hvorfor stole på e-valg 2011/13?

© Computas AS 11.09.13

Hvorfor stolepå e-valg 2011/13?

Filip van Laenen@filipvanlaenenJavazone 2013

Hvorfor stole på e-valg 2011/2013?

— Fordi vi har verifisert det…

og Quality AS og PROMIS


Kan man stole på e-valg?



— Nei.



— Tja…



— Kan man stole på p-valg da?



— Tja…

26 © Computas AS 11.09.13

Matematisk verifikasjon

• Er det som ligger i valgurnen det samme som det som velgerne ønsket å stemme på?• Identiske kvitteringer




• Er det som ligger i valgurnen etter at vi «ristet» den uendret?• Korrekt mixing




• Er det som ligger i valgurnen etter at vi «ristet» den uendret?• Korrekt mixing

• Er det som vi tar ut av valgurnen det samme som det som ble puttet inn?• Korrekt dekryptering


Vår kildekode

https://github.com/KRD-KOMM-VL/verifikasjonsprogramvare


http://www.slideshare.net/filipvanlaenen/hvorfor-stole-p-evalg-201113

http://goo.gl/oB2UlS


E-valgsystemet


Identiske kvitteringer?


Korrekt cleansing?


Korrekt dekryptering?


Hvordan bevise korrekt dekryptering

• Problem:• Ingen utvetydig kobling mellom klartekst og

kryptert tekst• Krever derfor bevisføring• Men ønsker ikke å måtte bruke privatnøkkelen

• «Zero-knowledge proof»


ElGamal-kryptering

• Syklisk gruppe G ⊂ ℤp

• Generator g, ordre q• Privat nøkkel x {0, 1, …, q – 1}• Offentlig nøkkel h = gx

• Kryptering av melding m:• Velg y {0, 1, …, q – 1}• Beregn e = gy

• Beregn s = hy og c = m · s• Kryptert melding: (e, c) = (gy, m · hy)


ElGamal-dekryptering

• Dekryptering av melding (e, c) = (gy, m · hy):• Beregn s = ex

• Beregn m' = c · s-1

• Er m' = m?• m' = c · s-1

= m · hy · e-x

= m · (gx)y · (gy)-x

= m · gxy · g-xy

= m


Problemet med ElGamal-kryptering

• «Efemeral» nøkkel y:• Velg y {0, 1, …, q – 1}• Beregn e = gy

• Beregn s = hy

• Beregn c = m · s• Kryptert melding: (e, c) = (gy, m · hy)

• Derfor: (e, c) ≠ (e', c') = (gy', m · hy')


Problemet med ElGamal-krypteringFordelen

• «Efemeral» nøkkel y:• Velg y {0, 1, …, q – 1}• Beregn e = gy

• Beregn s = hy


• Derfor: (e, c) ≠ (e', c') = (gy', m · hy')


Problemet med ElGamal-krypteringFordelenProblemet• «Efemeral» nøkkel y:

• Velg y {0, 1, …, q – 1}• Beregn e = gy

• Beregn s = hy


• Men: y = y' (⇒ e, c) = (e', c')



• Velg y {0, 1, …, q – 1}



• Velg y {0, 1, …, q – 1}• Beregn e = gy

• Beregn s = hy


• Men: y = y' (⇒ e, c) = (e', c')


Korrekt dekryptering???


E-valgsystemet


Zero-knowledge proofs

• Bevise kunnskap om eller tilgang til en hemmelighet uten å avsløre selve hemmeligheten overfor kontrolløren



• Bevise kunnskap om eller tilgang til en hemmelighet uten å avsløre selve hemmeligheten overfor kontrolløren• Å ha en privat nøkkel• Å ha brukt en privat nøkkel



• Bevise kunnskap om eller tilgang til en hemmelighet uten å avsløre selve hemmeligheten overfor kontrolløren• Å ha en privat nøkkel• Å ha brukt en privat nøkkel

• Krav:• Completeness• Soundness• Zero-knowledge


Zero-knowledge proofs«Ali Babas grotte»


Kryptering av en stemme

• Hver opsjon er et primtall ci

• Partier• Kandidater

• hEB

= gzEB

• hEB

offentlig nøkkel

• zEB

privat nøkkel

• Hver opsjon kryptert for seg selv:

• (ai, b

i) = (gri, c

i · h

EB

ri)


Homomorf kryptering

• Definisjon:• En operasjon på en klartekst er ekvivalent

med en (muligens annen) operasjon på den krypterte teksten

• ElGamal:

• E(m1) · E(m

2) = E(m

1· m

2)


Komprimering av stemmene

• Reduserer antall bevis:

• C = ∏ci

• (A, B) = ∏(ai, b

i)


Bevisføring for korrekt dekryptering

• Ikke-interaktiv utfordring: u = SHA-256(∥ci)

• Beregn f = (B/C)u · hEB

• Beregn d = Au · g

• Velg k ℤq

• Beregn w = dk

• Beregn t = SHA-256(w∥g∥hEB

)

• Beregn s = k – zEB

· t

• Bevis: (s, t)


Bevisføring for korrekt dekrypteringZero-knowledge




• Velg k ℤq

• Beregn w = dk


)


· t

• Bevis: (s, t)


Bevisføring for korrekt dekrypteringTilgang til privat nøkkel




• Velg k ℤq

• Beregn w = dk


)


· t

• Bevis: (s, t)


Bevisføring for korrekt dekrypteringKorrekt dekryptering




• Velg k ℤq

• Beregn w = dk


)


· t

• Bevis: (s, t)


Bevisføring for korrekt dekrypteringKontrollberegning



• Beregn d = Au · g• Beregn v = ds · ft

• Kontroller at SHA-256(v∥g∥hEB

) ≡ t


Bevisføring for korrekt dekrypteringKontrollberegning (1)


• f = (B/C)u · hEB

= (∏bi/∏c

i)u · h

EB

= (∏ci·h

EB

ri/∏ci)u · h

EB

= (∏hEB

ri)u · hEB

= (hEB

∑ri)u · h

EB

• Kun hvis bi ≡ c

i·h

EB

ri (korrekt dekryptering)

• d = Au · g = ∏ai

u · g = (∏gri)u · g = (g∑r

i)u · g


Bevisføring for korrekt dekrypteringKontrollberegning (2)

• f = (hEB

∑ri)u · hEB

• d = (g∑ri)u · g

• s = k – zEB

· t

• v = ds · ft

= ((g∑ri)u · g)s · ((hEB

∑ri)u · hEB

)t

= ((g∑ri)u · g)k · ((g∑ri)u · g)-zEB·t · (((gzEB)∑ri)u · gzEB)t

= ((g∑ri)u · g)k

= dk ≡ w

• Hvis v ≡ w, så SHA-256(v∥g∥hEB

) ≡ t


Korrekt dekryptering


Hvordan bevise korrekt mixing

• Problemstilling:• Hvordan vet vi at to mengder med krypterte

stemmer representerer samme innhold?• Endret rekkefølge• Rekryptering


ElGamal-rekryptering

• Kryptering av melding m:• Velg y {0, 1, …, q – 1}• Beregn e = gy

• Beregn s = hy og c = m · s• Kryptert melding: (e, c) = (gy, m · hy)

• Rekryptering av (e, c):• Velg ŷ {0, 1, …, q – 1}• Rekryptert melding:

• (ê, ĉ) = (e · gŷ, c · hŷ) = (gy+ŷ, m · hy+ŷ)


Komprimering av stemmene

• Reduserer antall bevis:

• (Ai, B

i) = ∏(a

i, b

i)

• (Ao, B

o) = ∏(â

i,b ̂

i)


Bevisføring for korrekt rekryptering

• Utfordring: u = SHA-256(Ai∥A

o∥B

i∥B

o∥g∥h

EB)

• Beregn f = (Bo/B

i)u · (A

o/A

i)

• Beregn d = hEB

u · g

• Beregn ỹ = ∑ŷi

• Velg k ℤq

• Beregn w = dk


)

• Beregn s = k – ỹ · t• Bevis: (s, t)


Bevisføring for korrekt rekrypteringKontrollberegning

• Utfordring: u = SHA-256(Ai∥A

o∥B

i∥B

o∥g∥h

EB)

• Beregn f = (Bo/B

i)u · (A

o/A

i)

• Beregn d = hEB

u · g

• Beregn v = ds · ft

• Kontroller at SHA-256(v∥g∥hEB

) ≡ t


Bevisføring for korrekt rekryptering

• Bevis for at to krypterte meldinger har samme innhold• Uten å se innholdet• Uten å bruke privatnøkkelen


Fra korrekt rekryptering av én stemme til korrekt mixing

• Beviset gjelder også for en mengde stemmer:

• (Ai, B

i) = ∏∏(a

ij, b

ij)

• (Ao, B

o) = ∏∏(â

ij,b ̂

ij)

• Oppdeling av urnen i bunker• Bunkvis korrekt rekryptering• Oppdeling i bunker gjort av en auditør


Bevisføring for korrekt mixing

• Bevis for at to grupper med krypterte meldinger har samme innhold• Uten å se innholdet• Uten å bruke privatnøkkelen• Uten å vite hvilken melding fra den ene

gruppen korresponderer med hvilken melding fra den andre gruppen


Korrekt mixing


E-valgsystemet


Praktiske utfordringer

• Life kjøring under valgnatten



• Life kjøring under valgnatten• Gode, informative logger



• Life kjøring under valgnatten• Gode, informative logger• Autoflushing mot resultatfilen



• Life kjøring under valgnatten• Gode, informative logger• Autoflushing mot resultatfilen• Parallellisering



• Life kjøring under valgnatten• Gode, informative logger• Autoflushing mot resultatfilen• Parallellisering• Minneforbruk



• Life kjøring under valgnatten• Gode, informative logger• Autoflushing mot resultatfilen• Parallellisering• Minneforbruk• Håndtering av filer


Egne valg

• Operativsystem: Ubuntu 13.04


Egne valg

• Operativsystem: Ubuntu 13.04• Ikke glem Bash!


Egne valg

• Operativsystem: Ubuntu 13.04• Ikke glem Bash!

• Kommandolinje interface


http://www.slideshare.net/filipvanlaenen/hvorfor-stole-p-evalg-201113

http://goo.gl/oB2UlS

Takk for meg!


Relevante lenker

• http://www.tu.no/it/2013/09/05/feil-i-krypteringen-av-e-stemmer

• http://www.regjeringen.no/nb/dep/krd/prosjekter/ e-valg-2011-prosjektet/kildekode.html?id=645239

• https://github.com/KRD-KOMM-VL/verifikasjonsprogramvare

• http://xkcd.com/221/

hvorfor stole på e-valg 2011/13?

Technology