Prelegerea 9 Protocoale de vot electronic

Guvernele si organizat iile democratice au nevoie de anumite mecanisme pentru a permite aleg atorilor s a voteze. In mod tradit ional, alegerile reprezint a pentru persoanele cu drept de vot mecanismele ociale prin care acestea si pot exprima opt iunile n mod democratic, n timp ce sondajele constituie una din cele mai bune metode neociale de aare a opt iunilor electoratului. At at n alegeri c at si n sondaje intimitatea si securitatea sunt deziderate obligatorii dar al c aror cost poate cre ste substant ial. Mecanismele care asigur a securitatea si intimitatea aleg atorilor pot scumpe si/sau consumatoare de timp pentru administratorii acestora si neconvenabile pentru aleg atori. Organizarea de alegeri sigure devine si mai dicil a atunci c and aleg atorii sunt distribuit i pe o mare zona geograc a. Acestea sunt c ateva motive pentru care poate propus a cu succes modalitatea de vot electronic. Primele idei apar n anii 80, iar ideile dezvoltate n acest interval de timp l fac din ce n ce mai credibil pentru utilizarea sa ntr-un mediu informatizat.

9.1

Caracteristici ale unui sistem de vot

De si exist a numeroase protocoale si sisteme de votare, procedura de baz a pentru organizarea de alegeri democratice este standard. Aceast a procedur a indiferent dac a este vorba de o votare clasic a sau una electronic a implic a n general ndeplinirea a patru sarcini: 1. Inregistrarea: crearea unei liste de persoane care au dreptul s a voteze; 2. Validarea: vericarea datelor personale ale celor care doresc s a voteze. Se permite votarea numai pentru cei care au drept s a voteze si nu au votat deja. 3. Colectarea voturilor de la centrele de votare. ararea voturilor. 4. Num Pentru a avea ncredere n rezultatul alegerilor, oamenii trebuie s a aib a dovezi c a aceste sarcini au fost ndeplinite n mod corect. Exist a ns a numeroase posibilit a ti de corupere a sistemului n timpul ndeplinirii ec areia din aceste sarcini. De exemplu: a tile electorale pot tri sa permit a nd aleg atorilor f ar a drept de vot s a se nregistreze Autorit la vot, iar aleg atorilor nregistrat i s a voteze de mai multe ori. De asemenea poate pierde 107

108

PRELEGEREA 9. PROTOCOALE DE VOT ELECTRONIC

sau ad auga voturi suplimentare.

Aleg atorii f ar a drept de vot se pot nregistra (cel mai frecvent folosind numele unei persoane decedate) sau cei cu drept de vot se pot nregistra sub mai multe nume. Se poate ncerca participarea la vot sub o identitate fals a. Cutiile cu voturi, voturile sau ma sinile de num arat pot compromise. Atunci c and se proiecteaz a un sistem electronic de vot este esent ial s a se implementeze modalit a ti prin care cele patru condit ii ment ionate mai sus s a e ndeplinite f ar a a sacrica intimitatea aleg atorilor sau a oferi posibilit a ti de fraud a. In plus, mai trebuie ndeplinite c ateva condit ii specice unui astfel de sistem. Conform cu [5], [6], un sistem de vot electronic trebuie s a satisfac a urm atoarele cerint e: 1. Anonimitatea votant ilor: Nu exist a nici o modalitate prin care poate dezv aluit a identitatea unei persoane care voteaz a. 2. Acuratet e: Oricine poate verica validitatea voturilor si se poate asigura c a voturile nu au fost schimbate, multiplicate sau eliminate de cineva (inclusiv de autorit a ti). 3. Necoliziune: Garant ia c a toate voturile legale difer a ntre ele. 4. Corectitudine de num ar: Suma voturilor repartizate pe candidat i este egal a cu numaul de voturi valide. 5. Vericabilitate: Orice votant poate controla dac a votul s au a fost num arat si repartizat candidatului pe care l-a votat. 6. Detectarea dublei votari: Dac a apare un vot dublu, organizatorii pot identica persoana care a votat de mai multe ori. In aceast a prelegere vom prezenta c ateva protocoale de vot care s a ndeplineasc a c at mai multe din aceste cerint e.

9.2

Protocol independent de vot

Cele mai simple protocoale de vot nu folosesc nici o autoritate, baz ajndu-se numai pe aleg atori. Sunt primele protocoale concepute pentru votare, bazate pe aplc ari succesive de cript ari si/sau semn ari digitale de mesaje. Anonimitatea se obt ine prin aplicarea de permut ari n diverse faze. Pentru exemplicare, prezent am protocolul lui Michael Merritt: Sunt N aleg atori, ecare aleg ator i av and cheia public a de criptare ei si cheia privat a di , precum si o semn atur a electronic a sigi . Protocolul este urm atorul; ator i ata seaz a un num ar aleator ri la votul s au mi . 1. Fiecare aleg
Este celebr a declarat ia dictatorului rus I.V.Stalin: Nu este important pe cine voteaz a lumea; important este cine num ar a voturile.
1

 9.3. PROTOCOL CU AUTORITATE CENTRRALA

109

2. Cripteaz a perechea (mi , ri ) cu cheile publice ale tuturor aleg atorilor n ordinea 1, . . . , N , obt in and secvent a eN (eN 1 (. . . (e1 (mi , ri )) . . .). a pasul anterior, ad aug and dup a ecare criptare c ate un num ar aleator Ri distinct 3. Repet (pe care-l trimite lui i). Se obt ine eN (RN , eN 1 (. . . (R2 , e1 (R1 , eN (eN 1 (. . . (e1 (mi , ri )) . . .) 4. Toate aceste voturi sunt str anse de aleg atorul N . Fiecare aleg ator i: (a) Decripteaz a mesajul cu cheia sa secret a di , scoate num arul Ri si se asigur a c a este pe lista numerelor aleatoare primite. (b) Amestec a cele N voturi si le trimite lui i 1 (aleg atorul 1 le trimite lui N ). Dup a afectuarea acestui pas, aleg atorul N dispune de N mesaje de forma eN (eN 1 (. . . (e1 (mi , ri )) . . .). pe care le semneaz a cu semn atura sa sigN . ator i: 5. Procedeul se reia, ecare aleg (a) Veric a validitatea semn aturii aleg atorului i + 1; (b) Decripteaz a mesajele primite; (c) Aplic a propria sa semn atur a sigi si trimite lui i 1 cele N mesaje de forma sigi (ei (. . . (e1 (mi , r + i) . . .). 6. Tot i aleg atorii conrm a semn atura aleg atorului 1. Voturile sunt num arate n comun, ecare aleg ator put andu-se convinge de existent a votului s au datorit a num arului aleator ata sat. In timpul procesului de votare num arul de voturi este constant, deci pierderea sau ad augarea unui vot este u sor de detectat. Amestecul voturilor asigur a anonimitatea. De asemenea, voturile nu pot nlocuite; o astfel de ncercare pe parcursul primei runde este depistat a prin num arul aleator introdus incorect. Dac a aleg atorul i nlocuie ste votul aleg storului j (j > i), atunci aleg atorul j va detecta acest lucru la nceputul celei de-a doua runde de decript ari (pasul 5). O ncercare de nlocuire pe parcursul celei de-a doua runde este depistat a la decriptarea nal a c and ecare aleg ator si veric a prpriul s au num ar ri . Un defect major al acestui protocol const a n implementarea dicil a datorat a num arului mare de calcule, dependent de num arul de votant i N .

9.3

Protocol cu autoritate centrral a

Pentru mic sorarea volumului de calcule se poate itnroduce o nou a entitate care se ocup a cu nregistrarea aleg atorilor; ea este numit a de obicei autoritate central a (AC ). Prezent am o variant a de protocol cu autoritate central a. Se presupune c a prin carta de aleg ator, ecare persoan a k dispune de dou a chei ek (public a) si dk (secret a).

110

PRELEGEREA 9. PROTOCOALE DE VOT ELECTRONIC

1. AC ntreab a ecare aleg ator dac a dore ste sau nu s a participe la alegeri. 2. Se public a o list a cu tot i aleg atorii nregistrat i. ator prime ste de la AC un ID (printr-un protocol de dezv aluire part ial aa 3. Fiecare aleg secretelor) 4. Fiecare aleg ator i trimite spre AC perechea (ID, ei (ID, m)). 5. AC public a ei (ID, m) pentru tot i aleg atorii de pe lista de la punctul (2). 6. Fiecare aleg ator i trimite anonim spre AC perechea (ID, di ). 7. AC asociaz a mesajele dup a ID, le decripteaz a, veric a autenticitatea voturilor si public a perechile (ID, m) pentru tot i participant ii la vot. Acest sistem mpiedic a at at aleg atorii neautorizat i s a voteze, c at si pe cei neautorizat i s a voteze de dou a ori. Aleg atorilor nu li se pot aa identitatea real a, deoarece ecare ID se obt ine printrun protocol de dezv aluire part ial a a secretelor, deci AC nu stie la cine a ajuns ecare ID. Exist a si n acest protocol c ateva neajunsuri. Primul si cel mai important este acela c a o autoritate central a reprezint a un punct de corupt ie asupra c aruia nu exist a control. ea poate falsica voturi n numele aleg atorilor care se abt in, poate pierde voturi valide (nici un aleg ator nu poate demonstra c a a trimis ntr-adevar un vot). In plus, implementarea sa r am ane destul de complex a. O prim a idee de mbun at a tire a sistemului a constat n introducerea mai multor autorit a ti centrale, dependente una de alta. De exemplu, se pot introduce dou a autorit a ti: una care se ocup a de legitimitatea aleg atorilor (s a i spunem AL - agent e de legimitate), alta care se ocup a de num ararea efectiv a a voturilor (AT - agent ie de tabulare). Un vot valid trebuie s a treac a prin ambele agent ii pentru validare. Prima recunoa ste dreptul aleg atorului de a vota (f ar aa vedea cont inutul votului), eliber andu-i un buletin. A doua agent ie prime ste votul mpreun a cu buletinul de validare. O variant a de astfel de protocol ( n ipoteza c a cele dou a agent ii nu se aliaz a pentru falsicarea vot arii) este: 1. Fiecare aleg ator (dup a demonstrarea identit a tii sale) solicit a AL un num ar de autenticare. a aleator numere de autenticare si le distribuie. 2. AL genereaz 3. AL trimite spre AT lista tuturor numerelor de autenticare. 4. Fiecare votant alege aleator un ID (num ar de validare) si trimite spre AT un triplet format din num arul de autenticare, ID si votul s au. a num arul de autenticare si dac a este pe list a l bifeaz a si public a votul 5. AT veric mpreun a cu nunm arul de validare.

9.4. PROTOCOLUL MU-VARADHARAJAN

111

9.4

Protocolul Mu-Varadharajan

Dup a 1986 au fost publicate diverse protocoale de vot, ecare av and avantajele si dezavantajele sale. A se vedea de exemplu [1] (primul protocol de vot utilizabil pe scar a larg a), [2], [4], [7], [8], [9]. In continuarea acestei prelegeri vom prezenta un protocol de vot electronic pentru o ret ea informatic a (bazat pe schemele de semn atur a electronic a ElGamal si RSA) propus de Mu si Varadjarajan n 1998 ([6]). Ulterior n [3] sunt demonstrate si corectate c ateva sl abiciuni. Componentele protocolului Mu-Varadharajan sunt: V - mult ime nit a nevid a de votant i; AS - un server de autenticare a votantilor; V S - o mult ime nit a de servere de votare; T CS - un server de num arare a buletinelor de vot; CA - un certicat de autenticitate. Protocolul cont ine trei etape: 1. Obt inerea buletinului de vot; si colectarea buletinelor de vot); 2. Votarea ( 3. Num ararea buletinelor de vot.

9.4.1

Init ializarea
va reprezenta

Vom nota cu p un num ar prim mare si cu t stampila de timp. De asemenea, concatenarea secvent elor si b. Inainte de a incepe protocolul de vot:

Fiecare participant V prime ste o pereche de chei RSA : (eV , dV ) si un modul nV obt inut prin nmult irea a dou a numere prime mari. Reamintim, conform algoritmului RSA: eV dV 1 (mod (nV )) ine un modul nAS si o pereche de chei RSA (eAS , dAS ). nAS si eAS sunt publice, AS det cunoscute de toti votant ii. Orice votant valid V are un certicat de votant CertV eliberat pe termen lung de CA. Acesta este semnat de cheia secret a a lui CA, iar cont inutul lui include ar serial, un num identitatea votantului V , identitatea CA, cheia public a eV si modulul nV , intervalul de valabilitate, o stampil a de timp.

112

PRELEGEREA 9. PROTOCOALE DE VOT ELECTRONIC

9.4.2

Etapa I: Obt inerea buletinului de vot

1. V trebuie s a demonstreze c a este un aleg ator valid. Pentru aceasta el alege un factor blind b si trei numere aleatoare g, r, k1 Zp . Pe baza lor calculeaz a parametrii a = g r (mod p), x1 = gbeAS (mod nAS ), x2 = g k1 beAS (mod nAS ), x3 = abeAS (mod nAS ) si trimite lui AS cvadruplul (V, AS, CertV , (x1 x2 x3 t)dV (mod nV )). 2. AS veric a nt ai validitatea certicatului si valideaz a semn atura (x1 x2 x3 t)dV (mod nV )). Apoi AS alege un num ar aleator k2 si calculeaz a x 4 = ( k2 unde y1 = g
k1 +k2

(1) (2)

t)eV

(mod nV ) (mod nAS ) (mod nV )) este trimis lui V .

k1 +2k2

k2 2 dAS x 5 = ( x3 (mod nAS ) = (y1 y2 a)dAS b3(k2 +1) 1 x2 x3 )

, y2 = g

. Mesajul (AS, V, x4 , (x5

t)

eV

Parametrul k2 este diferit pentru ecare votant, iar AS stocheaz a n baza sa de date k2 mpreun a cu identitatea lui V (CertV ). 3. Prin decriptarea lui x4 , V obt ine k2 . Deci V poate calcula y1 si y2 , dup a care determin a s = x5 b3(k2 +1) = (y1 y2 a)dAS (mod nAS ) s este semn atura RSA pentru produsul y1 y2 a. Pentru un vot m, V poate genera acum o semn atur a (s1 , s2 ) de tip ElGamal: s1 = (k1 + k2 )1 (ma r) (mod p 1), s2 = (k1 + 2k2 )1 (ma r) (mod p 1). Buletinul de vot al lui V este T =a g y1 y2 s s1 s2 m. (3) (4)

9.4.3

Etapa II: Votarea ( si colectarea buletinelor de vot)

In aceast a faz a V poate trimite prin ret ea buletinul s au de vot spre un server de votare V S . Scopul principal al unui V S este de a garanta validitatea buletinului de vot. Protocolul cont ine doi pa si: 1. V trimite T spre V S ; 2. V S decripteaz aT si veric a validitatea lui a, y1 , y2 folosind semn atura s si cheia public a eAS . Apoi V S determin a corectitudinea semn aturii (s1 , s2 ) pentru m, folosind relat iile:
s1 ay1 = g ma s2 ay2

(mod p), (mod p)

(5) (6)

= g ma

Dac a rezultatul acestei veric ari este pozitiv, atunci V S are certitudinea c a buletinul T este valid. V S stocheaz a toate buletinele de vot si trimite n nal baza de date prin ret ea c atre serverul de num arare a buletinelor T CS .

 9.5. SLABICIUNI ALE PROTOCOLULUI MU-VARADHARAJAN

113

9.4.4

Etapa III: Num ararea buletinelor de vot

Toate V S -urile trimit buletinele c atre T CS . Scopul acestuia este de a num ara voturile si de a depista pe cei care au votat de mai multe ori. S a presupunem c a V folose ste parametrii a, g, k1 , k2 pentru a semna si un alt vot m si s a trimit a un al doilea buletin T = a g y1 y2 s s1 s2 m spre alt V S . Pentru a detecta o dubl a votare, V S veric a parametrii a, g, y1 , y2 din toate buletinele T pentru a vedea dac a ei se repet a. In caz armativ, el rezolv a sistemul liniar ma ma (mod p 1) (7) k1 + k2 = s1 s1 ma ma (mod p 1) (8) k1 + 2k2 = s2 s2 si a a k2 . Folosind baza de date a lui AS , se identic a n mod unic votantul V .

9.5

Sl abiciuni ale protocolului Mu-Varadharajan

In [3] se arat a c a totu si exist a dou a modalit a ti prin care cineva poate vota de mai multe ori f ar a s a e depistat. S a presupunem c a V a obt inut buletinul valid de vot T = a g y1 y2 s s1 s2 m. Pe baza lui poate genera un alt buletin valid T astfel:

9.5.1

Atacul 1

La nceput V calculeaz a g , y 1 , y 2 , a cu relat iile c0 g = q (mod p), 1 y 1 = (g )(k1 +k2 +c1 )c0 (mod p), 1 y 2 = (g )(k1 +2k2 +c2 )c0 (mod p), 1 a = (g )(r+c3 )c0 (mod p), unde c0 , c1 , c2 , c3 sunt numere ntregi care evric a condit iile c1 + c2 + c3 = 0, c1 c2 c3 = 0. Acum V genereaz a buletinul T = a g y 1 y 2 s s1 s2 m unde (s1 , s2 ) este semn atura 1 1 votului m cu cheile (k1 + k2 + c1 )c0 respectiv (k1 + 2k2 + c2 )c0 ; anume 1 1 1 s1 = ((k1 + k2 + c1 )c 0 ) (ma (r + c3 )c0 ) (mod p 1) 1 1 1 s2 = ((k1 + 2k2 + c2 )c 0 ) (ma (r + c3 )c0 ) (mod p 1) In faza de votare si de colectare a buletinelor, V poate trimite c atre V S si al doilea buletin ia T . V S veric a nt ai semn atura s, apoi validitatea lui a , y 1 , y 2 folosind ecuat eAS s = y1 y2 a (mod nAS ) = y 1 y 2 a (mod nAS ) iile (5) si (6). Cum toate sunt In continuare V S veric a validitatea lui (s1 , s2 ) cu ecuat corecte, V S crede c a T este un buletin valid si-l trimite lui T CS . Aici, pentru protejarea contra si decide c a ei au fost folosit i o singur a dat a. dublei vot ari, T CS veric a parametrii a , g , y 1 , y 2 Deci atacul funct ioneaz a. Chiar dac a V S detecteaz a c a semn atura s a mai fost utilizat a, el nu va putea detecta identitatea votantului ilegal (cu (7) si (8)).

9.5.2

Atacul 2

Similar primului atac, V alege nt ai aleator num arul h si calculeaz a 2 h2 h2 h h2 g = g , a = a , y 1 = y1 , y 2 = y2 , s = sh

114

PRELEGEREA 9. PROTOCOALE DE VOT ELECTRONIC

Apoi, semn atura (s1 , s2 ) pentru m poate calculat a cu o variant a a relat iilor (3) si (4) folosind cheile (k1 + k2 )h respectiv (k1 + 2k2 )h: s1 = (k1 + k2 )1 h1 (ma hr) (mod p 1), s2 = (k1 + 2k2 )1 h1 (ma hr) (mod p 1). Deci V poate genera un nou buletin de vot T = a g y1 y2 s s1 s2 m. V S este convins de validitatea lui T pentru c a relat iile 2 (s )eAS = (y1 y2 a)h = y 1 y 2 a (mod nAS ) (y 1 )s1 a = (g )a m (mod p) (y 2 )s2 a = (g )a m (mod p) sunt vericate. Cu aceste atacuri, un votant poate vota de oric ate ori vrea, f ar a s a e detectat.

9.6

Protocolul Mu-Varadharajan modicat

Pentru a evita slabiciunile n fat a atacurilor prezentate anterior, este construit a o variant a mbun at a tit a a protocolului de vot Mu-Varadharajan. Noua schem a are tot trei etape; acestea sunt (s-au folosit acelea si notat ii):

9.6.1

Etapa I: Obt inerea buletinului de vot

si dou a nuemre aleatoare k1 , r. Cu ace sti parametri cal1. V alege doi factori blind b1 , b2 culeaz a w1 si w2 dup a formulele
AS w1 = g r be 1

(mod nAS ) (mod nAS ) w2 t)dV (mod nV ))}.

eAS w2 = g k1 b2

unde g Zp este un parametru public al sistemului.

V trimite lui AS structura {V, AS, CertV , t, w1 , w2 , ((w1

2. V S veric a validitatea certicatului si valideaz a semn atura (w1 w2 t)dV (mod nV ). Dac a rezultatul veric arii este pozitiv, AS poate sigur c a parametrii primit i sunt corect i. El continu a aleg and un num ar aleator k2 diferit pentru ecare votant si calculeaz a w 3 = ( k2 t)eV (mod nV ) (mod nAS ) (mod nAS ) (mod nAS ) w4 = (w1 AS )dAS (mod nAS ) = (a AS )dAS b1

w5 = (w2 g k2 AS )dAS (mod nAS ) = (y1 AS )dAS b2

2 g k2 AS )dAS (mod nAS ) = (y2 AS )dAS b2 w6 = ( w2 2

unde a = g r , y1 = g k1 +k2 , y2 = g k1 +2k2 . Mesajul {AS, V, w3 , ((w4 w5 w6 t)eV (mod nV ))} este trimis lui V . In paralel, AS stocheaz a n baza sa de date k2 mpreun a cu identitatea lui V . ine k2 prin decriptarea lui w3 , iar pe baza lui poate determina y1 si y2 . Mai departe, 3. V obt V determin a semn atura (s1 , s2 , s3 ) (elimin and factorii blind) conform relat iilor
1 = (a AS )dAS quad(mod nAS ) s1 = w4 b1 1 = (y1 AS )dAS quad(mod nAS ) s2 = w5 b2

9.6. PROTOCOLUL MU-VARADHARAJAN MODIFICAT

115

2 s3 = w6 b2 = (y2 AS )dAS quad(mod nAS )

a o schem a de semn atur a ElGamal pentru a semna votul m. Fie y1 , y2 cheile 4. V aplic publice ale sistemului de criptare ElGamal si x1 = k1 + k2 , x2 = 2k1 + k2 cheile secrete corespunz atoare; deci y1 = g k1 +k2 (mod p) si y2 = g 2k1 +k2 (mod p). Semn atura ((a, s4 ), (a, s5 )) pentru votul m este generat a de ecuat iile
1 s 4 = x 1 (ma r ) (mod p 1) respectiv 1 s 5 = x 2 (ma r ) (mod p 1).

Buletinul de vot al lui V este T = s1

s2

s3

s4

s5

y1

y2

m.

9.6.2

Etapa II: Votarea ( si colectarea buletinelor de vot)

1. V trimite buletinul de vot T lui V S . a validitatea lui a, y1 , y2 folosind ecuat iile 2. V S veric
AS AS a = se 1 AS AS y1 = se 2 AS AS y2 = se 3

(mod nAS ) (mod nAS ) (mod nAS )

(9) (10) (11)

Dac a toate sunt vericate, V S trece la vericarea corectitudinii semn aturii ((a, s4 ), (a, s5 )) folosind relat iile:
s4 s5 g ma = y1 a = y2 a (mod p)

Dac a ele se veric a, V S accept a T ca valid. In nal, V S formeaz a o baz a de date cu toate buletinele de vot valide, pe care o trimite prin ret ea lui T CS .

9.6.3

Etapa III: Num ararea buletinelor de vot

Dup a ce prime ste buletinele de vot de la toate V S -urile, T CS face public cont inutul lor si le num ar a. In plus, el este responsabil cu detectarea dublei vot ari. S a presupunem c a un votant V folose ste aceia si parametri y1 , y2 , a pentru a semna un vot diferit m si trimite acest buletin unui alt V S . Atunci: 1. T CS veric a y1 , y2 , a pentru toate buletinele T pentru a vedea dac a apar de mai multe ori. a aceste valori au aparut de dou a ori si m = m se ia n considerare un singur buletin. 2. Dac Dac a m = m rezult a c a este un caz de dubl a votare si T CS a a identitatea acestuia, calcul and m a ma (mod p 1) si x1 = s4 s4 m a ma x2 = (mod p 1). s5 s5 De aici, x2 x1 = (2k1 + k2 ) (k1 + k2 ) = k1 si deci k2 = x1 k1 . Cu ajutorul lui k2 se poate aa cine a ncercat s a tri seze.

116

PRELEGEREA 9. PROTOCOALE DE VOT ELECTRONIC

9.7

Securitatea protocolului Mu-Varadharajan modicat

In ipoteza c a serverul de autenticare SA este sigur si deci nu va genera nici un buletin de vot f ar a consimt am antul votantului, sistemul construit veric a toate restrict iile unui sistem de vot electronic. In plus, el are o securitate sporit a, rezultat a din urm atoarele observat ii:

9.7.1

Rezistent a la atacurile 1 si 2

S a presupunem c a un votant fort eaz a parametrii a, y1 , y2 n conformitate cu Atacul 1; el nu va putea totu si s a obt in a semn atura (s1 , s2 , s3 ) dat a de ecuat iile (9), (10), (11) pentru c a nu stie cheia secret a dAS . In al doilea atac, V poate obt ine u sor componenta s2 = (AS y 2 )dAS dar nu poate gebera 2 2 dAS restul semn aturiii pentru vatul m. De exemplu, s a presupunem s2 = s2 2 = (AS y2 ) 2 si y 2 = AS y2 . Deci parametrul y 2 poate trece de vericare. Dar din cauza problemei logaritmilor discret i votantul nu poate obt ine cheia secret a corespunz atoare x1 . F ar a cheia secret a, V nu poate genera o semn atur a corect a.

9.7.2

Rezistent a fat a de un atac aliat

S a presupunem c a doi votant i V1 , V2 cu semn aturile valide (s11 , s12 , s13 ) respectiv (s21 , s22 , s23 ) colaboreaz a pentru obt inerea unei noi semn aturi (s1 , s2 , s3 ) denit a prin si = s1i s2i (mod nAS ), i = 1, 2, 3, 4. Totu si ei nu vor putea calcula parametrii r , x1 , x2 din cauza dicult a tii de rezolvare a problemei logaritmului discret.

Bibliograe
[1] J. Benaloh Veriable sectret-ballot elections, Ph.D thesis, Yale University, Technical report 561 (1987) [2] J.D. Cohen Improving Privacy in Cryptographic Elections [3] I.Chang Lin, M.Hwang, C.Chang Security enhancement for anonymous secure e-voting over a network, Computer Science $ interfaces 25 (2003), 131-139 [4] K. Iversen A criptographic scheme for cmputerized general elections, proc. Crypto 1, Springer LNCS 576 (1992), 405 - 419. [5] C.I. Lei, C.I. Fan A universal single-authority election system, IEICE Transactions on Fundamentals E81-A (10) (1998), 2186-2193 [6] Y.Mu, V. Varadharajan Anonymous e-voting over a network, Proc. of the 14th Annual Computer Security Applications Conference, ASAC8 (1998) 293-299 [7] H. Nurmi, A. Salomaa, L. Santean Secret ballot elections in computer networks, Computer and Security 10 (1991), 553 - 560. [8] C. Park, K. Itoh, K. Kurosawa it Ecient anonymous channel and all or nothing election scheme, Proc. Eurocrypt 3, Springer LNCS 765 (1994), 248 - 259. [9] A. Renvall Cryptogtaphic Protocols and techniques for Communication, Ph.D. Thesis

117