Die universelle Verifizierung ist eine verlässliche Methode, um die Korrektheit der Auszählung und somit des Wahlergebnisses zu bestätigen. Dies vor allem zusammen mit den bestehenden organisatorischen Massnahmen. Auch das Stimmgeheimnis bleibt durch den gesamten Prozess hindurch gewahrt. Damit bietet E-Voting ein vergleichbar hohes Mass an Sicherheit wie die bestehenden Stimmkanäle der Schweiz.

Ein System zur Durchführung von Wahlen oder Abstimmungen hat zwei grundlegende Funktionen. Erstens soll es das korrekte Wahlergebnis bestimmen und zweitens soll es die Verlierer der Wahl davon überzeugen, dass das Ergebnis korrekt ist. Bei einem klassischen Urnengang sind diese Funktionen durch die Auszählung am Wahlsonntag und der Möglichkeit einer Nachzählung innerhalb der Verwahrungsfrist gegeben. Im Fall eines berechtigten Zweifels können die Verlierer sich von der Korrektheit des Ergebnisses überzeugen, da der Prozess der Nachzählung durch unabhängige Beobachter überprüft werden kann.

Auch ein elektronisches Wahlsystem muss diese zwei Funktionen anbieten. Bei Abstimmungen im Nationalrat zum Beispiel wird das elektronisch ermittelte Ergebnis zusammen mit den abgegebenen Stimmen auf der Anzeigetafel eingeblendet. Die korrekte Stimmabgabe kann so individuell verifiziert werden. Zudem können Zweifel am Abstimmungsergebnis nicht aufkommen, da auch die Korrektheit des Ergebnisses verifiziert werden kann. Diese einfache Art der Verifizierung ist möglich, weil Abstimmungen im Nationalrat nicht geheim sind.

Bei einem universell verifizierbaren Internet-Wahlsystem, bei welchem das Stimmgeheimnis gewahrt werden muss, wird die zweifelsfrei korrekte Ergebnisermittlung mit kryptografischen Mitteln realisiert. Dazu wird bei jedem durchgeführten Schritt im Prozess der Ergebnisermittlung ein kryptografischer Beweis erzeugt, der im Zweifelsfall überprüft werden kann. Abweichungen durch Fehler oder Manipulationen können dadurch im Nachhinein eindeutig erkannt und lokalisiert werden. Umgekehrt impliziert die Korrektheit aller kryptografischen Beweise die zweifelsfreie Korrektheit des Ergebnisses. Diese Art der Verifizierung entspricht somit der Nachzählung im klassischen Urnengang.

Unabhängige Verifizierung
Damit alle, auch die Verlierer, ein Wahlergebnis akzeptieren können, muss eine allfällige Verifizierung durch unabhängige Personen oder Institutionen erfolgen. Da das Überprüfen der kryptografischen Beweise ein komplexer Prozess ist, muss eine Software für die Verifizierung zur Verfügung stehen, die von unabhängigen Fachexperten entwickelt wurde. Voraussetzung dafür ist das Vorhandensein einer detaillierten technischen Beschreibung des elektronischen Wahlsystems und der verwendeten kryptografischen Komponenten.

Als vertrauensbildende Massnahme dient sowohl die Veröffentlichung der technischen Beschreibung des Wahlsystems als auch die Offenlegung des Quellcodes der Verifizierungssoftware. Personen mit entsprechendem Fachwissen können sich dadurch von der Korrektheit der Software überzeugen. Wenn also eine Wahl mit dieser Software erfolgreich verifiziert wird, folgt daraus die Korrektheit des Wahlergebnisses. Umgekehrt ist garantiert, dass Abweichungen vom Wahlprozess durch die Software entdeckt werden.

Um die Akzeptanz des Wahlergebnisses zu ermöglichen, ist die Verifizierung fester Bestandteil der offiziellen Auszählprozedur. Diese wird von vertrauenswürdigen Personen durchgeführt, die anschliessend das Wahlergebnis zusammen mit dem Resultat der Verifizierung der Öffentlichkeit kommunizieren. Bei Unstimmigkeiten wird eine Untersuchung eingeleitet. Das Vorgehen in genau dieser Reihenfolge ist eine weitere wichtige vertrauensbildende Massnahme für die Durchführung von Wahlen über das Internet.

Verifizierung im Detail
Die Auszählung in einem universell verifizierbaren Wahlsystem ist ein Prozess, der der Auszählung bei einem klassischen Urnengang sehr ähnlich ist. Als erstes wird die Wahlberechtigung der abstimmenden Person geprüft und protokolliert. Deren Stimme wird in geschützter Form in einer Urne gesammelt. Nach Wahlschluss werden die gesammelten Stimmen in der Urne gemischt und anschliessend geöffnet. Die ungültigen Stimmen werden aussortiert und die gültigen zusammengezählt.

Im Unterschied zum klassischen Urnengang, ist beim Wählen über das Internet der beschriebene Prozess nicht direkt beobachtbar, da dieser ausschliesslich von Maschinen durchgeführt wird. Deshalb muss jeder Teilschritt mit Hilfe digitaler Signaturen und kryptografischer Beweise unabstreitbar protokolliert werden. Die Verifizierungssoftware kann nun die Korrektheit der einzelnen Teilschritte durch die Überprüfung der Signaturen und kryptografischen Beweise bestätigen. Daraus folgt, dass jede gültige Stimme von einer wahlberechtigten Person abgegeben wurde und dass niemand mehr als eine gültige Stimme abgegeben hat.

Weiterführende Literatur
E. Dubuis, R. Haenni, R. E. Koenig. Konzept und Implikationen eines verifizierbaren Vote Électronique Systems. Studie im Auftrag der Schweizerischen Bundeskanzlei, 2012
R. Gharadaghy, M. Volkamer. Verifiability in electronic voting – explanations for non security experts, EVOTE’10, 4th Int. Workshop on Electronic Voting, pages 151–162, Bregenz, 2010
Schweizerischer Bundesrat. Bericht des Bundesrates zu Vote Électronique – Auswertung der Einführung von Vote électronique (2006–2012) und Grundlagen zur Weiterentwicklung, 2013
M. Volkamer, O. Spycher, E. Dubuis. Measures to establish trust in Internet voting. ICEGOV’11, 5th International Conference on Theory and Practice of Electronic Governance, Tallinn, 2011

Dieser Artikel wurde in Rahmen einer Zusammenarbeit mit der Schweizerischen Post und Ihrem Angebot einer E-Voting-Lösung der neuesten Generation erstellt. Die BFH wurde beauftragt, die bestehenden generierten Beweise des kryptographischen Protokolls der Post-Lösung zu analysieren, damit eine Verifizierungssoftware erstellt werden kann.