Mit der Ende-zu-Ende-Verifikation lässt sich überprüfen, ob eine Online-Wahl manipulationsfrei ist

Wie lässt sich überprüfen, ob eine Online-Wahl manipulationsfrei über die Bühne ging, ohne das Wahlgeheimnis zu brechen? Mit der Ende-zu-Ende-Verifikation. POLYAS erklärt was sich dahinter verbirgt und wie sie in unserer Wahlsoftware CORE 3.0 Verifiable funktioniert. Vierter Teil unserer Blogpost-Serie Mythen und Fakten zur Sicherheit von Online-Wahlen“.

Wahlgeheimnis und Überprüfbarkeit vereinbar?

Vertrauen ist gut, Kontrolle ist besser: Das alte Sprichwort ist wie gemacht fürs digitale Zeitalter. Natürlich sollten wir darauf vertrauen können, dass unsere Daten integer behandelt werden. Sichergehen kann man selbst aber nur, wenn man die Möglichkeit zum Überprüfen hat.

Das gilt im besonderen Maß für Online-Wahlen. Bei kaum einem anderen Datentransfer im Netz ist die Integrität der Übertragung so wichtig wie im Fall der Online-Stimmabgabe; die Wählenden müssen sicher sein, dass ihre Stimme wie gewünscht in der Wahlurne landet. Gleichzeitig muss aber auch das Wahlgeheimnis geschützt werden, die Verknüpfung zwischen Stimmzettel und Wählenden wird – wie bei der analogen Urnenwahl – aufgehoben. Wie können Wahlberechtigte dann aber ihre Stimmabgabe überprüfen? Und wie stellt die Wahlleitung sicher, ob alle Stimmzettel korrekt ausgezählt wurden?

Drei Stationen der Ende-zu-Ende-Verifikation

Die Online-Wahl nachvollziehbar zu machen ist eine Forderung, die auf ein Urteil des Bundeverfassungsgericht zum Einsatz von Wahlcomputern aus dem Jahr 2009 zurück geht. Als Lösung für diese Forderung wird in Fachkreisen die Ende-zu-Ende-Verifikation angesehen. Damit ist gemeint, dass von der Stimmabgabe bis zur Auszählung alle Stationen, die der Stimmzettel durchläuft, überprüfbar sind.

Sicherheit von WahlenAchtung: Die Ende-zu-Ende-Verifikation ist nicht zu verwechseln mit der Ende-zu-Ende-Verschlüsselung, die sicherstellt, dass der Stimmzettel von der Abgabe bis zur Ergebnisfeststellung verschlüsselt ist, ihn also niemand einsehen kann.

Die Ende-zu-Ende-Verifikation besteht aus drei wichtigen Schritten: der eligibility verifiability, der individuellen und der universellen Verifikation. Was verbirgt sich hinter diesen Fachbegriffen?

Eligibility lässt sich am besten mit Wahlfähigkeit übersetzen. Gemeint ist, ob die Person, die der digitalen Urne eine Stimme hinzufügt, auch tatsächlich das aktive Wahlrecht hat – und es nicht etwa zum sogenannten Ballot Stuffing kommt, also dem „Auffüllen“ der Urne mit zusätzlichen Stimmzetteln. Bei der individuellen Verifizierung prüft die einzelne wählende Person, ob der von ihr abgegebene Stimmzettel korrekt in der Urne angekommen ist. Mit der universellen Verifikation wird schließlich durch die Wahlleitung oder durch die von ihr bestellten Auditor:innen überprüft, ob tatsächlich alle Prozesse auf dem Wahlserver korrekt abgelaufen sind. Doch wie funktioniert das konkret im POLYAS CORE 3.0 Verifiable?

Haben Sie bereits die ersten drei Teile unserer Serie „Mythen und Fakten zur Sicherheit von Online-Wahlen“ gelesen? Hier finden Sie Teil Eins, Teil Zwei und Teil Drei.

Eligibility verifiability – Wahlberechtigt oder nicht?

Für die eligibility verifiability überprüft der Wahlserver, ob die eingehenden Stimmzettel korrekt signiert sind. Nur Stimmzettel mit einer korrekten Signatur kommen von einer wahlberechtigten Person. Außenstehende haben technisch keine Möglichkeit diese Signatur zu erzeugen. Das wird dadurch erreicht, dass die Signatur – der sogenannte Private Key – im Browser des:der Wählenden aus dem Passwort generiert wird, mit dem man sich zur Stimmabgabe einloggt. Das Passwort wiederum kann durch einen externen Dienstleiter generiert werden – somit kennt nicht einmal POLYAS selbst die Passwörter und Private Keys. POLYAS verfügt nur über die individuellen Public Keys der Wahlberechtigten, die das Gegenstück zu den Private Keys bilden. So wird die Korrektheit der eingehenden Stimmzettel überprüft, inkorrekt signierte Stimmzettel kommen nicht in die Wahlurne und werden in einem fälschungssicheren Protokoll – dem Bulletin Board – dokumentiert. Das ist aber nur eine theoretische Möglichkeit und ist noch nie passiert.

Individuelle Verifikation – Liegt mein Stimmzettel in der Urne?

Die individuelle Verifikation per Second Device

Im CORE 3.0 Verifiable kann jede wählende Person ihre Stimmzettelabgabe selbst überprüfen. Das geht so: Nachdem man seinen Stimmzettel verbindlich abgegeben hat, erscheint ein QR-Code im Browser. Dieser enthält den ersten Teil des verschlüsselten Nachweises dafür, dass die entsprechende Stimme korrekt in der Wahlurne abgelegt wurde. Der zweite Teil des Nachweises wird vom Wahlserver an den Browser der wählenden Person übermittelt. Nun kann der QR-Code mit Smartphone oder Tablet gescannt werden. Anschließend muss man sich über eine Web-App – die von einem externen Dienstleister betrieben werden kann – erneut mit Wähler-ID und Passwort anmelden.

Nun wird der Nachweis über die Stimmabgabe entschlüsselt und der stimmberechtigten Person wird ein Abbild ihres Stimmzettels als Klartext angezeigt. Der:die Wählende kann nun auch eine andere Wahloption anklicken. Das ist wichtig, damit man seine Wahlentscheidung nicht gegenüber Dritten beweisen kann – sonst könnte man seine Stimme verkaufen oder gezwungen werden, gegen den eigenen Willen abzustimmen. Aus dem gleichen Grund ist das Fotografieren des eigenen Stimmzettels bei analogen Wahlen verboten. Änderungen in der Web-App haben jedoch keinen Einfluss auf den tatsächlich abgegebenen Stimmzettel in der Wahlurne.

Universelle Verifikation – Lief alles rund im Wahlserver?

Die Wahl ist vorbei und die Stimmzettel sind ausgezählt, die Sieger:innen liegen sich in den Armen – doch Moment, ist bei der Online-Wahl auch alles korrekt abgelaufen? Bevor die Mitglieder der Wahlleitung das Ergebnis verkünden, haben sie oder die von ihnen bestellten Auditor:innen mit dem POLYAS CORE 3.0 Verifiable die Möglichkeit, alle Vorgänge auf dem Wahlserver einer gründlichen Kontrolle zu unterziehen. Die Stimmzettel gehen erst in die Urne ein, werden dann durchmischt, sodass nicht mehr nachvollzogen werden kann, von wem welcher Stimmzettel kam, und werden schließlich entschlüsselt und ausgezählt.

Alle Stationen werden dabei auf den bereits erwähnten Bulletin Boards dokumentiert. Dieses digitale Kassenbuch oder Protokoll lässt nur das Hinzufügen von Informationen, nicht aber das Entfernen zu. Außerdem sind alle Einträge miteinander verzahnt. Vergleichbar ist das mit der Blockchain, der Technologie hinter dem Bitcoin. Außerdem entstehen beim Mischen und Auszählen sogenannte Zero-Knowledge-Proofs. Das sind kryptografische Beweise ohne Geheimnisverrat, die auch auf den Bulletin Boards landen. Mit einem speziellen Tool – auch dieses kann von einem externen Dienstleister programmiert und gehostet werden – lassen sich die Einträge der Datenkette auslesen. Auch die Private Keys, die für die eligibility verifiability relevant sind, werden noch einmal überprüft.

Vertrauen allein ist nicht nötig

Die Ende-zu-Ende-Verifikation ist das Kernelement einer geheimen, manipulationsfreien Online-Wahl. Nutzt der Wahlveranstalter zusätzlich bei allen drei Verifikationsschritten die Möglichkeit, externe Dienstleister einzubinden – das sogenannte Separation-of-Duty-Prinzip –, kann auch ausgeschlossen werden, dass Wahlanbieter wie POLYAS selbst Manipulationen vornehmen, zum Beispiel weil sie erpresst werden. Wahlveranstalter sollen unsere Software nutzen können, ohne uns glauben zu müssen, dass alles glatt lief. Wir möchten dadurch Vertrauen schaffen, dass man uns nicht vertrauen muss.

Eine ausführliche Dokumentation der technischen Vorgänge im POLYAS CORE 3.O Verifiable erhalten Sie hier zum Download >