Warum Transparenz und Klarnamen als Sicherheitsmechanismus ungeeignet sind

LQFB setzt auf Transparenz als Sicherheitsmechanismus, dieser Mechanismus ist nach meiner Meinung grundsätzlich fehlerbehaftet und ungeeignet um für Sicherheit bei einem E-Voting System zu sorgen. Im wesentlichen bedeutet ein rein auf Transparenz aufsetzendes Sicherheitssystem, dass Daten veröffentlicht werden. Untersuchen wir zunächst die Schritte in denen das geschieht:

1. Der Stimmberechtigte trifft seine Entscheidung und gibt diese über seinen Computer ein.
2. Die Entscheidung wird im Computer des Stimmberechtigten verarbeitet und über das Internet an einen Server geschickt.
3. Der Server verarbeitet die Entscheidungen aller Stimmberechtigten und gibt auf Anfrage ein Ergebnis heraus.

Offensichtlich ist an dieser Stelle bereits, dass wesentliche Schritte (nämlich die initiale Verarbeitung der Willenserklärung des Stimmberechtigten) in einem Computer stattfinden. Vorgänge in einem Computer sind - trivialerweise - nicht nachvollziehbar, schon alleine da nicht sichergestellt werden kann ob das Bild das ich angezeigt bekomme der realen Datenverarbeitung entspricht. Üblicherweise benötigen E-Voting Systeme daher Informationen von ausserhalb des Computers oder Anzeigemöglichkeiten ausserhalb des Computers um gegen Manipulation zu schützen.
Die nachträgliche Veröffentlichung schützt gegen keinen der klassischen Angriffe.
Um das zu belegen definieren wir zunächst einmal die Anforderungen und Vorraussetzungen:
Vorraussetzungen:

1. Wir gehen von einem idealen Whiteboard aus, die konkrete Implementierung von LQFB wird zugunsten der idealisierten und damit fehlerfreien Vorstellung eines weißen Bretts ignoriert.
2. Das Whiteboard steht in einem Raum den man nicht einsehen kann.
3. Die Teilnehmer kennen sich nicht alle persönlich, und sind mit Klarnamen bekannt.

Anforderungen:
Es muss für alle Teilnehmer nachprüfbar sein, dass die Wahl korrekt abgelaufen ist.

Mächtigkeit:
Für die erste Runde gehen wir von einem Angreifer aus, der lediglich die Abstimmungsergebnisse ändern kann.

Ablauf:
Für eine Abstimmung gehen alle Teilnehmer in unbestimmter Reihenfolge in den Raum und schreiben ihre Entscheidung neben ihren Namen. Am Ende eines vorher abgesprochenen Zeitraums wird das Ergebnis zusammengezählt und veröffentlicht.

1. Problem:
   Im Idealfall würden alle Teilnehmer ihre Stimmabgabe überprüfen (direkt durch ablesen, oder indirekt durch Kommunikation mit bekannten Teilnehmern). Prüft ein Teilnehmer dies nicht kann die Korrektheit des Ergebnisses in Gänze nicht mehr überprüft werden.
   Wenn also nicht davon ausgegangen werden kann, dass alle Teilnehmer dies tun, kann nichtmehr sichergestellt werden, dass die Wahl korrekt abgelaufen ist.
   -> Widerspruch zu den Anforderungen.
   
   Annahme A:
   1. Alle Teilnehmer prüfen ihre Stimmabgabe immer nach. 2. Ein Teilnehmer bemerkt jede Abweichung bei seiner eigenen Stimmabgabe.
   
2. Problem:
   Es ist nicht unterscheidbar ob der Teilnehmer sich irrt (er hat tatsächlich seine Stimme so abgegeben) oder ob seine Stimme nachträglich verändert wurde (es wurde manipuliert).
   Der korrekte Ablauf (Irrtum) ist vom inkorrekten Ablauf (Manipulation) nicht unterscheidbar.
   -> Widerspruch zu den Anforderungen.
   
   Annahme B:
   1. Einzelne Meldungen sind nicht ausschlaggebend.
   
   
3. Problem:
   Durch einführen einer "Relevanzschwelle" für Manipulationen öffnet sich ein ganzes Feld von wahrscheinlichkeitsbasierten Angriffen. Verändert man gezielt immer die Stimmen derselben Teilnehmer findet ein Dämpfungseffekt statt. Nach einer gewissen Zeit werden die Meldungen der Teilnehmer nicht mehr ernst genommen und der Angreifer kann seine Methodik ausweiten.
   
   Entfernen wir Annahme A ergibt sich eine Rekombination der Probleme 1 und 3.
   
4. Problem:
   Nicht alle manipulierten Stimmabgaben werden bekannt. Durch gezieltes Manipulieren bei bekannten Teilnehmern, die dem System etwa kritisch gegenüber stehen, wird ein Szenario geschaffen in dem die wenigen Meldungen über Manipulation der Stimmabgabe bei nach Inaktivität ausgesuchten Teilnehmern untergehen.
   
   

Es folgt also: Selbst unter idealen Vorraussetzungen ist Transparenz nicht in der Lage für jeden Teilnehmer nachprüfbar den korrekten Ablauf der Entscheidungen zu belegen.

&tldr;Die nachträgliche Veröffentlichung von Daten kann keinen Erkenntnisgewinn über ihre korrekte Verarbeitung erzeugen und ist daher als Kontrollmechanismus für diesen Zweck ungeeignet.