(3)ЦИК публикует список избирателей, участвующих в выборах .

(4)Каждый избиратель получает идентификационный номер, I, с помощью протокола ANDOS.

(5)Каждый избиратель генерирует пару открытый ключ/закрытый ключ : k, d. If Если v - это бюллетень, то избиратель создает и посылает в ЦИК следующее сообщение :

Это сообщение должно быть послано анонимно .

(6)ЦИК подтверждает получение бюллетеня, публикуя : Ek(l v)

(7)Каждый избиратель посылает ЦИК: I, d

(8)ЦИК расшифровывает бюллетени. В конце выборов она публикует их результаты и, для каждого варианта выбора, список соответствующий значений Ek(I, v).

(9)Если избиратель обнаруживает, что его бюллетень подсчитан неправильно, он протестует, посылая ЦИК : I, Ek(I, v), d

(10)Если избиратель хочет изменить свой бюллетень с v на v, он посылает ЦИК: I, Ek(I, v), d

Другой протокол голосования использует вместо ANDOS слепые подписи, но по сути мало чем отличается [585]. Этапы (1) - (3) являются предварительными. Их цель состоит в том, чтобы узнать и опубликовать всех действительных избирателей. Хотя некоторые из них, вероятно, не примут участи в голосовании, это уменьшает возможность ЦИК добавить поддельные бюллетени .

На этапе (4) два избирателя могут получить один и тот же идентификационный номер . Эта возможность может быть минимизирована, если число возможных идентификационных номеров будет гораздо больше, чем число реальных избирателей. Если два избирателя присылают бюллетени с одинаковым идентификатором, ЦИК генерирует новый идентификационный номер, I, выбирает одного из избирателей и публикует:

I,Ek(I, v)

Владелец этого бюллетеня узнает о произошедшей путанице и посылает свой бюллетень снова, повторяя этап (5) с новым идентификационным номером.

Этап (6) дает каждому избирателю возможность проверить, что ЦИК правильно получила его бюллетень . Если его бюллетень неправильно подсчитан, он может доказать это на этапе ( 9). Предполагая, что бюллетень избирателя на этапе (6) правилен, сообщение, которое он посылает на этапе (9) доказывает, что его бюллетень был неправильно подсчитан.

Одной из проблем этого протокола является то, что жульническая ЦИК сможет воспользоваться людей, к о-торые сообщили о намерении голосовать на этапе (2), но не голосовали в действительности . Другой проблемой является сложность протокола ANDOS. Авторы рекомендуют разбивать избирателей на меньшие группы, н а-пример избирательные округа.

Еще одной, более серьезной проблемой является то, что ЦИК может не подсчитать какой-нибудь бюллетень . Эта проблема неразрешима: Алиса утверждает, что ЦИК намеренно пренебрег ее бюллетенем, а ЦИК утве р-ждает, что Алиса никогда не голосовала.

Голосование без Центральной избирательной комиссии

В следующем протоколе ЦИК не используется, избиратели следят друг за другом . Этот протокол, созданный Майклом Мерриттом [452, 1076, 453], настолько громоздок, что возможность его реализации больше чем для пяти человек сомнительна, но все же познакомиться с ним будет полезно .

Алиса, Боб, Кэрол и Дэйв голосуют (да/нет или 0/1) по какому-то вопросу . Пусть у каждого избирателя есть открытый и закрытый ключи. Пусть также все открытые ключи известны всем.

(1) Каждый голосующий решает, как голосовать, и делает следующее:

(a)Добавляет случайную строку к своему бюллетеню.

(b)Шифрует результат этапа (а) открытым ключом Дэйва.

(c)Шифрует результат этапа (b) открытым ключом Кэрол.

(d)Шифрует результат этапа (c) открытым ключом Боба.

(e)Шифрует результат этапа (d) открытым ключом Алисы.

(f)Добавляет новую случайную строку к результату этапа (e) и шифрует получившееся открытым кл ю-чом Дэйва. Он записывает значение случайной строки.

(g)Добавляет новую случайную строку к результату этапа (f) и шифрует получившееся открытым кл ю-чом Кэрол. Он записывает значение случайной строки.

(h)Добавляет новую случайную строку к результату этапа (g) и шифрует получившееся открытым кл ю-чом Боба. Он записывает значение случайной строки.

(i)Добавляет новую случайную строку к результату этапа (g) и шифрует получившееся открытым кл ю-чом Алисы. Он записывает значение случайной строки.

Если E - это функция шифрования, Rt - случайная строка, а V - бюллетень , то его сообщение будет выглядеть следующим образом:

Ea(R5,Eb(R4,Ec(Rs,Ed(R2,Ea(Eb(Ec(Ed(V,Ri))))))))

Каждый голосующий сохраняет промежуточные результаты на каждом этапе вычислений. Эти результаты будут использоваться на дальнейших этапах протокола для подтверждения, что бюллетень данного изб и-рателя будет учтен.

(2)Каждый голосующий отправляет сообщение Алисе.

(3)Алиса расшифровывает все бюллетени, используя свой закрытый ключ, и удаляет все случайные строки на этом уровне.

(4)Алиса перетасовывает все бюллетени и посылает результат Бобу. Теперь каждый бюллетень будет выглядеть сл едующим образом: Eb(R4,Ec(Rs,Ed(R2,Ea(Eb(Ec(Ed(V,Ri))))))J

(5)Боб расшифровывает все бюллетени, используя свой закрытый ключ, проверяет, есть ли его бюллетень среди присланных бюллетеней, удаляет все случайные строки на этом уровне, тасует бюллетени и посыл а-ет результат Кэрол.

Теперь каждый бюллетень будет выглядеть сл едующим образом: Ec(Rs,Ed(R2,Ea(Eb(Ec(Ed(V,Ri ))))))

(6)Кэрол расшифровывает все бюллетени, используя свой закрытый ключ, проверяет, есть ли ее бюллетень среди присланных бюллетеней, удаляет все случайные строки на этом уровне, тасует бюллетени и посыл а-ет результат Дэйву.

Теперь каждый бюллетень будет выглядеть сл едующим образом: Ed(R2,Ea(Eb(Ec(Ed(V,Ri )))))

(7)Дэйв расшифровывает все бюллетени, используя свой закрытый ключ, проверяет, есть ли его бюллетень среди присланных бюллетеней, удаляет все случайные строки на этом уровне, тасует бюллетени и посыл а-ет результат Алисе.

Теперь каждый бюллетень будет выглядеть сл едующим образом: Ea(Eb(Ec(Ed(V,Ri ))))

(8)Алиса расшифровывает все бюллетени, используя свой закрытый ключ, проверяет, есть ли ее бюллетень среди присланных бюллетеней, подписывает все бюллетени и посылает результат Бобу, Кэрол и Дэйву.

Теперь каждый бюллетень будет выглядеть сл едующим образом:

Sa (Eb(Ec(Ed(V,Ri))))

(9)Боб проверяет и удаляет подписи Алисы. Он расшифровывает все бюллетени, используя свой закрытый ключ, проверяет, есть ли его бюллетень среди присланных бюллетеней, подписывает все бюллетени и п о-сылает результат Алисе, Кэрол и Дэйву.

Теперь каждый бюллетень будет выглядеть сл едующим образом: Sb(Ec(Ed(V,Ri )))

(10) Кэрол проверяет и удаляет подписи Боба. Она расшифровывает все бюллетени, используя свой закрытый

ключ, проверяет, есть ли ее бюллетень среди присланных бюллетеней, подписывает все бюллетени и п о-сылает результат Алисе, Бобу и Дэйву.

Теперь каждый бюллетень будет выглядеть сл едующим образом: Sc(Ed(V,R,))

(11)Дэйв проверяет и удаляет подписи Кэрол. Он расшифровывает все бюллетени, используя свой закрытый ключ, проверяет, есть ли его бюллетень среди присланных бюллетеней, подписывает все бюллетени и п о-сылает результат Алисе, Бобу и Кэрол.

Теперь каждый бюллетень будет выглядеть сл едующим образом: Sd(V,R,)

(12)Все проверяют и удаляют подпись Дэйва. Они убеждаются, что их бюллетени находятся среди получе н-ных (находя свою случайную строку).

(13)Все удаляют случайные строки из каждого бюллетеня и суммирует бюллетени.

Этот протокол не только работает, он сам является своим арбитром . Алиса, Боб, Кэрол и Дэйв немедленно узнают, если кто-нибудь из них попытается мошенничать . Не нужно никаких ЦИК и ЦУР. Чтобы увидеть, как это работает, попытаемся смошенничать .

Если кто-нибудь пытается добавить бюллетень, Алиса обнаружит эту попытку на этапе (3), когда она получит бюллетеней больше чем количество людей, участвующих в голосовании . Если Алиса попытается добавить бюллетень, Боб обнаружит это на этапе (4).

Более ловкой является подмена одного бюллетеня другим . Так как бюллетени шифруются различными о т-крытыми ключами, каждый может создать столько правильных бюллетеней, сколько нужно . Протокол дешифрирования состоит из двух частей: первая включает этапы (3)-(7), а вторая - этапы (8)-(11). Подмена голоса на различных этапах обнаруживается по разному.

Если кто-нибудь заменит один бюллетень другим во второй части, его действия будут обнаружены неме д-ленно. На каждом этапе бюллетени подписываются и посылаются всем избирателям . Если один избиратель (или несколько) обнаруживает, что его бюллетеня больше нет среди набора бюллетеней , он немедленно прекращает выполнение протокола. Так как бюллетени подписываются на каждом этапе , и так как каждый может вернуться во второй части протокола на несколько шагов назад , то обнаружить мошенника, подменившего бю л-летени, легко.

Замена одного бюллетеня другим в первой части протокола более тонка . Алиса не может сделать замену на этапе (3), потому что Боб, Кэрол и Дэйв обнаружат это на этапах (5), (6) или (7). Боб может попробовать на этапе (5). Если он заменит бюллетени Кэрол и Дэйва (помните, он не знает, какой бюллетень чей), Кэрол или Дэйв заметят это на этапах (6) или (7). Они не будут знать, кто подменил их бюллетени (хотя это должен быть кто-то, уже обработавший бюллетени) , но они будут знать, что их голоса подменены . Если Бобу повезло, и ему удалось подменить бюллетень Алисы, она не заметит этого до второй части протокола. Тогда она обнаружит исчезновение своего голоса на этапе (8), но не сможет узнать, кто подменил бюллетень. В первой части бюллетени перетасовываются на каждом этапе и не подписываются, поэтому никто не сможет отработать протокол обратно и определить, кто подменил бюллетени.

Другой формой мошенничества является попытка узнать, кто за кого проголосовал . Из-за перетасовки бюллетеней в первой части никто не сможет отработать протокол обратно и связать бюллетени и голосующих . Удаление случайных строк в первой части также является решающим для сохранения анонимности. Если строки не удаляются, перемешивание голосов может быть инвертировано при помощи повторного шифрования получа е-мых голосов открытым ключом того, кто их тасовал . Когда протокол остановится, конфиденциальность бюлл е-теней сохранится.

Более того, из-за начальной случайной строки, даже одинаковые бюллетени шифруются по разному на каждом этапе протокола. Никто не может узнать значение бюллетеня до этапа (11).

Каковы проблемы этого протокола? Во первых, для выполнения протокола нужны грандиозные вычисления . В приведенном примере в голосовании принимают участие только четверо, но и он уже сложен. Такой протокол не сможет работать при реальных выборах с десятками тысяч голосующих . Во вторых, Дэйв узнает результаты выборов раньше остальных. Хотя он и не может повлиять на результат, он получает определенное пр е-имущество. С другой стороны такое также возможно и при централизованной схеме голосования .

Третья проблема заключается в том, что Алиса может скопировать бюллетень другого участника, даже не зная его содержания заранее. Чтобы понять, почему это может стать проблемой, рассмотрим выборы для трех голосующих - Алисы, Боба и Евы . Еве не важны результаты выборов, но она хочет знать, как голосовала Алиса . Поэтому она копирует бюллетень Алисы, и результат выборов будет соответствовать бюллетеню Алисы .