjahr: |
9 Juni 2016 |
Ort: |
Darmstadt |
Datum der mündlichen Prüfung: |
21 März 2016 |
URL / URN: |
http://tuprints.ulb.tu-darmstadt.de/5375 |
Kurzbeschreibung (Abstract): |
In recent years, several nations and private associations have introduced Internet voting as additional means to conduct elections. To date, a variety of voting schemes to conduct Internet-based elections have been constructed, both from the scientific community and industry. Because of its fundamental importance to democratic societies, Internet voting – as any other voting method – is bound to high legal standards, particularly imposing security requirements on the voting method. However, these legal standards, and resultant derived security requirements, partially oppose each other. As a consequence, Internet voting schemes cannot enforce these legally-founded security requirements to their full extent, but rather build upon specific assumptions. The criticality of these assumptions depends on the target election setting, particularly the adversary expected within that setting. Given the lack of an election-specific evaluation framework for these assumptions, or more generally Internet voting schemes, the adequacy of Internet voting schemes for specific elections cannot readily be determined. Hence, selecting the Internet voting scheme that satisfies legally-founded security requirements within a specific election setting in the most appropriate manner, is a challenging task.
To support election officials in the selection process, the first goal of this dissertation is the construction of a evaluation framework for Internet voting schemes based on legally-founded security requirements. Therefore, on the foundation of previous interdisciplinary research, legally-founded security requirements for Internet voting schemes are derived. To provide election officials with improved decision alternatives, the second goal of this dissertation is the improvement of two established Internet voting schemes with regard to legally-founded security requirements, namely the Polyas Internet voting scheme and the Estonian Internet voting scheme.
Our research results in five (partially opposing) security requirements for Internet voting schemes. On the basis of these security requirements, we construct a capability-based risk assessment approach for the security evaluation of Internet voting schemes in specific election settings. The evaluation of the Polyas scheme reveals the fact that compromised voting devices can alter votes undetectably. Considering surrounding circumstances, we eliminate this shortcoming by incorporating out of band codes to acknowledge voters’ votes. It turns out that in the Estonian scheme, four out of five security requirements rely on the correct behaviour of voting devices. We improve the Estonian scheme in that regard by incorporating out of band voting and acknowledgment codes. Thereby, we maintain four out of five security requirements against adversaries capable of compromising voting devices. |
Alternatives oder übersetztes Abstract: |
Alternatives Abstract | Sprache |
---|
In den letzten Jahren ist ein allgemeiner Trend in Richtung Internetwahlen zu beobachten. So hat sich die Stimmabgabe über das Internet als zusätzlicher Wahlkanal in einigen Staaten und privaten Vereinigungen etabliert.
Bis zum heutigen Tag haben sowohl Wissenschaft wie auch Industrie eine Reihe von Internetwahlprotokollen zur Durchführung von Internetwahlen entwickelt.
Aufgrund ihrer zentralen Bedeutung für demokratische Gesellschaften ist die Internetwahl -- wie jede andere Wahlmethode -- an hohe rechtliche Normen gebunden. Insbesondere erlegen diese Normen der Internetwahl Sicherheitsanforderungen auf.
Es zeigt sich jedoch, dass die rechtlichen Normen sowie die daraus abgeleiteten Sicherheitsanforderungen miteinander konkurrieren. Eine Konsequenz dieser Tatsache ist, dass Internetwahlprotokolle die rechtlich begründeten Sicherheitsanforderungen nur unter bestimmten Annahmen umsetzen können.
Die Kritikalität dieser Annahmen hängt dabei von der Wahlumgebung ab, insbesondere von dem zu erwartenden Angreifer. Aufgrund des Fehlens
wahlabhängiger Evaluationsmethoden für diese Annahmen, oder genereller für Internetwahlprotokolle, können verschiedene Internetwahlprotokolle nicht direkt auf ihre Eignung zum Einsatz zur Durchführung bestimmter Wahlen untersucht werden.
Folglich fällt Wahlverantwortlichen die Auswahl eines Internetwahlprotokolls, das die rechtlich begründeten Sicherheitsanforderungen in einer gegebenen Wahlumgebung bestmöglich umsetzt, schwer.
Um Wahlverantwortliche bei dieser Auswahl zu unterstützen, definieren wir die Konstruktion einer Evaluationsmethode für Internetwahlprotokolle bezüglich rechtlich begründeter Sicherheitsanforderungen als erstes Ziel dieser Dissertation. Dazu werden auf Grundlage interdisziplinärer Vorarbeit rechtlich begründete Sicherheitsanforderungen für Internetwahlprotokolle abgeleitet. Um Wahlverantwortliche darüber hinaus mit gegebenenfalls besseren Alternativen zu unterstützen, ist das zweite Ziel dieser Dissertation die Verbesserung etablierter Internetwahlprotokolle bezüglich rechtlich begründeter Sicherheitsanforderungen. Dazu werden das Polyas Internetwahlprotokoll sowie das Protokoll des estnischen Internetwahlsystems betrachtet.
Die Forschungsergebnisse dieser Dissertation resultieren in fünf (teilweise konkurrierenden) Sicherheitsanforderungen für Internetwahlprotokolle. Auf Grundlage dieser Anforderungen konstruieren wir einen fähigkeitsbasierten Ansatz zur Risikoabschätzung zur Sicherheitsevaluation von Internetwahlprotokollen in bestimmten Wahlumgebungen.
Die Evaluation des Polyas Protokolls legt die Tatsache offen, dass kompromittierte Wahl-Endgeräte abgegebene Stimmen unbemerkt manipulieren können. In Einklang mit praktischen Gegebenheiten adressieren wir die Schwachstelle durch das Einarbeiten sogenannter Bestätigungscodes.
Die Evaluation des estnischen Internetwahlprotokolls zeigt, dass vier der fünf rechtlich begründeten Sicherheitsanforderungen nur unter der Annahme gewährleistet werden können, dass Wahl-Endgeräte nicht kompromittiert sind. Wir begegnen dieser Schwachstelle mit der Einarbeitung sogenannter Wahl- und Bestätigungscodes. Das Ergebnis dieser Erweiterung ist, dass vier der fünf rechtlichen begründeten Sicherheitsanforderungen nicht durch kompromittierte Endgeräte gefährdet werden. | Deutsch |
|
URN: |
urn:nbn:de:tuda-tuprints-53751 |
Sachgruppe der Dewey Dezimalklassifikatin (DDC): |
000 Allgemeines, Informatik, Informationswissenschaft > 004 Informatik |
Fachbereich(e)/-gebiet(e): |
20 Fachbereich Informatik |
Hinterlegungsdatum: |
12 Jun 2016 19:55 |
Letzte Änderung: |
14 Jan 2019 10:23 |
PPN: |
|
Referenten: |
Volkamer, Prof. Dr. Melanie ; Grimm, Prof. Dr. Rüdiger |
Datum der mündlichen Prüfung / Verteidigung / mdl. Prüfung: |
21 März 2016 |
Export: |
|
Suche nach Titel in: |
TUfind oder in Google |
|
Frage zum Eintrag |
Optionen (nur für Redakteure)
|
Redaktionelle Details anzeigen |