E-Demokratie und E-Voting in Österreich. Erfahrungen, Einstellungen und Absichten der politisch Verantwortlichen und IT-Leiter der Länder und Gemeinden.

Heppner, Björn

03 1900

Durch die in vielen Ländern in der einen oder anderen Ausprägung bereits durchgeführten E-Voting Testwahlen sind E-Demokratie und im speziellen E-Voting in den letzten Jahren in Europa und auch in Österreich immer stärker in den Mittelpunkt des Interesses gerückt. Im Kontext von E-Demokratie und E-Voting spielen insbesondere zwei Anspruchsgruppen eine zentrale Rolle. Einerseits sind dies die Bürger, respektive die Wähler, die die Benutzer der neuen Technologien sind. Andererseits spielen die Verantwortlichen auf politischer Ebene und in der Verwaltung eine zentrale Rolle, da sie diejenigen sind, die neue E-Demokratie- und E-Voting-Lösungen auf den verschiedenen Ebenen des Staates implementieren. Die vorliegende Arbeit untersucht die Einstellungen und Absichten der zweiten Anspruchsgruppe, also der verantwortlichen Politiker und IT-Leiter der Länder und Gemeinden Österreichs, in Bezug auf E-Demokratie und E-Voting. (Autorenref.)

RVK ST 660, MG 33400

Möglichkeiten und Grenzen von Internetwahlen /

Hanßmann, Anika.

January 2004

Univ., Diss.--Münster, 2003.

Stimmgeheimnis : eine rechtsvergleichende und rechtshistorische Untersuchung unter Einbezug des geltenden Rechts /

Braun, Nadja.

January 2006

Univ., Diss.--Bern, 2005.

Dudle: Mehrseitig sichere Web 2.0-Terminabstimmung / Dudle: Multilateral Secure Web 2.0-Event Scheduling

Kellermann, Benjamin

21 December 2011

Es existiert eine Vielzahl an Web 2.0-Applikationen, welche es einer Gruppe von Personen ermöglichen, einen gemeinsamen Termin zu finden (z. B. doodle.com, moreganize.ch, whenisgood.net, agreeadate.com, meetomatic.com, etc.) Der Ablauf ist simpel: Ein Initiator legt eine Terminumfrage an und schickt den Link zu der Umfrage zu den potentiellen Teilnehmern. Nachdem jeder Teilnehmer der Anwendung seine Verfügbarkeiten mitgeteilt hat, kann anhand dieser Informationen ein Termin gefunden werden, der am besten passt. Maßnahmen um die Vertraulichkeit und Integrität der Daten zu schützen finden in allen bestehenden Applikationen zu wenig Beachtung. In dieser Dissertation wurde eine Web 2.0-Applikation entwickelt, welche es zulässt Terminabstimmungen zwischen mehreren Teilnehmern durchzuführen und dabei möglichst wenige Vertrauensannahmen über alle Beteiligten zu treffen. / Applications which help users to schedule events are becoming more and more important. A drawback of most existing applications is, that the preferences of all participants are revealed to the others. We propose a schemes, which are able to schedule events in a privacy-enhanced way. In addition, Dudle, a Web 2.0 application is presented which implements these schemes.

E-Voting

Web 2.0

Terminplanung

electronic voting

anonymity

privacy-enhanced application design

Web 2.0

ddc:004

rvk:ST 205

rvk:ST 277

Elektronische Wahl

World Wide Web 2.0

Terminplanung

Dudle: Mehrseitig sichere Web 2.0-Terminabstimmung

Kellermann, Benjamin

16 December 2011

Es existiert eine Vielzahl an Web 2.0-Applikationen, welche es einer Gruppe von Personen ermöglichen, einen gemeinsamen Termin zu finden (z. B. doodle.com, moreganize.ch, whenisgood.net, agreeadate.com, meetomatic.com, etc.) Der Ablauf ist simpel: Ein Initiator legt eine Terminumfrage an und schickt den Link zu der Umfrage zu den potentiellen Teilnehmern. Nachdem jeder Teilnehmer der Anwendung seine Verfügbarkeiten mitgeteilt hat, kann anhand dieser Informationen ein Termin gefunden werden, der am besten passt. Maßnahmen um die Vertraulichkeit und Integrität der Daten zu schützen finden in allen bestehenden Applikationen zu wenig Beachtung. In dieser Dissertation wurde eine Web 2.0-Applikation entwickelt, welche es zulässt Terminabstimmungen zwischen mehreren Teilnehmern durchzuführen und dabei möglichst wenige Vertrauensannahmen über alle Beteiligten zu treffen.:1. Einleitung 1 2. Anforderungsanalyse 3 2.1. Begriffsdefinitionen/Primärfunktionalität . . . . . . . . . . . . . . . . . . . 3 2.2. Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.2.1. Benutzbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.2.2. Mehrseitige Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.2.3. Beziehungen der Anforderungen . . . . . . . . . . . . . . . . . . . . 13 3. Abstimmungsverfahren mit mindestens einer vertrauenswürdigen Entität 15 3.1. Existierende Verfahren mit vertrauenswürdigem Serveradministrator . . . 15 3.1.1. Ohne Zugriffskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . 15 3.1.2. Schutz gegen außenstehende Angreifer . . . . . . . . . . . . . . . . 16 3.1.3. Schutz gegen angreifende Teilnehmer . . . . . . . . . . . . . . . . . 18 3.1.4. Schutz gegen den Netzwerkbetreiber . . . . . . . . . . . . . . . . . 20 3.1.5. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 3.2. Neue Verfahren mit vertrauenswürdigen Teilnehmern . . . . . . . . . . . . 20 3.2.1. Allen Teilnehmern vertrauen . . . . . . . . . . . . . . . . . . . . . 22 3.2.2. Nur dem Umfrageinitiator vertrauen . . . . . . . . . . . . . . . . . 23 3.2.3. Ausblick auf Schemata ohne vertrauenswürdige Entitäten . . . . . 25 3.2.4. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 4. Abstimmungsverfahren ohne vertrauenswürdige Entitäten 29 4.1. Existierende Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 4.1.1. E-Voting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 4.1.2. Verteilte Constraint-Optimierung . . . . . . . . . . . . . . . . . . . 33 4.1.3. Spezifische Terminplanungsprotokolle . . . . . . . . . . . . . . . . . 34 4.2. Einfaches Schema für protokolltreue Teilnehmer . . . . . . . . . . . . . . . 34 4.2.1. Umfrageerstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 4.2.2. Stimmenabgabe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 4.2.3. Ergebnisveröffentlichung . . . . . . . . . . . . . . . . . . . . . . . . 36 4.3. Erweiterung des Schemas auf protokollverletzende Angreifer innerhalb der Teilnehmer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 4.3.1. Angriffe erkennen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 4.3.2. Angreifer identifizieren . . . . . . . . . . . . . . . . . . . . . . . . . 43 4.4. Evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 4.4.1. Integrität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 4.4.2. Verfügbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 4.4.3. Vertraulichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 4.4.4. Blockierende Protokollrunden . . . . . . . . . . . . . . . . . . . . . 57 4.4.5. Reaktionszeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 4.4.6. Installationsaufwand . . . . . . . . . . . . . . . . . . . . . . . . . . 64 4.4.7. Flexibilität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 4.5. Erweiterungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 4.5.1. Teilnehmer dynamisch hinzufügen/entfernen . . . . . . . . . . . . . 64 4.5.2. Präferenzwahl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 4.5.3. Stimmenupdate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 5. Implementierung 69 5.1. Verfahren mit vertrauenswürdigem Serveradministrator . . . . . . . . . . . 69 5.1.1. YATA – Yet Another Terminabstimmungsapplikation . . . . . . . . 69 5.1.2. Schutz gegenüber dem Netzwerkbetreiber . . . . . . . . . . . . . . 75 5.2. Verfahren ohne vertrauenswürdigem Serveradministrator . . . . . . . . . . 77 5.2.1. Symmetrische Verschlüsselung, symmetrische Authentifikation . . . 78 5.2.2. Symmetrische Verschlüsselung, digitale Signatur . . . . . . . . . . . 80 5.2.3. Asymmetrische Verschlüsselung an den Initiator . . . . . . . . . . . 81 5.2.4. Minimal benötigtes Vertrauen in alle Entitäten . . . . . . . . . . . 83 5.3. Kryptographie mit JavaScript . . . . . . . . . . . . . . . . . . . . . . . . . 88 5.3.1. Schlüsselspeicherung . . . . . . . . . . . . . . . . . . . . . . . . . . 88 5.3.2. Blockieren der JavaScript-Berechnungen vermeiden . . . . . . . . . 94 5.3.3. Performanceverbesserung der JavaScript-Berechnungen . . . . . . . 96 5.3.4. JavaScript-Code vertrauen . . . . . . . . . . . . . . . . . . . . . . . 97 6. Zusammenfassung und Ausblick 99 Literatur xvii A. Entropie eines Verfügbarkeitsvektors xxv A.1. Beispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxv A.2. Allgemeine Berechnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxv B. Stimmenabgabe (min. Vertrauen) xxvii C. Ergebnisveröffentlichung (min. Vertrauen) xxix D. Schlüsseltransportmechanismus 2 nach ISO/EIC 1170-3 xxxi / Applications which help users to schedule events are becoming more and more important. A drawback of most existing applications is, that the preferences of all participants are revealed to the others. We propose a schemes, which are able to schedule events in a privacy-enhanced way. In addition, Dudle, a Web 2.0 application is presented which implements these schemes.:1. Einleitung 1 2. Anforderungsanalyse 3 2.1. Begriffsdefinitionen/Primärfunktionalität . . . . . . . . . . . . . . . . . . . 3 2.2. Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.2.1. Benutzbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.2.2. Mehrseitige Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.2.3. Beziehungen der Anforderungen . . . . . . . . . . . . . . . . . . . . 13 3. Abstimmungsverfahren mit mindestens einer vertrauenswürdigen Entität 15 3.1. Existierende Verfahren mit vertrauenswürdigem Serveradministrator . . . 15 3.1.1. Ohne Zugriffskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . 15 3.1.2. Schutz gegen außenstehende Angreifer . . . . . . . . . . . . . . . . 16 3.1.3. Schutz gegen angreifende Teilnehmer . . . . . . . . . . . . . . . . . 18 3.1.4. Schutz gegen den Netzwerkbetreiber . . . . . . . . . . . . . . . . . 20 3.1.5. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 3.2. Neue Verfahren mit vertrauenswürdigen Teilnehmern . . . . . . . . . . . . 20 3.2.1. Allen Teilnehmern vertrauen . . . . . . . . . . . . . . . . . . . . . 22 3.2.2. Nur dem Umfrageinitiator vertrauen . . . . . . . . . . . . . . . . . 23 3.2.3. Ausblick auf Schemata ohne vertrauenswürdige Entitäten . . . . . 25 3.2.4. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 4. Abstimmungsverfahren ohne vertrauenswürdige Entitäten 29 4.1. Existierende Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 4.1.1. E-Voting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 4.1.2. Verteilte Constraint-Optimierung . . . . . . . . . . . . . . . . . . . 33 4.1.3. Spezifische Terminplanungsprotokolle . . . . . . . . . . . . . . . . . 34 4.2. Einfaches Schema für protokolltreue Teilnehmer . . . . . . . . . . . . . . . 34 4.2.1. Umfrageerstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 4.2.2. Stimmenabgabe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 4.2.3. Ergebnisveröffentlichung . . . . . . . . . . . . . . . . . . . . . . . . 36 4.3. Erweiterung des Schemas auf protokollverletzende Angreifer innerhalb der Teilnehmer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 4.3.1. Angriffe erkennen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 4.3.2. Angreifer identifizieren . . . . . . . . . . . . . . . . . . . . . . . . . 43 4.4. Evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 4.4.1. Integrität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 4.4.2. Verfügbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 4.4.3. Vertraulichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 4.4.4. Blockierende Protokollrunden . . . . . . . . . . . . . . . . . . . . . 57 4.4.5. Reaktionszeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 4.4.6. Installationsaufwand . . . . . . . . . . . . . . . . . . . . . . . . . . 64 4.4.7. Flexibilität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 4.5. Erweiterungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 4.5.1. Teilnehmer dynamisch hinzufügen/entfernen . . . . . . . . . . . . . 64 4.5.2. Präferenzwahl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 4.5.3. Stimmenupdate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 5. Implementierung 69 5.1. Verfahren mit vertrauenswürdigem Serveradministrator . . . . . . . . . . . 69 5.1.1. YATA – Yet Another Terminabstimmungsapplikation . . . . . . . . 69 5.1.2. Schutz gegenüber dem Netzwerkbetreiber . . . . . . . . . . . . . . 75 5.2. Verfahren ohne vertrauenswürdigem Serveradministrator . . . . . . . . . . 77 5.2.1. Symmetrische Verschlüsselung, symmetrische Authentifikation . . . 78 5.2.2. Symmetrische Verschlüsselung, digitale Signatur . . . . . . . . . . . 80 5.2.3. Asymmetrische Verschlüsselung an den Initiator . . . . . . . . . . . 81 5.2.4. Minimal benötigtes Vertrauen in alle Entitäten . . . . . . . . . . . 83 5.3. Kryptographie mit JavaScript . . . . . . . . . . . . . . . . . . . . . . . . . 88 5.3.1. Schlüsselspeicherung . . . . . . . . . . . . . . . . . . . . . . . . . . 88 5.3.2. Blockieren der JavaScript-Berechnungen vermeiden . . . . . . . . . 94 5.3.3. Performanceverbesserung der JavaScript-Berechnungen . . . . . . . 96 5.3.4. JavaScript-Code vertrauen . . . . . . . . . . . . . . . . . . . . . . . 97 6. Zusammenfassung und Ausblick 99 Literatur xvii A. Entropie eines Verfügbarkeitsvektors xxv A.1. Beispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxv A.2. Allgemeine Berechnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxv B. Stimmenabgabe (min. Vertrauen) xxvii C. Ergebnisveröffentlichung (min. Vertrauen) xxix D. Schlüsseltransportmechanismus 2 nach ISO/EIC 1170-3 xxxi

info:eu-repo/classification/ddc/004

ddc:004

E-Voting, Web 2.0, Terminplanung