스리발롯

ThreeBallot
존스, 스미스, 우 후보와의 대통령 1차 레이스와 닙, 찐 후보와의 상원의원 2차 레이스가 있는 샘플 스리발롯 멀티발럿.

스리발롯은 2006년 론 리베스트가 발명한 투표 프로토콜이다.스리볼롯은 종단간(E2E) 감사 가능한 투표 시스템으로, 원칙적으로 서류상 구현이 가능하다.그 설계의 목적은 암호키를 사용하지 않고 암호투표 시스템의 일부 이익을 제공하는 것이었다.

투표는 검증가능하고 익명성이 있는 것이 어려울 수 있다.스리발롯은 유권자들에게 각각 검증 가능한 1표, 익명의 2표의 3표를 주면서 이 문제를 해결하려고 한다.투표자는 어떤 투표용지가 검증 가능한지 선택하고 이 비밀을 지킨다. 투표권자는 알지 못하기 때문에, 투표용지를 파괴하거나 변경할 가능성이 1/3이다.유권자는 세 개의 투표 중 두 개의 투표권이 서로 취소되도록 하여, 한 번만 투표할 수 있도록 할 수밖에 없다.

목표들

ThreeBallot 시스템이 비교 가능하고 암호화된 투표용지에 비해 제공하는 중요한 이점은 다음과 같다.

  1. 구현은 다른 암호화 시스템(모든 것 에서 가장 중요한 장점)에 비해 유권자들이 이해하기 쉽고 친숙해 보인다.
  2. 투표 용지는 해독 없이 직접 셀 수 있다.어떤 개별 투표구간도 유권자의 후보 선호도를 밝힐 수 없는데도 표의 합계가 후보 득표의 합이라는 재산을 갖고 있기 때문이다.
  3. 보안을 유지하기 위해 보호나 비밀이 요구되는 열쇠는 없다(많은 제안된 시스템의 "아킬레스 힐").
  4. 기표하기 전에 기계의 유효성을 확인해야 하지만, 이후에는 기표 기록이 전적으로 종이에 쓰여져 있고, 기존의 기표 외에 추가적인 보안 절차가 필요하지 않다.

추가적인 이론적 시스템 목표는 다음을 포함한다.

  1. 유권자 개개인의 투표는 비밀로, 투표 매도와 강요를 막는다.
  2. 각 유권자는 선거 결과의 계산에서 자신의 투표가 폐기되지 않았고, 올바르게 사용되었고 변경되지 않았음을 확인할 수 있다. (그리고 그렇지 않다면, 투표자는 투표 카운터가 부정행위를 했다는 을 증명할 수 있는 위치에 있다.)
  3. 누구나 선거 결과가 정확하게 계산되었는지 확인할 수 있다.
  4. 이 방법은 종이 투표용지와 함께 사용할 수 있도록 설계되었으며 주로 로우테크 기기가 필요하지만, 보다 진보된 기술과 호환된다.

방법

스리발롯 투표 시스템에서는 투표용지마다 구별되는 고유 식별자를 제외하고 동일한 3개의 빈 투표용지가 주어진다. 후보에게 투표하려면 유권자는 세 표 중 두 표에서 그 후보를 선택해야 한다.한 후보에게 반대표를 던지려면(다른 시스템에서는 투표용지를 공란으로 남기는 것과 다름) 유권자는 정확히 하나의 투표용지에서 그 후보를 선택해야 한다.

따라서 모든 후보는 표지가 있는 투표용지와 표지가 없는 투표용지를 최소한 한 개씩 받는다. 그 결과 투표용지를 보면 유권자가 그 후보에게 투표했는지 여부를 알 수 없다.이것은 또한 모든 후보가 3개의 투표지를 합쳤을 때 최소한 1개의 표를 얻는다는 것을 의미하지만, 모든 후보들에 대한 이 상수 상쇄는 모든 투표수의 최종 총점에서 뺄 수 있다. 

John Foo [ X ] [ X ] // 표시된 두 개의 열은 'for' 투표 Barbar [ ] [ ] [ X ] // 표시된 모든 단일 열은 'for' 투표가 아니다.Bill Too [ ] [ X ] [ ]

그러나 3개 투표 모두 빈칸이 될 수 없고 3개 투표 모두 빈칸이 될 수 없다는 점에서 유권자가 자신의 투표용지에 맞지 않았는지 반드시 검증해야 한다. 

Andy Oops [ X ] [ X ] [ X ] // 허용되지 않는다.엘 에러 [ ] [ ] [ ] // 허용되지 않는다.

이 요건은 3개의 투표용지를 모두 기계에 삽입하여 3개의 투표용지를 투표하기 전에 유효성을 확인해야 함을 의미한다.그렇게 하지 않으면 유권자는 추가 투표추가 투표를 할 수 있어 부정 투표를 할 수 있다; 계획적으로 투표에 대한 반대 투표와 한 번 투표하면 구별할 수 없기 때문에, 이 다중 투표 사기는 최종 집계 검증 때까지(그리고 그때도 마찬가지일 수도 있음), 그리고 그 시점에서 교정될 수 없다.특정 유권자의 소행일 수도 있어

전형적으로 투표용지는 유권자의 표시를 단순화하기 위해 결합될 수 있지만, 투표하기 전에 반드시 투표용지를 분리해야 한다.일단 분리되고, 스크램블된 순서에 따라 다른 투표와 결합되면, 진정한 투표는 암호화된다.예를 들어, 위의 John과 Barb에 대한 세 번째 열 투표만 생각해 보십시오.그들 각각은 'X'를 가지고 있지만 유권자는 실제로 바브가 아닌 존에게 투표하고 있다.마찬가지로 두 번째 칼럼 투표용지만 봤다면 빌에게 딱 맞는 표지만, 세 개의 투표용지를 합친 전체 투표는 사실상 존에게 투표한 것이다.3개의 투표용지가 모두 합산되면 총계는 존에게 2점, 바브와 빌에게 각각 1점을 준다.유권자의 수를 빼면, 이 경우 1은 존에게 1표를 주고 나머지에게는 1표를 주지 않는다.

투표소에서 유권자는 신분증을 포함한 3개의 투표용지 중 1개의 사본을 만든다.실제로 투표용지를 확인하는 기계는 투표자의 자유 선택에 기초하여 자동으로 이 작업을 수행한다.그런 다음 원래 투표용지 3장을 모두 투표함에 넣는다.유권자는 한 권을 영수증으로 보관한다.

선거가 끝나면 모든 투표용지가 발행된다.각 투표용지에는 고유 식별자가 있으므로, 각 투표자는 공개된 투표용지 중에서 수령한 식별자를 검색하여 자신의 표가 계수되었음을 확인할 수 있다.그러나 유권자는 자신이 받은 투표용지 중 어떤 것을 영수증으로 선택하기 때문에, 영수증에 어떤 조합의 표시가 붙도록 할 수 있다.따라서 유권자들은 이 영수증을 사용하여 투표 판매, 강요 등을 없애면서 그들이 투표한 다른 정당에게 증명할 수 없다.

투표용지 자체에는 영수증을 만들기 위해 어떤 것을 복사했는지 표시가 없다.따라서 어느 시점에서 투표용지가 '잃어버렸다'거나 악의적으로 폐기되었다면, 이것이 영수증 투표용지가 될 가능성은 1/3이다.경계를 늦추지 않는 유권자는 이 손실을 감지할 수 있다.

Rivest는 그의 논문에서 다른 이점과 결점에 대해 논한다.[1]특히 순위 선호 투표에는 적합하지 않다.현장 테스트 결과, ThreeBallot은 구현 함정뿐만 아니라 상당한 프라이버시, 보안 및 사용적합성 문제가 있는 것으로 밝혀졌다.[2][3][4][5]

중단된 암호화

쓰리발롯에 사용된 암호 시스템은 찰리[4] 스트라우스가 고안한 상관관계 공격에 의해 깨졌고, 그는 또한 어떻게 투표 방법을 증명하는 데 사용될 수 있는지를 보여주었다.[3]슈트라우스 장관은 투표용지에 예/아니오 질문이 하나만 있으면 스리발롯이 안전하지만, 선택할 후보가 많은 단일 경선의 경우를 포함해 여러 개의 질문이 있을 때는 안전하지 않다고 관측했다.그의 공격은 3개 투표의 모든 조합이 유효한 3배를 형성하는 것은 아니라는 사실을 이용했다. 3표 또는 0표를 가진 3표 제안은 같은 투표자의 투표일 수 없기 때문에 거부될 수 있다.마찬가지로, 제안된 선거로 인해 어떤 경선에서든 두 명 이상의 후보에게 투표하는 결과를 초래할 수 있다.일반적인 선거구(또는 심지어 세계인)에서 투표하는 것보다 기하급수적으로 더 많은 투표 패턴이 있기 때문에 통계적으로 대부분의 투표용지는 충분히 긴 투표용지를 위해 독특하게 배열될 수 있다.[4]전형적으로 투표용지의 90%는 11~17문항만으로 재구성이 가능하다.[5]이것은 유권자의 표를 영수증을 가진 사람이면 누구나 알 수 있게 한다.게다가, 영수증이 없어도, 그것은 유권자의 주장된 후보 선정을 불명예스럽게 할 수 있는 정보를 누설한다.[3]따라서 자신의 투표(돈, 강요, 후세에 대한)를 증명하기 위해 음모를 꾸민 유권자는 (영수증을 보지 않아도) 합의가 지켜진다면 나중에 제3자에게 증명할 수 있는 이전에 합의된 특이한 패턴으로 모든 투표용지를 표시할 수 있다.[3]어느 경우든 비밀투표용지의 베일이 뚫려 영수증에 적힌 신분증 번호까지 추적할 수 있다.

수정된 스리발럿

리베스트는 이후 본래의 개념에서 이러한 논리 오류를 인정하고,[1] 최종 간행물에서 RFC 스키마를 수정하여 각 행(각 예/아니오)을 개별적으로 찢어(문제의 상관관계 파괴)하고, 각 투표용지의 각 마크에 고유한 추적 번호(각 열 투표용지에 대해 하나의 ID만 있는 것이 아님)를 기재하도록 했다.이것이 이 계획의 깨질 수 없는 측면을 회복시켰지만, 영수증(한 줄에 한 장씩)과 잘린 투표용지의 확산은 표를 처리하거나 유권자가 영수증을 검토하는 메커니즘을 만들었고, 따라서 의도된 단순성을 훼손했다.[1]종이-발톱 구현과 사용적합성 문제를 다루는 전자 버전은 코스타 외 연구진에 의해 제안되었다.[6]

참고 항목

참조

  1. ^ a b c Ronald L. Rivest (2006). "The ThreeBallot Voting System" (PDF). Retrieved 2007-01-16. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)
  2. ^ Jones, Harvey; Jason Juang, 그리고 Greg Belote(2006)이다."현장 3표" 6.857 학급 프로젝트, MIT. MIT 학생들이 2006년 12월 시험한 "세발롯"에서 보고되었다.
  3. ^ a b c d Charlie E. M. Strauss (2006). "The Trouble with Triples Part 1" (PDF). Retrieved 2015-04-16. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)
  4. ^ a b c Charlie E. M. Strauss (2006). "The Trouble with Triples Part 2" (PDF). Retrieved 2015-04-16. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)
  5. ^ a b Henry, K.; Stinson, D.R.; Sui, J. (2009). "The effectiveness of receipt-based attacks on threeballot". IEEE Transactions on Information Forensics and Security. 4 (4): 699–707. doi:10.1109/TIFS.2009.2031914.
  6. ^ Costa, R.G.; Santin, A.O.; Maziero, C.A. (2008). "A Three Ballot Based Secure Electronic Voting System". IEEE Security & Privacy Magazine. 6 (3): 14–21. CiteSeerX 10.1.1.180.4126. doi:10.1109/msp.2008.56.