Guest User

Untitled

a guest
Oct 23rd, 2012
101
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. 6.1 Безопасные выборы
  2. Компьютерное голосование никогда не будет использовано для обычных выборов, пока не появится прот о-
  3. кол, который одновременно предохраняет от мошенничества и защищает тайну личности. Идеальный протокол
  4. должен обладать, по меньшей мере, следующими шестью свойствами :
  5. 1. Голосовать могут только те, кто имеет на это право .
  6. 2. Каждый может голосовать не более одного раза .
  7. 3. Никто не может узнать, за кого проголосовал конкретный избиратель .
  8. 4. Никто не может проголосовать вместо другого. (Это оказывается самым тяжелым требованием .)
  9. 5. Никто не может тайно изменить чей-то голос .
  10. 6. Каждый голосующий может проверить, что его голос учитывался при подведении итогов голосования .
  11. Кроме того, для некоторых схем голосования может понадобиться следующее требование :
  12. 7. Каждый знает, кто голосовал, а кто нет.
  13. Прежде чем описывать сложные протоколы, имеющие приведенные характеристики, давайте взглянем на
  14. рад протоколов попроще.
  15. Упрощенный протокол голосования 11
  16. (1) Каждый голосующий шифрует свой бюллетень открытым ключом Центральной избирательной комиссии
  17. (ЦИК).
  18. (2) Каждый голосующий посылает свой бюллетень в ЦИК .
  19. (3) ЦИК расшифровывает бюллетени, подводит итоги и опубликовывает результаты голосования .
  20. Этот протокол просто кишит проблемами . ЦИК не может узнать, откуда получены бюллетени, и даже, пр и-
  21. надлежат ли присланные бюллетени правомочным избирателям . У нее нет ни малейшего представления о том,
  22. не голосовали ли правомочные избиратели больше одного раза . Положительной стороной является невозмо ж-
  23. ность изменить бюллетень другого человека , но никто и не будет пытаться это сделать, потому что гораздо г о-
  24. лосовать повторно, добиваясь нужных результатов выборов .
  25. Упрощенный протокол голосования 12
  26. (1) Каждый голосующий подписывает свой бюллетень своим закрытым ключом .
  27. (2) Каждый голосующий шифрует свой бюллетень открытым ключом ЦИК .
  28. (3) Каждый голосующий посылает свой бюллетень в ЦИК .
  29. (4) ЦИК расшифровывает бюллетени, проверяет подписи, подводит итоги и опубликовывает результаты г о-
  30. лосования.
  31. Этот протокол обладает свойствами 1 и 2 : Только правомочные избиратели могут голосовать, и никто не
  32. может голосовать более одного раза - ЦИК может записывать бюллетени, полученные на этапе (3). Каждый
  33. бюллетень подписан закрытым ключом голосующего, поэтому ЦИК знает, кто голосовал, а кто нет, и, как гол о-
  34. совал каждый избиратель. Если получен бюллетень, который не подписан правомочным пользователем, или
  35. бюллетень, подписанный избирателем, который уже проголосовал , то такой бюллетень игнорируется
  36. комиссией. Кроме того, из-за цифровой подписи никто не может изменить бюллетень другого избирателя, даже
  37. если сумеет перехватить его на этапе (2).
  38. Проблема этого протокола в том, что подпись добавляется к бюллетеню, ЦИК знает, кто за кого голосовал .
  39. Шифрование бюллетеней открытым ключом ЦИК мешает посторонним злоупотреблять протоколом и узнавать,
  40. кто за кого голосовал, но вам придется полностью доверять ЦИК Это как будто в кабинке для голосования вам
  41. через плечо заглядывает электронный судья .
  42. Два следующих примера показывают, как трудно обеспечить хотя бы первые три требования к протоколу
  43. безопасного голосования.
  44. Голосование со слепыми подписями
  45. Нам нужно как-то отделить бюллетень от голосующего, сохранив процедуру идентификации личности .
  46. Именно это можно сделать с помощью протокола слепой подписи .
  47. (1) Каждый избиратель создает 10 наборов сообщений , каждый набор содержит правильный бюллетень для
  48. каждого возможного результата (например, если бюллетенем является один из ответов "да"-"нет", то ка ж-
  49. дый набор состоит из двух бюллетеней, одного для "да", а другого для "нет" ). Каждое сообщение содержит
  50. также случайным образом созданный идентификационный номер, достаточно большой, чтобы избежать
  51. путаницы с другими избирателями.
  52. (2) Каждый избиратель лично маскирует все сообщения (см. раздел 5.3) и посылает их в ЦИК вместе с ма с-
  53. кирующим множителями.
  54. (3) ЦИК по своей базе данных проверяет, что пользователь не присылал раньше для подписания свои зама с-
  55. кированные бюллетени. ЦИК открывает 9 из наборов, проверяя, что они правильно сформированы . Затем
  56. она индивидуально подписывает каждое сообщение набора и посылает их обратно избирателю, сохраняя
  57. имя избирателя в своей базе данных.
  58. (4) Избиратель снимает маскировку с сообщений и получает набор бюллетеней, подписанных ЦИК . (Эти
  59. бюллетени подписаны, но не зашифрованы, поэтому избиратель легко увидит, какой из бюллетеней - "да",
  60. а какой - "нет". )
  61. (5) Каждый избиратель выбирает один из бюллетеней (о, демократия!) и шифрует его открытым ключом
  62. ЦИК.
  63. (6) Избиратель отправляет свой бюллетень .
  64. (7) ЦИК расшифровывает бюллетени, проверяет подписи, проверяет по базе данных уникальность идентиф и-
  65. кационного номера, сохраняет последовательный номер и подводит итоги. Она опубликовывает результ а-
  66. ты голосования вместе с каждым последовательным номером и соответствующим бюллетенем .
  67. Мэллори, избиратель-жулик, не может обмануть эту систему. Протокол слепой подписи обеспечивает еди н-
  68. ственность его бюллетени. Если он попытается отправить тот же бюллетень дважды, ЦИК обнаружит дублир о-
  69. вание последовательных номеров на этапе (7) и не будет учитывать второй бюллетень . Если он попытается по-
  70. лучить несколько бюллетеней на этапе (2), ЦИК обнаружит это на этапе (3). Мэллори не может создать свои
  71. собственные бюллетени, потому что он не знает закрытого ключа комиссии . По той же причине он не может
  72. перехватить и изменить чужие бюллетени.
  73. Протокол "разрезать и выбрать" на этапе (3) должен обеспечить уникальность бюллетеней. Без этого этапа
  74. Мэллори мог бы создать точно такой же, за исключением идентификационного номера, набор бюллетеней и
  75. заверить их все в ЦИК.
  76. Мошенническая ЦИК не сможет узнать, как голосовал конкретный избиратель. Так как протокол слепой
  77. подписи маскирует последовательные номера бюллетеней до момента подведения итогов , ЦИК не сможет уста-
  78. новить связь между подписанным ею замаскированным бюллетенем и подытоживаемым бюллетенем . Опубли-
  79. кование перечня последовательных номеров и связанных с ними бюллетеней позволяет пользователям убедит ь-
  80. ся, что их бюллетени были правильно учтены.
  81. Но проблемы все еще остаются. Если этап (6) не анонимен, и ЦИК может записать, кто какой бюллетень
  82. прислал, то она сможет узнать, кто за кого голосовал . Однако, это невозможно, если комиссия получает бюлл е-
  83. тени в запечатанной урне для голосования и считает их позже . Хотя ЦИК и не сможет установить связь между
  84. избирателями и их бюллетенями, она сможет создать большое количество подписанных и правильных бюлл е-
  85. теней и смошенничать, прислав их сама себе . И если Алиса обнаружит, что ЦИК подменила ее бюллетень, она
  86. не сможет доказать этого. Аналогичный протокол, пытающийся устранить эти проблемы, описан в [1195, 1370].
  87. Голосование с двумя Центральными комиссиями
  88. Одним из решений является разделить ЦИК пополам . Ни у одной из них не будет достаточно власти, чтобы
  89. смошенничать по своему усмотрению .
  90. В следующем протоколе используется Центральное управление регистрации (ЦУР), занимающееся прове р-
  91. кой пользователей, и отдельная ЦИК для подсчета бюллетеней [1373].
  92. (1) Каждый избиратель отправляет письмо в ЦУР, запрашивая регистрационный номер.
  93. (2) ЦУР возвращает избирателю случайный регистрационный номер. ЦУР ведет список регистрационных
  94. номеров. Кроме того, ЦУР хранит список получателей регистрационных номеров на случай, если кто-то
  95. попытается проголосовать дважды.
  96. (3) ЦУР отправляет список регистрационных номеров в ЦИК.
  97. (4) Каждый избиратель выбирает случайный идентификационный номер. Он создает сообщение с этим ном е-
  98. ром, регистрационным номером, полученным в ЦУР, и своим бюллетенем. Он посылает это сообщение в
  99. ЦИК.
  100. (5) ЦИК проверяет регистрационные номера по списку, полученному от ЦУР на этапе (3). Если регистрац и-
  101. онный номер есть в списке, ЦИК вычеркивает его (чтобы избежать повторного голосования). ЦИК доба в-
  102. ляет идентификационный номер к списку тех, кто проголосовал за определенного кандидата, и прибавляет
  103. единичку к соответствующему итоговому числу.
  104. (6) После того, как все бюллетени будут получены, ЦИК публикует результаты вместе со списками, содерж а-
  105. щими идентификационные номера и соответствующие бюллетени.
  106. Как и в предыдущем протоколе каждый избиратель может увидеть список идентификационных номеров и
  107. найти в нем свой собственный. Так он может убедиться, что его бюллетень учтен . Конечно, все сообщения, ко-
  108. торыми обмениваются участники протокола должны быть зашифрованы и подписаны, чтобы помешать кому-
  109. нибудь выдать себя за другого или перехватить сообщения .
  110. ЦИК не может изменить бюллетени, потому что каждый избиратель будет искать свой регистрационный н о-
  111. мер. Если избиратель не находит свой регистрационный номер или находит его в итоговом списке с другим р е-
  112. зультатом голосования, он немедленно узнает, что произошел обман. ЦИК не может добавить бюллетень в у р-
  113. ну, которая находится под наблюдением ЦУР . ЦУР знает, сколько избирателей зарегистрировалось, их регис т-
  114. рационные номера и обнаружит любые изменения .
  115. Мэллори, не обладающий избирательными правами, может попытаться смошенничать, угадав правильный
  116. регистрационный номер. Угроза этого может быть минимизирована, если множество возможных регистрацио н-
  117. ных номеров намного больше, чем множество реальных регистрационных номеров : 100-битовое число для мил-
  118. лиона избирателей. Конечно же, регистрационные номера должны генерироваться случайным образом .
  119. Несмотря на это, ЦУР должна быть заслуживающим доверия органом власти - ведь она может зарегистр и-
  120. ровать неправомочных избирателей . Она также может зарегистрировать правомочных избирателей несколько
  121. раз. Этот риск может быть сведен к минимуму, если ЦУР опубликует список зарегистрировавшихся избират е-
  122. лей (но без их регистрационных номеров ). Если число избирателей в этом списке меньше, чем число подсч и-
  123. танных бюллетеней, то что-то не так. Однако, если зарегистрировалось больше избирателей, чем было прислано
  124. бюллетеней, то это, возможно, означает, что ряд зарегистрировавшихся избирателей не проголосовал . Многие,
  125. зарегистрировавшись, не утруждаются бросить в урну свой бюллетень .
  126. Этот протокол беззащитен перед сговором ЦИК и ЦУР. Если они действуют вместе, они могут объединить
  127. свои базы данных и узнать, кто за кого голосует .
  128. Голосование с одной Центральной комиссией
  129. Чтобы избежать опасности сговора между ЦУР и ЦИК можно использовать более сложный протокол [1373].
  130. Этот протокол идентичен предыдущему с двумя изменениями :
  131. — ЦУР и ЦИК являются единой организацией, и
  132. — для анонимного распределения регистрационных номеров на этапе (2) используется ANDOS (см. раздел
  133. 4.13).
  134. Так как протокол анонимного распределения ключей не позволяет ЦИК узнать, у какого избирателя какой
  135. регистрационный номер, У ЦИК нет способа связать регистрационные номера и полученные бюллетени . Но
  136. ЦИК должна быть надежным органом, чтобы не выдавать регистрационных номеров неправомочным избират е-
  137. лям. Эту проблему также можно решить с помощью слепых подписей .
  138. Улучшенное голосование с одной Центральной комиссией
  139. В этом протоколе также используется ANDOS [1175]. Он удовлетворяет всем шести требованиям хорошего
  140. протокола голосования. Он не удовлетворяет седьмому требованию, но обладает двумя свойствами, дополня ю-
  141. щими перечисленные в начале раздела шесть свойств :
  142. 7. Избиратель может изменить свое мнение (т.е., аннулировать свой бюллетень и проголосовать заново )
  143. в течение заданного периода времени .
  144. 8. Если избиратель обнаруживает, что его бюллетень посчитан неправильно, он может установить и и с-
  145. править проблему, не рискуя безопасностью своего бюллетеня .
  146. Вот этот протокол:
  147. (1) ЦИК публикует список всех правомочных избирателей .
  148. (2) В течение определенного срока каждый избиратель сообщает в ЦИК, собирается ли он голосовать .
  149. (3) ЦИК публикует список избирателей, участвующих в выборах .
  150. (4) Каждый избиратель получает идентификационный номер , I, с помощью протокола ANDOS.
  151. (5) Каждый избиратель генерирует пару открытый ключ/закрытый ключ : k, d. If Если v - это бюллетень, то
  152. избиратель создает и посылает в ЦИК следующее сообщение :
  153. I,Ek(I, v)
  154. Это сообщение должно быть послано анонимно .
  155. (6) ЦИК подтверждает получение бюллетеня, публикуя :
  156. Ek(I, v)
  157. (7) Каждый избиратель посылает ЦИК :
  158. I, d
  159. (8) ЦИК расшифровывает бюллетени. В конце выборов она публикует их результаты и, для каждого варианта
  160. выбора, список соответствующий знач ений Ek(I, v).
  161. (9) Если избиратель обнаруживает, что его бюллетень подсчитан неправильно, он протестует, посылая ЦИК :
  162. I, Ek(I, v), d
  163. (10) Если избиратель хочет изменить свой бюллетень с v на v', он посылает ЦИК:
  164. I, Ek(I, v'), d
  165. Другой протокол голосования использует вместо ANDOS слепые подписи, но по сути мало чем отличается
  166. [585]. Этапы (1) - (3) являются предварительными. Их цель состоит в том, чтобы узнать и опубликовать всех
  167. действительных избирателей. Хотя некоторые из них, вероятно, не примут участи в голосовании, это уменьшает
  168. возможность ЦИК добавить поддельные бюллетени .
  169. На этапе (4) два избирателя могут получить один и тот же идентификационный номер . Эта возможность мо-
  170. жет быть минимизирована, если число возможных идентификационных номеров будет гораздо больше, чем
  171. число реальных избирателей. Если два избирателя присылают бюллетени с одинаковым идентификатором,
  172. ЦИК генерирует новый идентификационный номер, I', выбирает одного из избирателей и публикует :
  173. I',Ek(I, v)
  174. Владелец этого бюллетеня узнает о произошедшей путанице и посылает свой бюллетень снова, повторяя
  175. этап (5) с новым идентификационным номером .
  176. Этап (6) дает каждому избирателю возможность проверить, что ЦИК правильно получила его бюллетень .
  177. Если его бюллетень неправильно подсчитан, он может доказать это на этапе ( 9). Предполагая, что бюллетень
  178. избирателя на этапе (6) правилен, сообщение, которое он посылает на этапе (9) доказывает, что его бюллетень
  179. был неправильно подсчитан.
  180. Одной из проблем этого протокола является то, что жульническая ЦИК сможет воспользоваться людей, к о-
  181. торые сообщили о намерении голосовать на этапе (2), но не голосовали в действительности . Другой проблемой
  182. является сложность протокола ANDOS. Авторы рекомендуют разбивать избирателей на меньшие группы, н а-
  183. пример избирательные округа.
  184. Еще одной, более серьезной проблемой является то, что ЦИК может не подсчитать какой-нибудь бюллетень .
  185. Эта проблема неразрешима: Алиса утверждает, что ЦИК намеренно пренебрег ее бюллетенем, а ЦИК утве р-
  186. ждает, что Алиса никогда не голосовала .
  187. Голосование без Центральной избирательной комиссии
  188. В следующем протоколе ЦИК не используется, избиратели следят друг за другом . Этот протокол, созданный
  189. Майклом Мерриттом [452, 1076, 453], настолько громоздок, что возможность его реализации больше чем для
  190. пяти человек сомнительна, но все же познакомиться с ним будет полезно .
  191. Алиса, Боб, Кэрол и Дэйв голосуют (да/нет или 0/1) по какому-то вопросу . Пусть у каждого избирателя есть
  192. открытый и закрытый ключи. Пусть также все открытые ключи известны всем .
  193. (1) Каждый голосующий решает, как голосовать, и делает следующее:
  194. (a) Добавляет случайную строку к своему бюллетеню.
  195. (b) Шифрует результат этапа (а) открытым ключом Дэйва.
  196. (c) Шифрует результат этапа (b) открытым ключом Кэрол.
  197. (d) Шифрует результат этапа (c) открытым ключом Боба.
  198. (e) Шифрует результат этапа (d) открытым ключом Алисы.
  199. (f) Добавляет новую случайную строку к результату этапа ( e) и шифрует получившееся открытым кл ю-
  200. чом Дэйва. Он записывает значение случайной строки.
  201. (g) Добавляет новую случайную строку к результату этапа ( f) и шифрует получившееся открытым кл ю-
  202. чом Кэрол. Он записывает значение случайной строки.
  203. (h) Добавляет новую случайную строку к результату этапа ( g) и шифрует получившееся открытым кл ю-
  204. чом Боба. Он записывает значение случайной строки.
  205. (i) Добавляет новую случайную строку к результату этапа ( g) и шифрует получившееся открытым кл ю-
  206. чом Алисы. Он записывает значение случайной строки.
  207. Если E - это функция шифрования, Ri - случайная строка, а V - бюллетень , то его сообщение будет выгля-
  208. деть следующим образом:
  209. EA(R5,EB(R4,EC(R3,ED(R2,EA(EB(EC(ED(V,R1 ))))))))
  210. Каждый голосующий сохраняет промежуточные результаты на каждом этапе вычислений. Эти результаты
  211. будут использоваться на дальнейших этапах протокола для подтверждения, что бюллетень данного изб и-
  212. рателя будет учтен.
  213. (2) Каждый голосующий отправляет сообщение Алисе.
  214. (3) Алиса расшифровывает все бюллетени, используя свой закрытый ключ, и удаляет все случайные строки
  215. на этом уровне.
  216. (4) Алиса перетасовывает все бюллетени и посылает результат Бобу.
  217. Теперь каждый бюллетень будет выглядеть сл едующим образом:
  218. EB(R4,EC(R3,ED(R2,EA(EB(EC(ED(V,R1 )))))))
  219. (5) Боб расшифровывает все бюллетени, используя свой закрытый ключ, проверяет, есть ли его бюллетень
  220. среди присланных бюллетеней, удаляет все случайные строки на этом уровне, тасует бюллетени и посыл а-
  221. ет результат Кэрол.
  222. Теперь каждый бюллетень будет выглядеть сл едующим образом:
  223. EC(R3,ED(R2,EA(EB(EC(ED(V,R1 ))))))
  224. (6) Кэрол расшифровывает все бюллетени, используя свой закрытый ключ, проверяет, есть ли ее бюллетень
  225. среди присланных бюллетеней, удаляет все случайные строки на этом уровне, тасует бюллетени и посыл а-
  226. ет результат Дэйву.
  227. Теперь каждый бюллетень будет выглядеть сл едующим образом:
  228. ED(R2,EA(EB(EC(ED(V,R1 )))))
  229. (7) Дэйв расшифровывает все бюллетени, используя свой закрытый ключ, проверяет, есть ли его бюллетень
  230. среди присланных бюллетеней, удаляет все случайные строки на этом уровне, тасует бюллетени и посыл а-
  231. ет результат Алисе.
  232. Теперь каждый бюллетень будет выглядеть сл едующим образом:
  233. EA(EB(EC(ED(V,R1 ))))
  234. (8) Алиса расшифровывает все бюллетени, используя свой закрытый ключ, проверяет, есть ли ее бюллетень
  235. среди присланных бюллетеней, подписывает все бюллетени и посылает результат Бобу, Кэрол и Дэйву.
  236. Теперь каждый бюллетень будет выглядеть сл едующим образом:
  237. SA (EB(EC(ED(V,R1 ))))
  238. (9) Боб проверяет и удаляет подписи Алисы. Он расшифровывает все бюллетени, используя свой закрытый
  239. ключ, проверяет, есть ли его бюллетень среди присланных бюллетеней, подписывает все бюллетени и п о-
  240. сылает результат Алисе, Кэрол и Дэйву.
  241. Теперь каждый бюллетень будет выглядеть сл едующим образом:
  242. SB(EC(ED(V,R1 )))
  243. (10) Кэрол проверяет и удаляет подписи Боба. Она расшифровывает все бюллетени, используя свой закрытый
  244. ключ, проверяет, есть ли ее бюллетень среди присланных бюллетеней, подписывает все бюллетени и п о-
  245. сылает результат Алисе, Бобу и Дэйву.
  246. Теперь каждый бюллетень будет выглядеть сл едующим образом:
  247. SC(ED(V,R1 ))
  248. (11) Дэйв проверяет и удаляет подписи Кэрол. Он расшифровывает все бюллетени, используя свой закрытый
  249. ключ, проверяет, есть ли его бюллетень среди присланных бюллетеней, подписывает все бюллетени и п о-
  250. сылает результат Алисе, Бобу и Кэрол.
  251. Теперь каждый бюллетень будет выглядеть сл едующим образом:
  252. SD(V,R1 )
  253. (12) Все проверяют и удаляют подпись Дэйва. Они убеждаются, что их бюллетени находятся среди получе н-
  254. ных (находя свою случайную строку).
  255. (13) Все удаляют случайные строки из каждого бюллетеня и суммирует бюллетени.
  256. Этот протокол не только работает, он сам является своим арбитром . Алиса, Боб, Кэрол и Дэйв немедленно
  257. узнают, если кто-нибудь из них попытается мошенничать . Не нужно никаких ЦИК и ЦУР. Чтобы увидеть, как
  258. это работает, попытаемся смошенничать .
  259. Если кто-нибудь пытается добавить бюллетень, Алиса обнаружит эту попытку на этапе (3), когда она полу-
  260. чит бюллетеней больше чем количество людей, участвующих в голосовании . Если Алиса попытается добавить
  261. бюллетень, Боб обнаружит это на этапе (4).
  262. Более ловкой является подмена одного бюллетеня другим . Так как бюллетени шифруются различными о т-
  263. крытыми ключами, каждый может создать столько правильных бюллетеней, сколько нужно . Протокол дешиф-
  264. рирования состоит из двух частей : первая включает этапы (3)-(7), а вторая - этапы (8)-(11). Подмена голоса на
  265. различных этапах обнаруживается по разному.
  266. Если кто-нибудь заменит один бюллетень другим во второй части, его действия будут обнаружены неме д-
  267. ленно. На каждом этапе бюллетени подписываются и посылаются всем избирателям . Если один избиратель
  268. (или несколько) обнаруживает, что его бюллетеня больше нет среди набора бюллетеней , он немедленно пре-
  269. кращает выполнение протокола. Так как бюллетени подписываются на каждом этапе , и так как каждый может
  270. вернуться во второй части протокола на несколько шагов назад , то обнаружить мошенника, подменившего бю л-
  271. летени, легко.
  272. Замена одного бюллетеня другим в первой части протокола более тонка . Алиса не может сделать замену на
  273. этапе (3), потому что Боб, Кэрол и Дэйв обнаружат это на этапах (5), (6) или (7). Боб может попробовать на эта-
  274. пе (5). Если он заменит бюллетени Кэрол и Дэйва (помните, он не знает, какой бюллетень чей ), Кэрол или
  275. Дэйв заметят это на этапах (6) или (7). Они не будут знать, кто подменил их бюллетени (хотя это должен быть
  276. кто-то, уже обработавший бюллетени) , но они будут знать, что их голоса подменены . Если Бобу повезло, и ему
  277. удалось подменить бюллетень Алисы, она не заметит этого до второй части протокола. Тогда она обнаружит
  278. исчезновение своего голоса на этапе (8), но не сможет узнать, кто подменил бюллетень . В первой части бюлле-
  279. тени перетасовываются на каждом этапе и не подписываются, поэтому никто не сможет отработать протокол
  280. обратно и определить, кто подменил бюллетени.
  281. Другой формой мошенничества является попытка узнать, кто за кого проголосовал . Из-за перетасовки бюл-
  282. летеней в первой части никто не сможет отработать протокол обратно и связать бюллетени и голосующих . Уда-
  283. ление случайных строк в первой части также является решающим для сохранения анонимности. Если строки не
  284. удаляются, перемешивание голосов может быть инвертировано при помощи повторного шифрования получа е-
  285. мых голосов открытым ключом того, кто их тасовал . Когда протокол остановится, конфиденциальность бюлл е-
  286. теней сохранится.
  287. Более того, из-за начальной случайной строки , R1, даже одинаковые бюллетени шифруются по разному на
  288. каждом этапе протокола. Никто не может узнать значение бюллетеня до этапа (11).
  289. Каковы проблемы этого протокола ? Во первых, для выполнения протокола нужны грандиозные вычисления .
  290. В приведенном примере в голосовании принимают участие только четверо, но и он уже сложен. Такой прото-
  291. кол не сможет работать при реальных выборах с десятками тысяч голосующих . Во вторых, Дэйв узнает резуль-
  292. таты выборов раньше остальных . Хотя он и не может повлиять на результат, он получает определенное пр е-
  293. имущество. С другой стороны такое также возможно и при централизованной схеме голосования .
  294. Третья проблема заключается в том, что Алиса может скопировать бюллетень другого участника, даже не
  295. зная его содержания заранее. Чтобы понять, почему это может стать проблемой, рассмотрим выборы для трех
  296. голосующих - Алисы, Боба и Евы . Еве не важны результаты выборов, но она хочет знать, как голосовала Алиса .
  297. Поэтому она копирует бюллетень Алисы, и результат выборов будет соответствовать бюллетеню Алисы .
  298. Другие схемы голосования
  299. Было предложено много сложных безопасных протоколов выборов . Их можно разделить на два типа . Суще-
  300. ствуют протоколы с перемешиванием , как "Голосование без Центральной избирательной комиссии ", в которых
  301. все бюллетени перемешиваются, чтобы никто не мог связать бюллетень и избир ателя.
  302. Также существуют протоколы с разделением , в которых личные бюллетени делятся между различными
  303. счетными комиссиями так, что ни одна из них не сможет обмануть избирателей [360, 359, 118, 115]. Эти про-
  304. токолы Эти протоколы защищают анонимность избирателей только, если различные "части" правительства (или
  305. кто бы не проводил голосование) не сговариваются против избирателя . (Идея разбить центральный орган на
  306. несколько частей, которые пользуются доверием, только когда они действуют параллельно, пришла из [316].)
  307. Один из протоколов с разделением предложен в [1371]. Основная идея состоит в том, что каждый избир а-
  308. тель делит свой бюллетень на несколько частей . Например, если бы бюллетень содержал "да" или "нет", 1 обо-
  309. значала бы "да", а 0 - "нет", избиратель мог бы создать несколько чисел, которые в сумме давали бы 0 или 1 .
  310. Эти доли посылаются счетным комиссиям, каждой по одной, и также шифруются и сохраняются . Каждый центр
  311. суммирует полученные доли (существуют протоколы, обеспечивающие правильность итога ), и окончательный
  312. итог является суммой всех промежуточных итогов . Существуют также протоколы, гарантирующие, что доли
  313. каждого избирателя будут сложены для получения 0 или 1 .
  314. Другой протокол, предложенный Дэвидом Чаумом [322], позволяет проследить избирателя, который пытае т-
  315. ся мошенничать. Однако, выборы придется проводить повторно, исключив мешающего пользователя. Этот по д-
  316. ход не применим на практике для выборов с большим числом избирателей .
  317. Еще один, более сложный протокол, решающий некоторые из этих проблем можно найти в [770, 771]. Су-
  318. ществует даже протокол, использующий шифры со многими ключами [219]. Другой протокол, который, как
  319. утверждается, подходит для крупномасштабных выборов, приведен в [585]. А [347] позволяет избирателям не
  320. голосовать.
  321. Протоколы голосования работают, они даже облегчают продажу и покупку голосов . Когда покупатель может
  322. быть уверен, что продавец проголосует, как обещал, стимул купить голоса становится еще сильнее . Ряд прото-
  323. колов были спроектированы без подтверждения, не позволяя избирателю доказать кому-либо еще, что он пр о-
  324. голосовал определенным образом [117, 1170, 1372].
RAW Paste Data

Adblocker detected! Please consider disabling it...

We've detected AdBlock Plus or some other adblocking software preventing Pastebin.com from fully loading.

We don't have any obnoxious sound, or popup ads, we actively block these annoying types of ads!

Please add Pastebin.com to your ad blocker whitelist or disable your adblocking software.

×