Geheime digitale Wahl nach dem SDMV-Prinzip

  |   Source

Bei den Rheinlanpfälzischen Piraten gibt es nun seit ca. einem Jahr die SDMV. Bei der SDMV handelt es sich um eine dezentrale Urnenabstimmung zu regelmäßigen Terminen. Durch verschiedene Urnen in unterschiedlichen Regionen wird die Fahrzeit zu den SDMV-Abstimmungen im vergleich zu Parteitagen im Durchschnitt reduziert und es sind Abstimmungen im Abstand von 8 Wochen möglich. Die folgende Idee würde das System digitalisieren...

Eine genauere Beschreibung der SDMV findet sich hier und hier ein Fazit zum Erfolg der SDMV.

Bei der SDMV handelt es sich um ein analoges Verfahren, das weiterhin alle ausschließt, die nicht an den Wahlterminen persönlich erscheinen können. Wer aus Gründen von Behinderung, mangelndem Geld, beruflichen und privaten Terminproblemen oder auch nur aus der mangelnden Bereitschaft die nötige Zeit zu investieren nicht zu den Abstimmungen erscheint verliert sein Stimmrecht.

Eine digitale Wahl würde diese Problematik deutlich entschärfen, da der nötige zeitliche und finanzielle Aufwand um Größenordnungen kleiner ist. Natürlich will man aber für eine digitale Wahl keine Fundamentalen Rechte wie das Geheimnis der Wahl oder die Nachprüfbarkeit der Wahlergebnisse aufgeben. Glücklicherweise muss man das auch nicht, wenn man sich an den folgenden Ablauf für eine Digitale Wahl hält: Die digitale SDMV

Um das Prinzip der SDMV in einer digitalen Wahl abzubilden müssen im Prinzip nur die Vorgänge der SDMV in die digitale Welt übertragen werden. Dabei ist es an einigen stellen nötig Verschlüsselungsverfahren zu verwenden, bei denen der Beweis ihrer Wirksamkeit an dieser Stelle deutlich zu weit gehen würde.

Wie bei einer analogen Wahl muss zunächst sichergestellt werden, dass nur diejenigen einen Stimmzettel bekommen, die zur Wahl zugelassen sind. Dafür erzeugt ein Wahlleiter ein einzelnes Schlüsselpaar. Den geheimen Schlüssel muss er bis zum Ende der Stimmabgabe geheim halten, der öffentliche Schlüssel wird an die Wähler ausgegeben. Dabei ist es wichtig, dass niemand, der kein Stimmrecht hat einen solchen Schlüssel bekommt. Die Wähler könnten sich z.B. mit dem e-Perso ausweisen, oder mit einem PGP-Schlüssel, der vom Generalsekretär bei einer Key-Signing-Party unterschrieben wurde. Mit diesem öffentlichen Schlüssel kann der Wahlleiter den öffentlichen Schlüssel der Wahl verschlüsselt den Wählern zuschicken. Jeder Wähler kann dann auf einem Computersystem dem er vertraut seine Stimme abgeben und mit dem öffentlichen Schlüssel der Wahl verschlüsseln. Sobald die Stimme verschlüsselt ist, kann niemand außer dem Wahlleiter einsehen, was der Wähler abgestimmt hat.

Da jeder Wähler den gleichen Schlüssel zugeschickt bekommt, besteht die Gefahr, dass böswillige Wähler diesen an dritte Weitergeben, die nicht wahlberechtigt sind, oder mehrfach abstimmen. Dies kann für den Einzelfall nicht nachvollzogen werden, da sonst die Stimmen in einer Weise markiert wären, sodass es am Ende möglich wäre zuzuordnen wer welche Stimme abgegeben hat. Wir können jedoch die Gesamtzahl der Stimmen überwachen und das gesamte Wahlergebnis ungültig machen, wenn zu viele Stimmen abgegeben wurden. Die Anzahl der Stimmen kann bereits vor der Auszählung geprüft werden, gewissermaßen zu dem Zeitpunkt bei dem die Umschläge mit den Stimmen noch zugeklebt sind. Das bedeutet auch, dass diese Prüfung nicht allein durch den Wahlleiter erfolgen muss, sondern von jedem durchgeführt werden kann, der weiß wie viele Stimmen für eine Urne erwartet werden. Um an dieser Stelle doppelte Stimmgewichte auszuschließen muss verlangt werden, dass jeder, der nach einem Stimmzettel fragt diesen auch ausfüllen muss.

Wenn die Stimmen direkt an den Wahlleiter gingen, könnte dieser, z.B. durch das Vergleichen der IP-Adresse an die der Stimmzettel ging mit der von der eine Antwort kommt, versuchen zuzuordnen von wem welche Stimme abgegeben wurde. Über den öffentlichen Schlüssel der Wahl ist eine solche Zuordnung nicht möglich, da alle Wähler den gleichen Schlüssel verwenden. Um eine solche Zuordnung unmöglich zu machen schicken die Wähler ihre Stimme nicht an den Wahlleiter, sondern an ihre Urne. Die eigene Urne ist ein Proxy, der folgende Aufgaben erfüllt:

  • Er sammelt die verschlüsselten Stimmen der Wähler die zu dieser Urne gehören.
  • Er zählt die abgegebenen Stimmen und vergleicht die Anzahl mit der erwarteten Zahl der Stimmen, die der Wahlleiter der Urne mitteilt. Wenn die Anzahl nicht exakt stimmt, wird die gesamte Urne ungültig.
  • Er gibt die Gesammelten Stimmen als Block an den Wahlleiter weiter.

Die Teilnehmer einer Urne müssen auf einige Eigenschaften ihrer Urne achten, um sicher zu gehen, dass sie ihr Stimmgewicht nicht verlieren: Die Urne muss unabhängig vom Wahlleiter sein und darf diesem keine Verbindungsdaten mitteilen, weil sonst die Wahl unter Umständen nicht mehr geheim wäre und alle Teilnehmer der Urne müssen darauf verzichten Stimmen doppelt abzugeben, weil sonst die gesamte Urne nicht gezählt wird. Natürlich müssen für eine geheime Wahl mindestens zwei Wähler an einer Urne sein. Am Besten ist es, wenn an der Urne nie einstimmige Ergebnisse zustande kommen, weil eine Wahl die an dieser Urne einstimmig ist nicht mehr geheim ist. Dieses Problem besteht ja auch bei der SDMV, wo sich Teilnehmerzahlen ab 5 Wählern als gangbar gezeigt haben.

Nachdem die Stimmanzahl an den einzelnen Urnen geprüft wurde und diese ihre Stimmen gesammelt an den Wahlleiter geschickt haben, kann der Wahlleiter die Umschläge der Stimmen aufreißen, indem er alle Stimmen mit dem geheimen Schlüssel der Wahl entschlüsselt. Sobald alle Stimmen abgegeben wurden, muss der geheime Schlüssel der Wahl ohnehin nicht mehr geheim gehalten werden, sodass der Wahlleiter die Liste der verschlüsselten Stimmen und den geheimen Schlüssel veröffentlichen kann, um jedem das Nachzählen des Wahlergebnisses zu ermöglichen. Jeder Wähler kann dabei auch für sich prüfen ob die eigene verschlüsselte Stimme in der Liste enthalten ist (und diese Information bitte für sich behalten) und ob die Zahl der Gesamtstimmen der Zahl der ausgegebenen Stimmen entspricht. Probleme

Die digitale SDMV hat mit den gleichen Problemen zu kämpfen, wie die analoge Variante. Um eine Ehrliche Diskussion zu ermöglichen möchte ich die Nachteile hier nochmal nennen:

  • Das Verfahren erfordert ein hohes Maß an Vertrauen, dass die Wahlhelfer an der eigenen Urne, bzw. die Betreiber des Proxy keine bösen Absichten haben. Melden diese Beobachtungen über das Abstimmverhalten an den Wahlleiter weiter, könnte die geheime Wahl gefährdet sein. Machen sie Fehler beim Prüfen der Stimmzettel, besteht die Gefahr dass die ganze Urne nicht gewertet wird.
  • Mehrfaches Einwerfen pro Wähler (egal ob durch sich selbst oder Dritte) macht die ganze Urne ungültig. Hier besteht ein sozialer Druck sich an die Regeln zu halten. Da es unverbesserliche Trolle geben könnte, muss eine Urne die Möglichkeit haben Wähler abzuweisen, die dann eine eigene Urne gründen können (dieses Recht kann immer bestehen, sodass niemand ganz von der Wahl ausgeschlossen ist).
  • Einstimmige Ergebnisse an einer Urne sorgen dafür dass diese Stimmen nicht mehr geheim sind. Dies ist bei einer Urne bestehend aus einer Person immer der Fall, weshalb davon abzuraten ist.
  • Dem Wahlleiter muss vertraut werden, dass die richtigen Personen Akkreditiert werden und bei der digitalen Variante dass der geheime Schlüssel bis zum Ende der Stimmabgabe geheim gehalten wird.

Vorteile

  • Sofern die Urnen nicht einstimmig sind handelt es sich um eine geheime Wahl.
  • Bei Einstimmigkeit können die Stimmen trotzdem gewertet werden.
  • Der soziale druck dass Stimmen ungültig werden könnten, macht Wahlmanipulationen unattraktiv.
  • Manipulationen machen immer nur eine einzelne Urne und nicht die gesamte Wahl ungültig.
  • Die Probleme dieses Verfahrens bestehen alle bereits bei der analogen SDMV, welche erfolgreich läuft und gezeigt hat, dass diese Probleme nicht so gravierend sind dass der demokratische Prozess gestört würde.
  • Alle Rohdaten der Abstimmung können veröffentlicht werden, sodass das Ergebnis von jedem und zu jeder Zeit überprüft werden kann.
  • Es handelt sich um eine digitale Wahl bei der die Wähler innerhalb einer ausreichenden Zeitspanne von vielen Tagen und bequem von Zuhause aus abstimmen können.

Die Diskussion dieser Idee wird auf der Mailingliste der AG-Meinungsfindung stattfinden: rlp-ag-meinungsfindung@lists.piratenpartei.de. Über diese Seite kann sich jeder bei der Liste anmelden.