Re: [AG Liquid Democracy] iTAN/mTAN ein geeignetes Verfahren für Abstimmungen?

[carlo von lynX <lynX AT pirate.my.buttharp.org>]

Uhrheber typeth:
| Ich stelle kir das Ganze so vor:
| Es gibt eine Portalseite (ssl), auf die Maske für die Abstimmung liegt.

DAS finde ich ein viel größeres Securityproblem, als die
Authentifizierung der Teilnehmer. Wenn intransparente Server im Spiel
sind, und das unsichere https Protokoll, dann tut's auch ein Login
mit Passwort.

| Die Fragen sind:
| - Ist dies sicher genug?

Ich finde, wenn man es sicher machen will, braucht man eine dezentrale
Architektur. http://wiki.piratenpartei.de/Benutzer:LynX/Demokratie_2.0
Nachvollziehbare Server, eigene Clients, die die eigene Identität und
Autorität managen, und nicht die Macht an irgendwelche Server abgeben.

| - können Manipulationen später nachvollzogen werden?

Wenn man es gleich merkt, dass die involvierten Maschinen nicht den
gleichen Stand der Dinge haben, ist das doch besser, als nachträglich
zu forschen, ob der Server irgendwas anders gehandhabt hat, als man
dachte geklickt zu haben. Wenn ein zentraler Server hinreichend selten
eine Abstimmung fälscht, kann das einzelnen Leuten auffallen, die können
aber immernoch nicht nachweisen, dass sie das, was der Server sagt, gar
nicht angeklickt haben - also können sie stets als Querulanten
hingestellt werden.

| - Ist das anonym genug?

Man kann ähnlich der Wahl das Umschlag-in-Umschlag System emulieren:
Man steckt seine anonyme Entscheidung in einen verschlüsselten Brief
an die "Wahlautorität," und signiert diesen dann mit dem eigenen
öffentlichen Schlüssel.

Beim Auspacken kann die Rechtmäßigkeit der Stimme überprüft werden,
aber von der eigentlichen Zählung getrennt werden, weswegen in dem
Schritt eine Anonymisierung implementiert wird.

| - Welche Verfahren kämen sonst noch in Frage? Signaturkarte und Klasse 3 
| Leser sind wieder zu aufwändig und erfordern einen PC und Internetzugang.

Ich finde alle Hardware-Ansätze übertriebene Personenkontrolle, wenn wir
noch weit davon entfernt sind, cryptographische Sicherheit auf der
auswertenden Seite zu haben. Auf Personenseite finde ich es hinreichend,
wenn jeder Benutzer sich eine open source Clientsoftware installiert,
idealerweise selbst übersetzt, aber compiliert geht auch, und diese mit
digitaler Signatur arbeitet. Somit braucht man nur einen web of trust,
welcher typischerweise der von PGP sein könnte.

Eine gewisse Intelligenz auf der Client-Seite finde ich ja unabdinglich,
weil es das LD-System soviel intelligenter machen kann, als nur eine
serverseitige Auswertung von Nachrichten, weswegen mir voice und
SMS-Wahlverfahren nicht nur riskant vorkommen, sondern auch das
Potential bremsend.