philosophical(旧)

セキュリティ専門家が電子投票システムに「ダメ出し」 - CNET Japan

選挙のような投票を、不正を防止し、且つ投票者の安全を保ちつつ、インターネット越しに行うことは不可能という話。
当たり前な結論だけど、今やっている紙を使った投票だって万全じゃないわけで、リスクの差、つまり程度問題なのよね。この人たちは必死に無謀な挑戦を試みてこういう結論に至ったわけで、具体的に決定的な問題が何だったのかはしらないけれど興味深いです。誰か原本確認してついでに和訳して^^;;

電子投票と言えば「スラッシュドット ジャパン | 信頼できる電子投票はどうすれば実現できる？」というのがあり、大概のことは語られている気がします。
その中でも、この記事がこの問題の難しさを端的に語ってくださっています。(ほとんどまるまるの引用(?)^^;)

シュナイアー「暗号技術大全」 [sbpnet.jp]に、電子投票プロトコルの要件が列挙されています（一部省略して引用）：

1.有権者しか投票できない
2.みんな2回以上は投票できない
3.ほかのだれかがだれに投票したかは、誰にもわからない
4.だれも他人の票を複製できない
5.だれも見つからずに他人の票を書き換えられない
6.すべての投票者は、自分の票が最終的な評決で考慮されたことを確認できる

個人的には4.辺りは要件としては一番希薄な存在だと思うのですが、実はこれが一番難しいそうです。1,2,5は解決できるプロトコルがあるようです。個人的には、3が一番難しいんじゃないかと思います（後ろで上司が投票している姿を確認する、という問題）。何かしらの専用機器で解決する問題かな、という気は何となくしますが、具体的な物品を考えたことはありません（でした）。

私は「誰が投票したか」に関しては、投票したという事実を管理する組織を信頼するしかないかなと思っていますが、「誰に投票したか」についてはチケットとしてワンタイムなキーペア(PKI 用語)を発行し、投票内容を集計人の公開キーで暗号化したものにワンタイムなキーペアの秘密キーで署名する、というのが思いつきます。

チケットはカードにでも突っ込んで配布し、有権者データベースにはチケットの公開キーのみが入る、と。

そうすると、

1.チケットが無いと投票できない
2.同じ秘密キーで署名されていたら二重投票が判明する(署名検証しないと判らないのが辛いな)
3.集計人以外にはわからない
4.複製は可能だが二重投票が出来ないのでOK
5.書換は署名により不可能
6.自分の署名した情報の存在を確認可能

と…なるか…？あんまりちゃんと考えてないので抜けあると思われ^^;。
抜けが無かったら「不可能」という結論になるはず無いしねぇ。
一番に思いつくのは集計人が信頼できるか？だもんなぁ。
集計段階では署名を取り除いた票の集合だけにして、複数人の目の中で開票作業を行うというのが考えられるけど、署名を取り除いた瞬間に脆弱になるしなぁ-_-。乱数IDも併用して何とかならんかなぁとか思いは馳せてみたりするけんども。
カード制作会社は信用出来るんかいな…。
投票所にあるであろうカードリーダも同じく…。

あぅ、技術ネタは別の日記でしようと思ってたんだけど、CNET へのトラックバックのテストも兼ねて～^^;。