アカウント名:
パスワード:
1. 個人情報を用いた認証後に投票用トークンを配布.2. トークンから個人を同定できないが, 正当な方法で入手したトークンであることは検証可能にする3. トークンを用いて投票する
あとはアクセス方法の匿名性が確保できさえすれば良くて,むしろこっちが問題なんじゃないのかしら?
投票用紙を郵送しておいて希望者には公共料金の集金人みたいな人がネット端末持ってやってきてその人に手元が見えないようにして端末操作して投票用紙を渡して終了
ってのを考えてみたところでそもそもネットを使う必要がないことに気がついた。(投票用紙に手書きで書いて集金人に渡せば終わる)
ユニークなQRコードが印刷された葉書を送付してケータイで読んだら一度だけ使えるように……(葉書はダメだろ)
もういっそのこと「政府がランダムに選んだ投票人2000人の結果で、全国民の傾向は確認できます!」という統計的サンプリング方式に!(解決になってない)
集票人が悪徳政府とグルだったら、投票人はどうにもできません。インターネット投票の問題は、それよりは「なりすまし」防止と「投票内容の秘密」確保との両立が難しいこと。
今だと投票所で本人確認する、というのが防止策になってます。(本人宅に何かを郵送、ってのはポストから奪われたらアウトなので、多重投票の防止にはなっても「なりすましの対策」にはなってない)
インターネット投票だと、本人にトークンの類いを渡したとして、そのトークンを金で売ったり、強引な人が他人の家に踏み込んで勝手に投票作業をやっても(行為自体が犯罪というのは置いといて)「なりすまし」がバレません。(あるいは事後にバレた時、投票内容が秘密であれば何を無効票にして良いか不明だし、無効化すべき票が分かるようにすると「誰がどちらに投票したか後から調べられる」=秘密ではないということになる)
「なりすまし」防止と「投票内容の秘密」確保との両立が難しいこと。
そのとおりですね。
無効化すべき票が分かるようにすると「誰がどちらに投票したか後から調べられる」=秘密ではないということになる
ここが非常に惜しいんですが、「トークンを発行している時点で誰がどちらに投票したか後から調べられる」ということです。「誰がどちらに投票したか後から調べられるトークン」は存在するが、「調べられないトークン」は存在しないのではないか、ということです。もし「投票者以外の誰も調べられないトークン」が存在するのなら、それがまさに自分の疑問の答えに
「調べられないトークン」について理解しました。私の理解が追いついてませんでした。ご教示ありがとうございます。
>このトピックが「インターネット投票システム」についてのトピックなので、投票所に来るタイプは想定していませんでした。申し訳ないです。
いえ、ここも私が謝るところで、「今だと」というのは「紙の投票だと」くらいのつもりで書いていました。
兎にも角にも、本人確認が難しいんですよね。普通に作る限り、「どちらに投票したか」と「投票したのが誰か」という情報を同時に送らざるを得ない。本人確認は「事前にトークンに指紋登録して、通信上は「確認できた」という結果しか送らない」としても、場所というか経路はある程度バレる。家から送ったらわりと推定できちゃう。
アレだ。正攻法で安全性を確保しようとかするより、一見穴に見える場所を作っておいて、そこを狙って来る奴は罠に落ちる、ってシステムを作った方が良いかもだ。
投票者名と投票結果はもうダダ漏れにしちゃおう。でも。田中さんと佐藤さんと鈴木さんが居るとき、田中さんは「佐藤さんの投票」として、佐藤さんは「鈴木さんの投票」として、鈴木さんは「佐藤さんの投票」として投票結果が送信される、といったランダマイズがかかるようにする。そういうシステムを複数用意し、そのランダマイズ結果はそれぞれの管理者のみ、各システムの連結結果は全体管理者が一人のみ持つ。個々の管理者は「自分のシステム内では田中さんがどこに投票したか」は知ることができるけど、「システム内の田中さん」が現実の田中さんかどうかは分からない。全体管理者は、順番は知っているけど、誰が誰に対応しているかは何一つ分からない。悪の独裁者が反対勢力を掴もうと思うと、管理者全員を同時に抱え込まないといけないし、抱え込んだ上で提出された「暗号化表」が正しいかは分からない(管理者のうち誰かが嘘の暗号化表を提出しても、独裁者は誰が嘘をついたのか分からない)。
……いやこれでも穴はあるんですけど、とりあえず追跡が面倒くさくはなるかなって。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
電子投票で匿名性はどうやって確保すればいいの? (スコア:2)
投票数の改ざんなど、単なるシステムの実装の脆弱性に対する攻撃なので防ぐことが不可能なわけではありません。それに対して電子投票の匿名性の問題ははるかに根本的な問題だと思うのですが、これを解決しうる方法ってあるんでしょうか?ゼロ知識証明が真であること以外を知らせずに証明できるように、各自がどの投票者に投票したのかわからないが得票するをカウントできるような意外な方法があるのでしょうか。本家の議論を読んでもよくわかりませんでした。
Re: (スコア:0)
1. 個人情報を用いた認証後に投票用トークンを配布.
2. トークンから個人を同定できないが, 正当な方法で入手したトークンであることは検証可能にする
3. トークンを用いて投票する
あとはアクセス方法の匿名性が確保できさえすれば良くて,
むしろこっちが問題なんじゃないのかしら?
Re: (スコア:1)
投票用紙を郵送しておいて
希望者には公共料金の集金人みたいな人がネット端末持ってやってきて
その人に手元が見えないようにして端末操作して投票用紙を渡して終了
ってのを考えてみたところで
そもそもネットを使う必要がないことに気がついた。(投票用紙に手書きで書いて集金人に渡せば終わる)
ユニークなQRコードが印刷された葉書を送付してケータイで読んだら一度だけ使えるように……(葉書はダメだろ)
もういっそのこと「政府がランダムに選んだ投票人2000人の結果で、全国民の傾向は確認できます!」という統計的サンプリング方式に!(解決になってない)
Re: (スコア:1)
とか考えてたら、普通の選挙でも政府が個人を特定する方法を思いついてしまった。投票用紙を発行するときに、紫外線に反応する不可視インクのようなものでこっそり投票用紙に投票者の名前を書いておきます。有権者は肉眼ではその名前は確認できないので安全だと判断するしかありません。
Re: (スコア:1)
集票人が悪徳政府とグルだったら、投票人はどうにもできません。
インターネット投票の問題は、それよりは「なりすまし」防止と「投票内容の秘密」確保との両立が難しいこと。
今だと投票所で本人確認する、というのが防止策になってます。
(本人宅に何かを郵送、ってのはポストから奪われたらアウトなので、多重投票の防止にはなっても「なりすましの対策」にはなってない)
インターネット投票だと、本人にトークンの類いを渡したとして、
そのトークンを金で売ったり、強引な人が他人の家に踏み込んで勝手に投票作業をやっても(行為自体が犯罪というのは置いといて)「なりすまし」がバレません。
(あるいは事後にバレた時、投票内容が秘密であれば何を無効票にして良いか不明だし、無効化すべき票が分かるようにすると「誰がどちらに投票したか後から調べられる」=秘密ではないということになる)
Re: (スコア:1)
そのとおりですね。
ここが非常に惜しいんですが、「トークンを発行している時点で誰がどちらに投票したか後から調べられる」ということです。「誰がどちらに投票したか後から調べられるトークン」は存在するが、「調べられないトークン」は存在しないのではないか、ということです。もし「投票者以外の誰も調べられないトークン」が存在するのなら、それがまさに自分の疑問の答えに
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
「調べられないトークン」について理解しました。私の理解が追いついてませんでした。
ご教示ありがとうございます。
>このトピックが「インターネット投票システム」についてのトピックなので、投票所に来るタイプは想定していませんでした。申し訳ないです。
いえ、ここも私が謝るところで、「今だと」というのは「紙の投票だと」くらいのつもりで書いていました。
兎にも角にも、本人確認が難しいんですよね。
普通に作る限り、「どちらに投票したか」と「投票したのが誰か」という情報を同時に送らざるを得ない。
本人確認は「事前にトークンに指紋登録して、通信上は「確認できた」という結果しか送らない」としても、場所というか経路はある程度バレる。家から送ったらわりと推定できちゃう。
アレだ。
正攻法で安全性を確保しようとかするより、一見穴に見える場所を作っておいて、そこを狙って来る奴は罠に落ちる、ってシステムを作った方が良いかもだ。
投票者名と投票結果はもうダダ漏れにしちゃおう。でも。
田中さんと佐藤さんと鈴木さんが居るとき、田中さんは「佐藤さんの投票」として、佐藤さんは「鈴木さんの投票」として、鈴木さんは「佐藤さんの投票」として投票結果が送信される、といったランダマイズがかかるようにする。
そういうシステムを複数用意し、そのランダマイズ結果はそれぞれの管理者のみ、各システムの連結結果は全体管理者が一人のみ持つ。
個々の管理者は「自分のシステム内では田中さんがどこに投票したか」は知ることができるけど、「システム内の田中さん」が現実の田中さんかどうかは分からない。
全体管理者は、順番は知っているけど、誰が誰に対応しているかは何一つ分からない。
悪の独裁者が反対勢力を掴もうと思うと、管理者全員を同時に抱え込まないといけないし、抱え込んだ上で提出された「暗号化表」が正しいかは分からない(管理者のうち誰かが嘘の暗号化表を提出しても、独裁者は誰が嘘をついたのか分からない)。
……いやこれでも穴はあるんですけど、とりあえず追跡が面倒くさくはなるかなって。