Punchscan - Punchscan

Punchscan
Logo Punchscan.png
VývojářiRichard Carback, David Chaum, Jeremy Clark, Aleks Essex, a Stefan Popoveniuc.
Stabilní uvolnění1.0 (2. listopadu 2006) [±]
Náhled verze1,5 (16. července 2007) [±]
NapsánoJáva
Operační systémCross-platform
K dispozici vAngličtina
Typsystém počítání hlasů
LicenceRevidováno Licence BSD
webová stránkahttp://punchscan.org/

Punchscan je optické skenování systém počítání hlasů vynalezl kryptograf David Chaum. Punchscan je navržen tak, aby nabízel integritu, soukromí a transparentnost. Systém je volitelný k ověření, poskytuje end-to-end (E2E) audit mechanismus a vydává a potvrzení hlasovacího lístku každému voliči. Systém získal hlavní cenu v roce 2007 Soutěž univerzitních hlasovacích systémů.

The počítačový software který Punchscan obsahuje open-source; the zdrojový kód byla vydána 2. listopadu 2006 v revidovaném znění Licence BSD.[1] Punchscan je však nezávislý na softwaru; čerpá ze své bezpečnosti kryptografické funkce místo spoléhání se na zabezpečení softwaru jako Hlasovací zařízení DRE. Z tohoto důvodu lze spustit Punchscan uzavřený zdroj operační systémy, jako Microsoft Windows a stále udržovat bezpodmínečnou integritu.

Tým Punchscan s dalšími přispěvateli se od té doby vyvinul Scantegrity.

Postup hlasování

Označený hlasovací lístek Punchscan. Úplné hlasování (nahoře), oddělené hlasování (dole).

Punchscan hlasování má dvě vrstvy papíru. Na horní vrstvě je kandidáti jsou uvedeny s a symbol nebo dopis vedle jejich jména. Pod seznamem kandidátů je v horní vrstvě hlasování řada kulatých otvorů. Uvnitř otvorů ve spodní vrstvě jsou vytištěny odpovídající symboly.

Chcete-li hlasovat pro kandidáta, musí volič najít díru se symbolem odpovídajícím symbolu vedle jména kandidáta. Tento otvor je označen a Bingo inkoustový mazací stroj ve stylu, který je záměrně větší než otvor. Volič poté oddělí hlasovací lístek, zvolí horní nebo dolní vrstvu, kterou ponechá jako účtenka, a kousky druhá vrstva. Potvrzení je naskenovaný ve volební místnosti pro tabelace.

Vygeneruje se pořadí symbolů vedle jmen kandidátů náhodně pro každý hlasovací lístek, a tím se liší od hlasovacího lístku k hlasovacímu lístku. Podobně pro pořadí symbolů v otvorech. Z tohoto důvodu účtenka neobsahuje dostatek informací k určení, pro kterého kandidáta byl hlas odevzdán. Pokud je horní vrstva zachována, pořadí symbolů v otvorech není známé. Pokud je zachována spodní vrstva, je pořadí symbolů vedle jména kandidátů neznámé. Volič tedy nemůže prokázat někomu jinému, jak hlasoval, což mu brání nákup hlasů nebo zastrašování voličů.

Postup tabulky

Jako příklad zvažte volbu dvou kandidátů mezi Kola a Pepsi, jak je znázorněno v předchozím diagramu. Pořadí písmen vedle jmen kandidátů by mohlo být A a poté B, nebo B a pak A. Nazveme toto objednávání a nechte = 0 pro dřívější objednání a = 1 pro druhé. Proto,

: pořadí symbolů vedle seznamu kandidátů,

.

Podobně můžeme zobecnit pro další části hlasovacího lístku:

: pořadí symbolů skrz otvory,

.

: který otvor je označen,

.

: výsledek hlasování,

.

Pořadí jmen kandidátů je u všech hlasovacích lístků pevné. Výsledek hlasování lze vypočítat přímo jako,

(Rovnice 1)

Když je však skartována jedna vrstva hlasovacího lístku nebo je zničen. Proto není k výpočtu dostatek informací z potvrzení (které je naskenováno). Za účelem výpočtu výsledků voleb elektronická databáze se používá.

Před volbami je databáze vytvořena s řadou sloupců jako takových. Každý řádek v databázi představuje hlasovací lístek a pořadí, v jakém jsou hlasovací lístky uloženy v databázi, je zamíchal (používat kryptografický klíč že každý kandidát může přispívat k ). První sloupec, , má zamíchané pořadí sériových čísel. obsahuje pseudonáhodný bitový proud generované z klíče a bude fungovat jako proudová šifra. uloží přechodný výsledek. obsahuje něco takového, že:

Výsledek každého hlasování bude uložen do samostatného sloupce, , kde bude pořadí hlasovacích lístků znovu přeskupeno. Tím pádem obsahuje číslo řádku v sloupec, kam bude umístěn výsledek.

Po volbách proběhne a hodnoty byly naskenovány, se počítá jako:

A výsledek se počítá jako,

To odpovídá rovnici 1,

Sloupec výsledků je publikován a vzhledem k tomu, že hlasovací lístky byly zamíchány (dvakrát), pořadí sloupce výsledků neuvádí, který výsledek je z jaké číslo hlasovacího lístku. Volební orgán tedy nemůže sledovat hlasy na pořadová čísla.

Zobecněná forma

Pro volby s výše uvedený postup se použije modulo -n rovnice.

Základní auditorské postupy

Potvrzení hlasovacího lístku voliče neuvádí, pro kterého kandidáta volič odevzdal svůj hlasovací lístek, a proto nejde o tajnou informaci. Po volbách zveřejní volební úřad obrázek každého potvrzení online. Volič může vyhledat svůj hlasovací lístek zadáním sériového čísla a může zkontrolovat, zda se informace uchovávané volebním úřadem shodují s jeho hlasovacím lístkem. Tímto způsobem si může volič být jist, že jeho hlasovací lístek byl obsazení, jak bylo zamýšleno.

Kterýkoli volič nebo zúčastněná strana může také zkontrolovat část databáze, aby se ujistil, že výsledky byly vypočítány správně. Nemohou nahlédnout do celé databáze, jinak by mohli spojit hlasy s pořadovými čísly hlasovacích lístků. Polovinu databáze však lze bezpečně zkontrolovat, aniž by došlo k narušení soukromí. Mezi otevřením je náhodná volba nebo (tuto volbu lze odvodit z tajného klíče nebo z a true random zdroj, například kostky[2] nebo akciový trh[3]). Tento postup umožňuje voliči mít jistotu, že soubor všech hlasovacích lístků byl počítá se jako obsazení.

Pokud jsou všechny hlasovací lístky počítá se jako obsazení a obsazení, jak bylo zamýšleno, pak jsou všechny hlasovací lístky počítáno, jak bylo zamýšleno. Celistvost voleb lze proto prokázat s vysokou pravděpodobností.

Dodatečné zabezpečení

K dalšímu zvýšení integrity voleb v Punchscanu lze podniknout několik dalších kroků k ochraně před zcela zkorumpovanou volební autoritou.

Více databází

Od té doby , , a v databázi jsou všechny generovány pseudonáhodně, lze pro tyto sloupce vytvořit více databází s různými náhodnými hodnotami. Každá databáze je nezávislá na ostatních, což umožňuje otevření a kontrolu první poloviny některých databází a druhé poloviny ostatních. Každá databáze musí mít stejný konečný výsledek. Pokud by tedy volební orgán měl manipulovat s databází, aby zkomplikoval konečný výsledek, musel by manipulovat s každou z databází. Pravděpodobnost odhalení neoprávněné manipulace při auditu se zvyšuje s počtem nezávislých databází.

Závazky

Před volbami volební úřad vytiskne hlasovací lístky a vytvoří databázi (databáze). Součástí tohoto procesu vytváření je spáchání na jedinečné informace obsažené v každém hlasovacím lístku a v databázích. Toho je dosaženo použitím kryptografického jednosměrná funkce k informacím. I když je výsledek této funkce, závazek, zveřejněn, skutečné informace, ke kterým se zavazuje, zůstávají zapečetěny. Protože je funkce jednosměrná, je výpočetně nemožné určit informace o zapečetěném hlasovacím lístku pouze s veřejně zveřejněným závazkem.

Kontrola hlasovacích lístků

Před volbami se vyprodukuje dvakrát tolik hlasovacích lístků, než kolik je určeno k použití ve volbách. Polovina z těchto hlasovacích lístků je vybrána náhodně (nebo si každý kandidát může vybrat zlomek hlasovacích lístků) a otevřena. Řádky v databázi odpovídající těmto vybraným hlasovacím lístkům lze zkontrolovat, aby se zajistilo, že výpočty jsou správné a že se s nimi nebude manipulovat. Protože volební úřad neví a priori které hlasovací lístky budou vybrány, absolvování tohoto auditu znamená, že databáze je dobře vytvořena s velmi vysokou pravděpodobností. Hlasovací lístky lze navíc porovnat s jejich závazky, aby byla s vysokou pravděpodobností zajištěna správnost hlasovacích lístků.

Viz také

Reference

externí odkazy