سيستم راي گيري الكترونيكي آگاه به امنيت در اينترنت

«Sensus»
چكيده مطالب:
ما طرح و پياده سازي Sensus ، يك سيستم امن و خصوصي براي راي گيري ( رهبري نظر خواهي و انتخابات ) از طريق شبكه هاي كامپيوتري را ارائه مي دهيم با توسعه طرح Sensus. Ohata. Okamoto . fujioka از امضاي كوركورانه استفاده مي كند تا اطمينان حاصل كند كه فقط راي دهندگان ثبت نام شده مجاز به راي دادن هستند

و هر شخص فقط يكبار راي مي دهد و در عين حال محرمانه ماندن آراي راي دهندگان را نيز تاميـن مي كند. Sensus به راي دهندگان اجازه داده كه هر يك به طور مستقل صحت شمارش آرا خود را بررسي كنند و در مورد نتايج انتخابات بدون ذكر نام خود ترديد و پرسش كنند. در اين بحث ۷ ويژگي مطلوب سيستم هاي راي گيري را فهرست كرده و نشان مي دهيم كه Sensus در بر آوردن اين نيازهـا بهتر از سيستم هـاي قديمي عمــل مي كند .

مقدمه:
سازمانها و مراكز دولتي مردمي ( دمكراتيك) بايد مكانسيم هايي براي راي دادن اعضاي خويش داشته باشند. از قديم الايام ، انتخابات به عنوان مكانيسمي اداري و رسمي در جهت بيان نقطه نظرات مردم به دولت بكار رفته است، در حاليكه نظر خواهي از آن به عنوان يك نظر سنجي غير رسمي و عمومي ، اما در عين حال ارزشمند، ياد مي كند.

 

حفظ امنيت و محرمانه بودن ، هم در نظر خواهي و هم در انتخابات مورد نظر مي باشد،اما دست يافتن به اين دو هميشه و به طور همزمان و منطقي امكان پذير نيست. مكانيسم هائي كه امنيت و محرمانگي يك انتخابات را تامين مي كنند براي مجريان انتخابات وقت گير و پر هزينه و براي راي دهندگان اسباب زحمت مي باشند. حتي هنگامي كه راي دهندگان از نظر جغرافيائي پراكنده باشند هدايت يك انتخابات امن و محرمانه مشكل تر است.

با توجه به رشد سريع شبكه هاي كامپيوتري و پيشرفتهايي در تكنيك هاي رمز نگاري ( Cryptographic) , هم اكنون راي گيري الكترونيكي يك انتخاب كار آمد در بسياري از انتخابات و نظر سنجي هاي غيردولتي مي باشدو اين احتمال وجود دارد كه اين نوع راي گيري در انتخابات دولتي نيز بزودي كارآمد و جايگزين شود.

راي گيري الكترونيكي از طريق اينترنت براي كساني كه دسترسي به كامپيوتر دارند بسيار مناسب مي باشد حتي اگر توزيع جغرافيائي داشته باشند. به علاوه نظر سنجي و انتخابات الكترونيكي مي تواند بدون هزينه باشد. هر چند كه بي دقتي در اجراي آن منجر به لطمه زدن به سيستم و در نتيجه نتايج غلط و برهم زدن محرمانگي رأي دهندگان خواهد شد.

به تبعيت از كار ohta , okamoto , fujioka ، سيستم رأي گيري الكترونيكي
آگاه به امنيت موسوم به Sensus را طراحي كرديم كه از آن در هدايت نظر سنجي ها و انتخابات از طريق اينترنت استفاده مي شود.

Sensus عمدتاً به عنوان جايگزيني براي سيستم هاي رأي گيري پستي طراحي شد، هر چند كه براي بسياري از كاربردهاي ديگر رأي گيري از جمله سيستم هاي رأي گيري قديمي كه غير عملي هستند، مناسب مي باشد .[۸]ما ثابت كرده ايم كه پياده سازي ما مي تواند در انتخابات كوچك مورد استفاده قرار بگيرد. به علاوه، بر اين باوريم كه اين طرح با انتخابات در سطح وسيعتر نيز سازگار است، البته با تغييرات بسيار كوچك.

در حاليكه بحث هاي نظري (تئوريكي) زيادي در مورد سيستم هاي رأي گيري الكترونيكي وجود داشته، بسياري از سيستم هاي بكار برده شده در رأي گيري اينترنتي از مسائل امنيتي و محرمانگي چشم پوشي مي كنند. بطور مثال، حزب اصلاح طلب به اعضاء خود اين اختيار را داد كه از طريق وب گسترده جهاني (World Wide Web) كانديداي رياست جمهوري حزب ۱۹۹۶ را انتخاب كنند ( به جاي اينكه از طريق تلفن و پست اقدام به رأي گيري كنند).

اگرچه بدون توجه به روش مورد استفاده رأي گيري، نام رأي دهندگان به برگه هاي رأي آنها ضميمه شد كه اين باعث كاهش امكان اختفاء برگه هاي رأي مي شود. ساير رأي گيري هاي اينترنتي ديگر، فاقد شرايطي هستند كه تضمين كند كه هر شخص فقط يكبار رأي دهد. با افزايش رواج رأي گيري الكترونيكي در Web ، بر اين باوريم كه آگاهي از امنيت و محرمانه بودن از سوي مردم بسيار مهم مي باشد.

اگر اين ملاحظات در ابتداي امر مورد توجه قرار نگيرد عامة مردم به خدمات و كاربردهاي اينترنتي با شك و ترديد مي نگرند. توجه و تمركز ما بر روي توليد يك سيستم رأي گيري الكترونيكي آگاه به امنيت مي باشد كه در نظر سنجي ها و انتخابات واقعي مي تواند مورد استفاده قرار گيرد.
در اين تحقيق طرح Sensus و پياده سازي آن را نشان خواهيم داد.

در بخش دوم اهداف طرح را كه شامل فهرستي از ويژگيهاي مطلوب سيستم هاي انتخاباتي است، ارائه مي دهيم. در بخش ۳، پروتكل رأي گيري Sensus را با شرح نقش هر يك از اجزاء سيستم و مقايسة Sensus با ديگر پروتكل هاي رأي گيري به تفصيل بيان خواهيم كرد. در بخش ۴، Sensus را ارزيابي كرده و به تجزيه و تحليل ميزان دستيابي به ويژگيهاي فهرست شده در بخش ۲ مي پردازيم و بخش ۵ ارائه نتايج بدست آورده خواهد بود.

اهداف طرح Sensus
در حاليكه تنوع سيستم هاي رأي گيري و پروتكل ها بسيار زياد مي باشد، شيوه اصلي هدايت يك انتخاب عمومي تقريباً استاندارد است. اين شيوه عموماً چهار وظيفه را شامل مي شود :
ـ ثبت نام
عمل ثبت نام شامل تهيه ليستي از افراد واجد شرايط رأي دادن مي باشد.
ـ تأئيد اعتبار (اثبات)

اين بخش مربوط به چك كردن صلاحيت (استوارنامة) افرادي است كه قصد دارند رأي دهند و اجازه دادن به كساني كه واجد شرايط اند و قبلاً رأي نداده اند.
ـ جمع آوري
شامل جمع كردن برگه هاي رأي مي باشد
ـ محاسبات ـ آمارگيري
اين مرحله شامل شمارش آراء است.

براي اطمينان به نتايج آراء، مردم بايد باور داشته باشند كه تمامي مراحل بدرستي انجام شده است . هر چند كه امكان اشتباه در اجراي اين مراحل نيز وجود دارد. بطور مثال :
مسئولين انتخابات ممكن است تقلب كنند و به كساني كه واجد شريط نيستند اجازه دهند كه راي بدهند يا راي دهندگان ثبت نام شده . بيشتر از يكبار راي دهند و يا برگه هاي راي را درست نشمرده و يا از بين ببرند.

• افراد فاقد شرايط ممكن است (با نام شخص ديگري كه مرده) ثبت نام كنند يا افراد واجد شرايط ممكن است با چندين نام ثبت نام شوند.
• رأي دهندگان ثبت نام شده ( واجد شرايط يا غير از آن) ممكن است خود را جاي كس ديگري جا بزنند.
• ممكن است صندوق هاي رأي، برگه هاي رأي و ماشين هاي رأي شمار صدمه ببينند.
بطور سنتي با استفاده از ابزار امنيتي فيزيكي، بازرسي و ناظران نماينده از همه حزبهاي شركت كننده، از تقلب در انتخابات ممانعت بعمل آمده است.

اما با محرمانه ماندن آراء ، مسأله ممانعت از تقلب در انتخابات مشكل سازتر مي گردد. ممكن است ناظرين تا بعد از زماني كه يك برگه رأي در صندوق انداخته مي شود آن را مشاهده نكنند و بازرسين نبايد اجازه دهند كه برگه به رأي دهنده بازگردانده شود. بنابراين، اين اقدامات امنيتي بطور كلي احتمال تقلب را كاهش داده و مردم مي توانند به صحت نتايج اطمينان داشته باشند.

در نظر گرفتن روشهائي كه از طريق آن اين چهار مرحله ذكر شده بصورت الكترونيكي انجام شود و امنيت و مسائل خصوصي رأي دهنده از بين نرفته و فرصتي براي تقلب بوجود نيايد، در طرح سيستم رأي گيري الكترونيكي بسيار مهم است. به علاوه در نظر داشتن تمام خصوصيات مطلوب سيستم رأي گيري كه در سيستم هاي سنتي ، هميشه در دسترس نيست مفيد مي باشد.
اهداف ما بر اساس مطالعاتي بر روي سيستم هاي رأي گيري الكترونيكي و سنتي مي باشد. ما چندين گروه از خصوصيات سيستم انتخابات ايده آل را مرور كرده [۱,۱۰,۱۵,۱۸,۲۰ ] و چهار ويژگي اصلي را كه در هر سيستم انتخاباتي مورد نظر مي باشد استخراج نموديم :
ـ صحت و دقت
يك سيستم داراي صحت مي باشد، اگر : (۱) امكان تغيير در يك رأي وجود نداشته باشد. (۲) امكان حذف يك رأي ارزيابي شده از شمارش نهائي وجود نداشته باشد . (۳) امكان شمارش يك رأي فاقد ارزش در شمارش نهائي وجود نداشته باشد.
در بيشتر سيستم هاي دقيق شمارش نهائي آراء بايد كامل باشد، چه بدليل اعلام نشدن خطا و اشتباه و چه بدليل تصحيح خطاهاي اعلام شده. سيستم هاي با دقت جزئي را مي توان شناسايي كرد ولي الزامي در تصحيح خطا نمي باشد. دقت را مي توان بر حسب محدوده خطا، احتمال خطا يا تعداد نقاطي كه خطا در آن قرار دارد، اندازه گيري كرد.

ـ آسيب ناپذيري ( مصونيت)
يك سيستم آسيب ناپذير است، اگر : (۱) فقط به افراد واجد شرايط اجازه رأي داده شود. (۲) تضمين كند كه هر رأي دهندة واجد شرايط فقط يكبار مي تواند رأي دهد.

ـ محرمانه بودن
يك سيستم محرمانه مي باشد، اگر : (۱) نه مسئولين انتخابات و نه كس ديگري،
هيچيك نتوانند برگه رأيي را به شخصي كه رأي مي دهد، ربط دهند. (۲) هيچ رأي
دهنده اي نتواند روش رأي دادن خود را به كسي نشان دهد.

عامل دوم در ممانعت از خريدن رأي و اخاذي مهم است. رأي دهندگان تنها در صورتي مي توانند رأي خود را بفروشند كه بتوانند به خريدار خود ثابت كنند كه رأي، مطابق ميل آنهاست. همچنين، اخاذي براي اجبار رأي دهنده به رأي دادن به شخصي خاص به نتيجه نمي رسد مگر اينكه از رأي دهنده بخواهند كه ثابت كند همانگونه كه از او خواسته شده راي داده است.
ـ اثبات پذيري (تأييد)

يك سيستم در صورتي قابل تأييد و اثبات پذيري است كه هر شخص بطور مستقل بتواند بررسي (و تأييد) كند كه تمام آراء بدرستي شمرده شده است. تعريف ضعيف ديگري از تأييد توسط برخي از نويسندگان ارائه شده [۱۰ , ۱۸] : يك سيستم در صورتي قابل تأييد است كه به رأي دهندگان اجازة تأييد آراء خود و تصحيح اشتباهات احتمالي بدون از بين بردن محرمانگي آن را بدهد. سيستم هائي كه كمتر قابل تأييداند اشتباهات را خاطر نشان كرده اما آنها را تصحيح نمي كنند و يا اجازة تأئيد مراحل را از سوي نمايندگان احزاب ، و نه از سوي خود رأي دهندگان، مي دهند. سيستم هاي رأي گيري قديمي تنها ، تأئيد توسط نمايندگان احزاب را جايز مي شمارند.
علاوه بر اين، سه ويژگي ديگر را كه سيستم رأي گيري الكترونيكي بايد دارا باشد بدست آورديم. دو ويژگي براي تأمين ميزان بالائي از شركت كنندگان مهم
مي باشد، چيزي كه اغلب مورد نظر است اما هميشه دست يافتني نيست.
ـ سهولت و راحتي

– يك سيستم در صورتي مناسب و مفيد است كه به رأي دهندگان اجازه دهد سريع، در يك جلسه و با حداقل امكانات يا مهارت هاي ويژه رأي دهند.
ـ انعطاف پذيري ( قابليت تغيير)
يك سيستم انعطاف پذير است، اگر اجازه طرح سئوالات متنوع و متعدد در مورد آراء در قالب سئوالات نهايي باز ( آزاد) را به رأي دهندگان بدهد ( اين امر در رأي هاي نوشتني و سئوالات نظر خواهي حائز اهميت است).
ـ تحرك پذيري (سيار بودن)
يك سيستم سيار است، اگر هيچ محدوديتي در مكاني كه از آنجا رأي دهنده، رأي خود را در صندوق مي اندازد وجود نداشته باشد.

يكي از دلايلي كه مردم به سيستم هاي رأي گيري الكترونيكي علاقمنداند اين است كه آنها مي توانند متحرك باشند ( قادر به جابجائي باشند) . اگر مردم براحتي قادر به انداختن رأي خود از طريق كامپيوتر در منازل، مدارس، اداره ها و كتابخانه ها باشند، شركت در انتخابات افزايش مي يابد . البته در مورد انتخابات دولتي بايد مراكز انتخاباتي براي اشخاصي كه دسترسي به كامپيوتر ندارند تعيين شود.
قابليت تحرك به خودي خود عاملي اساسي در بروز مشكلات مربوط به طرح يك سيستم رأي گيري الكترونيكي محرمانه و امن مي باشد. با آزاد گذاشتن رأي دهندگان در رأي دادن از طريق كامپيوتر، ميزان افرادي كه فاقد شرايط لازم هستند بالا مي رود

.
همچنين توانائي ما در ممانعت رأي دهنده از نشان دادن رأي خود به ديگران محدود مي شود و يك دكه راي گيري خصوصي كه بتوان در آن از خريد آراء جلوگيري كرد وجود ندارد.
ما Sensus را با دارا بودن تمامي اين ويژگيها (با درجات مختلف) طراحي كرديم البته با يك استثنا و آنهم اين است كه بخش دوم مساله محرمانه بودن را پوشش نمي دهد زيرا تنها در صورتي كه يك رأي دهنده از داخل يك دكه راي گيري خلوت رأي خود را وارد كند چگونگي رأي دادنش مخفي مي ماند اما در غير اين صورت گروههاي ديگر مي توانند از رأي او مطلع شوند. ما عقيده نداريم كه اين مشكل بتواند بدون از دست دادن تحرك پذيري يا سهولت برطرف شود.

در مجموع Sensus همانند بيشتر سيستم هاي رمز نگاري توزيع شده به مشكلاتي از قبيل توقف، تأخير و وقفه در انتقال برگه هاي رأي نمي پردازد.
فرض اين طرح براين است كه تمام رأي دهندگان مكانيسمي مطمئن براي ارسال به موقع پيام ها به مسئوولين انتخابات در اختيار دارند.
پروتكل رأي گيري Sensus
Sensus به عنوان يك سيستم ماژولار انطباق پذير طرح ريزي شده است. پروتكل رأي گيري نياز به وجود ماژولهاي تأييد كننده ( اثبات كننده) آمار گر و ناظر انتخابات(متصدي اخذراي ‍‍ Pollster) دارد. ماژولهاي اضافي ممكن است به سيستم Sensus افزوده شوند.مسئووليت بخش هاي اصلي شامل تمامي وظايفي است كه در بخش ۲ شرح داده شده، بجز بخش ثبت نام ( كه ممكن است توسط مراجع بشري يا يك ماژول ثبت نام كننده دلخواه صورت گيرد).

بخش تاييد كننده مسئول وظيفه تائيد و اثبات مي باشد و بخش آمار مسئول آمار گيري و محاسبات جمع آوري است . ناظر انتخابات (متصدي اخذ راي) به عنوان كارگزار راي دهنده عمل كرده و تمامي عملكردهاي انتقال اطلاعات و رمزنگاري را از طرف راي دهنده انجام مي دهد.
پروتكل Sensus بر اساس طراحي از [۱۰ ] ohta . okamoto . Fujiaka مي باشد كه از امضاي كوركورانه براي تامين امنيت و در عين حال محرمانه بودن راي استفاده

مي كند. پروتكل Sensus نياز به اين دارد كه راي دهنده يك برگه راي فراهم كرده، با يك كليد مخفي آنرا رمز گذاري كرده و آنها را مخفي ( blind ) نمايد.سپس راي دهنده برگه را امضا مي كند و آنرا به تاييد كننده مي فرستد . اين بخش تاييد مي كند كه آيا امضا متعلق به فرد ثبت نام شده اي است كه قبلا راي نداده. اگر برگه معتبر بود، آن را امضا كرده و به راي دهنده باز مي گرداند.

راي دهنده لايه رمز گذاري شده مخفي را برداشته برگه راي رمز شده ي امضا شده توسط تاييد كننده را آشكار مي نمايد. سپس راي دهنده برگه راي رمز شده ي امضا شده نتيجه را به آمارگر مي فرستد. آمارگر يا محاسب امضاي روي برگه رمز شده را بررسي مي نمايد اگر برگه راي معتبر بود در فهرست ديگر برگه ها گذاشته مي شود تا در پايان اعلام گردد. سپس آمارگر برگه رمز گذاري شده را امضا مي كند و به عنوان رسيد به راي دهنده باز مي گرداند. در قبال دريافت اين رسيد. راي دهنده كليد رمز گشائي برگه را به آمار گر مي فرستد. آمار گر با استفاده از اين كليد برگه را رمز گشائي كرده و آنرا به جمع آرا اضافه مي كند.

ماژول هاي Sensus
همانطور كه ذكر شد ماژول هاي تاييد اعتبار ، آمار گرو ناظر انتخابات در هدايت يك انتخابات Sensus ضروري است. ماژول ديگري از قبيل ثبت نام كننده با صدور برگه و از اين قبيل ، مي توانند عمليات انتخابات را خود كار ساخته باعث صرفه جوئي در وقت و كاهش احتمال خطاي بشر شوند. در اين بخش ما استفاده از اين ماژولها در پياده سازي پروتكل Sensus را تشريح كرده و مختصرا به توصيف ماژولهاي خودمان مي پردازيم. شكل (۱) اجراي مراحل رادر ماژولهاي تاييد كننده ، آمار گرو ناظر انتخابات نشان مي دهد.

شكل۱-۱ : نظري اجمالي بر پروتكل Sensus

ما ثبت كننده ، ناظر انتخابات و تأييد آمارگر را در perl , cروي سيستم unix اجرا كرديم. پياده سازي ما از كتابخانه رمزنگاري RSAREF كه توسط شركت حفاظت اطلاعات RSA (بدون هزينه) توزيغ شده، استفاده مي كند، همچنين از اسكريپت Webget Perl توسط Jeffry Fried استفاده مي كند. پياده سازي ما نياز به ماژول هاي ثبت كننده، تأييد كننده و آمارگر دارد تا روي ماشيني با يك سروروب كه اسكريپت هاي CGI را پشتيباني مي كند قابل اجرا باشد.
براي تأمين هرچه بيشتر امنيت و محرمانگي، ماژول هاي تأئيد كننده و آمارگر بايد در ماشينهاي جداگانه اجراء شوند و ماژول ناظر انتخابات نبايد در ماشيني كه ماژول هاي ديگر را در خود جاي داده، اجرا شود.

ـ ثبت كننده : ثبت كننده مسئوول ثبت رأي دهندگان قبل از يك انتخابات است. ثبت كنند بايد ليستي از افراد واجد شرايط ثبت نام و افرادي كه ثبت نام كرده اند و هويتشان به تأئيد رسيده و ليست رأي دهندگان ثبت نام شده را تهيه كند. رأي دهندگان ثبت نام شده عموماً بر طبق نام يا كد شناسائي، كليد رمزنگاري عمومي، و اگر خودشان بخواهند طبق آدرس e – mailفهرست بندي مي شوند .

همانند سيستم هاي قديمي رأي گيري، مشكل اساسي در پياده سازي ثبت كننده، تأييد هويت شركت كنندگان مي باشد، كاري كه شايد بدون ملاقات رو در رو غير ممكن باشد. شايد به اين دليل است كه بعضي از مجريان انتخابات اين گونه ثبت، يعني ثبت نام اتوماتيك را نمي پسندند. اما در هر حال، فرآيند ثبت نام اتوماتيك منجر به نتايج دقيق تر و صحيح تر مي گردد.
پياده سازي، ثبت كننده ما نياز به اين دارد كه براي هر رأي دهنده، يك شماره شناسائي ( كه لازم نيست مخفي باشد) و يك علامت رمزي T قبل از مراحل ثبت نام بفرستد. بطور مثال دانشجويان هنگام حضور در يك دفتر اجرائي اين شماره شناسائي را دريافت مي كنند، براي اعضاي مجامع حرفه اي اين شماره ها بعد از الحاق به يك مجمع توسط پست فرستاده مي شود، و يا رأي دهندگان در انتخابات دولتي اين شماره را در زمان دريافت و يا تجديد گواهينامه رانندگي خود كسب مي نمايند .

رأي دهندگان واجد شرايط يك جفت كليد عمومي/ خصوصي بوجود آورده و با فرستادن شماره شناسائي T و كليد عمومي شان به ثبت كننده نام خود را براي رأي دادن ثبت مي كنند. ثبت كننده تأييد مي كند كه آيا شركت كننده، علائم صحيح را ارائه داده است يا نه و سپس شماره شناسائي و كليد عمومي را به ليست رأي دهنده ثبت نام شده اضافه مي كند. اين ليست همچنين شامل يك فيلتر اعتبار براي هر رأي دهنده است كه قبل از هر انتخابات با ۰ تنظيم مي شود و بعد از اينكه برگة رأي توسط تأئيد كننده، تأييد شده به ۱ تبديل مي شود.

ـ ناظر انتخابات (متصدي اخذ رأي) : به عنوان كارگزار رأي دهنده عمل مي كند، ارائه برگه هاي خوانا به رأي دهنده، جمع آوري پاسخ هاي رأي دهنده به سئوالات برگه ها، اجراي توابع رمزنگاري از طرف رأي دهنده، تهيه رسيدها و تأييديه هاي لازم و تحويل برگه ها به صندوق به عهده ناظر انتخابات است. ناظر انتخابات تنها جزء سيستم Sensus است كه رأي دهندگان بايد كاملاً به آن اطمينان كنند. كساني كه

در مورد محرمانه ماندن برگه هاي خود نگران هستند كپي هاي شخصي از ناظر انتخابات در دستگاههاي مطمئن نصب مي نمـايند. ناظران انتـخابات ممـكن است با
رابط هاي كاربر متنوعي پياده سازي شوند . بعضي از نظرسنجي ها ممكن است توانايي نمايش برگه هاي رأي مولتي مديا ( چند رسانه اي) با رابط كاربر گرافيكي را داشته باشند، بقيه رابط ساده مبتني بر متن را استفاده مي كنند. ناظر انتخابات ممكن است همچنين براي كمك به رأي دهندگان در اثبات اينكه رأي هايشان به درستي شمرده شده و يا در اعتراض به انتخابات نيز بكار برده مي شود.

پياده سازي ناظر انتخابات ما يك رابط كاربر متني ساده دارد كه قادر به نمايش برگه هاي خالي، با استفاده از زبان توصيف برگه، BLT، مي باشد. BLT براي انعطاف پذيري حداكثر در توليد برگه ها طراحي شد. اين زبان امكان ارائه عناصر برگه ها را بطور تصادفي يا مشروط مي دهد. هر چند كه قالب LISPمانند BLT استفاده از آن را توسط انسان براي تركيب برگه هاي رأي Sensus مشكل مي سازد. اين مسأله از طريق استفاده از ابزار تأليف برگه قابل حل مي باشد.
هم اكنون مرورگر هاي وب گسترده جهاني با فرمولهاي HTML بطور وسيع مورد استفاده قرار مي گيرند HTML بهترين زبان ويژه برگه نويسي مي باشد.

ـ تأييد كننده : تأييد كننده، مسئول كنترل ثبت نام رأي دهنده و اطمينان از اينكه تنها يك رأي توسط هر شخص انداخته شده، مي باشد. تأئيد كننده يك گواهي تأئيديه مخفي با امضا كردن برگه مخفي توليد مي كند. سپس رأي دهنده گواهي تأييديه را باز كرده و آن را به آمار گر، همراه با برگه اش، ارائه مي دهد. تأييد كننده بيش از يك گواهي تأييديه براي هر رأي دهنده ثبت نام كننده صادر نمي كند. تأييد كننده ما از ليست رأي دهندگان ثبت نام شده براي استخراج كليد عمومي هر شخص و كنترل امضاء روي برگه شان استفاده مي كند. پس از تأييد برگه، تأييد كننده محتواي فيلد تأييديه را از ۰ به ۱تغيير مي دهد. با اين متد تمام سندهائي كه برگه ها در آن تأييد شده اند منظم و مرتب خواهد بود.

آمارگر : آمارگر مسئوول جمع آوري برگه هاي رأي و محاسبه نتايج انتخابات يا نظر سنجي است. ابتدا رأي دهنده برگة رأي رمز گذاري شدة خود را كه به امضاي تأييد كننده رسيده است به آمارگر ارائه مي دهد، آمارگر، صحت تأييديه را چك كرده و در مورد منحصر به فرد بودن برگه در بين تمام برگه ها يي كه تا آن موقع دريافت شده تحقيق مي كند. اگر برگه معتبر و منحصر به فرد باشد، آمارگر يك رسيد امضاء شده براي رأي دهنده صادر مي كند.

سپس رأي دهنده كليد رمزگشائي برگه را ارائه مي دهد. آمارگر از كليد براي رمزگشائي برگه استفاده مي كند. بعد از انتخابات، آمارگر ليستي از برگه هاي رأي رمز شده، كليدهاي رمز گشايي، و برگه هاي رأي رمزگشائي شده منتشر مي كند، و تأييد مستقل نتايج انتخابات را ممكن مي سازد.

آمارگر ما يك فشرده ۱۶ بايتي (byte) از هر يك از برگه هاي رمز گذاري شدة دريافت شده محاسبه كرده و از آن براي شاخص گذاري برگه ها و رسيدها و رسيدهاي رمز گذاري شده استفاده مي كند. براي كارآئي بيشتر در ملاحظه برگه هاي رمز شده مي توان يك جدول درهم ساز به آن اضافه كرد. اين تغيير احتمالاً در انتخابات وسيع براي سازگاري لازم است.
توجه كنيد كه احتمال اينكه دو يا چند رأي دهنده برگه هاي رمز شده عيناً مثل هم را تحويل دهند خيلي كم است و اگر چنين چيزي اتفاق افتد تنها يكي از برگه ها شمرده خواهد شد.
پروتكل هاي ديگر رأي گيري

در طي ۱۵ سال اخير پروتكل هاي انتخاباتي وابسته به رمز نگاري زيادي پيشنهاد شده اند، كه سعي در كاهش ميزان تقلب و افزايش ميزان محرمانه بودن آراء داشته اند. به علاوه، برخي با اهداف بيشتري طرح ريزي شده اند، مثلاً براي راي دهندگان غير ممكن ساختن اثبات اينكه آنها به روش خاصي رأي داده اند. بسياري از اين پروتكل هاي پيشنهاد شده در پياده سازي براي رأي دهندگاني كه پراكندگي جغرافيائي دارند عملي نمي باشند، اگر چه از لحاظ تئوري مورد توجه هستند .

در اين بخش خلاصه اي از تجزيه و تحليل پروتكل هاي انتخاباتي وابسته به رمز نگاري همانند پروتكل هاي سنتي و همچنين مقايسه آنها را با سيستم Sensus ارائه مي دهيم.
سيستم هاي انتخاباتي سنتي ( قديمي) : بيشتر اين سيستم ها ايده آل نمي باشند. اين سيستم ها بيشتر گرايش به اتكاء بر تعداد بخش هايي دارند كه قادر به تباني براي تغيير نتايج انتخابات مي باشند يا آشكار سازي روشي كه با آن رأي دهندگان رأي داده اند. عموماً، اين گونه سيستم ها به اين علت كار مي كنند كه يا

بخش هايي قابل اعتماد دارند و يا هيچ اطميناني بهم ندارند و بنابراين تباني اتفاق
نمي افتد.
سيستم هاي رأي گيري كه در انتخابات ملي در ايالت متحده مورد استفاده قرار گرفتند، براي برآوردن تمام ويژگيهاي اصلي، البته تا حدي، طراحي شده اند. اگر چه تعداد كمي از ضوابط رسمي وجود دارند كه سيستم هاي رأي گيري ايالات متحده از هر لحاظ بايستي دارا باشند. . [۱۴]در بيشتر سيستم هاي امكان تغيير و گم شدن و ثبت غلط آراء در طول مرحله شمارش وجود دارد. اگرچه ممكن است

محاسبات نادرست نتيجه تقلب باشد، اما تمام اشتباهات ثبت شده در محاسبات كامپيوتري آراء ناشي از استفاده نادرست از تجهيزات رأي گيري و مشكلات نرم افزاري بوده است. بطور مثال در سال ۱۹۸۴ در بخش كارول در انتخابات انجمن نظارت بر انتخابات مدرسه ماريلند ((Maryland توسط سيستم كامپيوتري بصورت اشتباه محاسبه شد زيرا مجريان انتخابات تصادفاً، برنامه غلطي را براي خواندن كارتهاي رأي نصب كرده بودند [۱۹]. استفاده از برگه هاي رأي غيابي باعث فراهم آوردن ويژگي تحرك در انتخابات ملي مي گردد و به رأي دهندگان اجازه مي دهد

كه رأي خود را در هر كجا كه هستند بيندازند. اگر چه سيستم هاي برگه رأي غيابي گرايش به كاهش محرمانگي و افزايش احتمال تغيير و مفقود شدن برگه ها را دارند. برغم اينگونه كاستي ها، صرف نظر كردن از انتخابات ملي به علت وجود محدوديت ها و يا تنوع سيستم هاي رأي گيري مورد استفاده، مشكل مي باشد [۱۲]. به علاوه خريدن آراء نادر است زيرا بعد از ترك باجة رأي گيري، رأي دهنده ديگر نمي تواند ثابت كند كه به چه كسي رأي داده است. ( با وجود اين خريد رأي مي تواند بسادگي زمانيكه برگه هاي رأي غيابي استفاده مي شوند، بوقوع بپيوندد).

اغلب سيستم هاي رأي گيري قديمي تنها توسط نمايندگان حزب يا حزب سوم مطمئن مي توانند تأييد شوند. براي رأي دهندگان اثبات اينكه رأي هاي شخصي درست شمرده شده غير ممكن مي باشد. به علاوه، هنگامي كه مرحله تأييديه اغلب به مشكلات روند كار و تضادهاي بزرگ بين آمار نهائي و تعداد رأي دهندگاني كه در انتخابات حضور يافته اند پي مي برند معمولاً نمي تواند اشتباهات را تصحيح كند.

سيستم هاي مورد استفاده در انتخابات ملي در ايالت متحده معمولاً براي انتخابات محلي نيز بكار مي روند هر چند كه احتمال سوء استفاده در اين مورد بيشتر مي شود زيرا تقريباً تعداد كمي از افراد در محاسبة نهائي آراء شركت دارند.
سازمانهاي اجتماعي و حرفه اي بزرگ، انتخابات خود را از طريق سيستم هاي رأي گيري پستي برگزار مي كنند دراين سيستم ها رأي دهنده بطور مجازي از هر مكاني مي تواند رأي خود را بيندازد. اگرچه آنها اغلب صحت و محرمانگي را قرباني

مي سازند. اين روش به اين علت مورد استفاده قرار مي گيرد كه سازمانها نمي خواهند انتخابات جنجال برانگيزي برگزار كنند. به علاوه، آنها اغلب گروههاي بي طرف را
مي گمارند تا انتخابات را برگزار كنند (معمولاً با هزينه قابل توجه) با احتياط به موقع و مناسب، رأي گيري از طريق پست مي تواند براي اكثر انتخابات جنجال برانگيزتر نيز مناسب باشد. شايد بزرگترين سازمان غير دولتي كه از اين سيستم استفاده مي كند. Teamsters باشد.

در سال ۱۹۸۸ Teamsters حدوداً به ۱۰۵ ميليون نفر از اعضا برگه رأي پستي فرستاد. بر طبق گزارشات مأمورين انتخابات Teamsters ، تنها مشكلي كه پيش آمد چند مورد سعي در دوباره رأي دادن و همچنين تهديد رأي دهندگان بود

. با اين وجود بسياري از مردم نسبت به اين گونه رأي گيري بد گمان هستند. ديوان عالي كاليفرنيا در كانزاس مواردي را براي رأي گيري از طريق پست حكم كرده اند. هر دو دادگاه زير پا گذاشتن قوانيني كه اين گونه رأي گيري را مجاز مي داند را نمي پذيرند، عليرغم آگاهي دادگاه كانزاس از اينكه رأي دادن از طريق پست امكان به خطر انداختن اختفا و شانس تقلب را افزايش مي دهد [۱۳].

بسياري از ايالت ها هم از اين سيستم در برخي انتخابات خود استفاده مي كنند، به ويژه در نواحي كوچك معمولاً از رأي دهنده خواسته مي شود كه رأي خود را در دو پاكت بگذارد تا محرمانه بماند. ايالت Oregon از سال ۱۹۸۱ براي انتخابات محلي و ويژه خود اين نوع انتخابات را برگزار مي كند. در دسامبر ۱۹۹۵ ، Oregon نخستين انتخابات پستي خود را انجام داد و كانديداهاي خود را براي يك جاي خالي در سناي ايالات متحده نامزد كرد، بنابراين اولين ايالت برگزار كنندة چنين انتخاباتي بود.
Oregon يك انتخابات عمومي براي موقعيت جاي خالي مجلس سنا توسط پست در ژانويه ۱۹۹۶، و اولين رياست جمهوري دلخواه توسط پست در سال ۱۹۹۶ برگزار كرد. يك نظر سنجي تلفني توسط لابراتوار تحقيقات نظر سنجي Oregon بعد از انتخابات ژوئن انجام گرفت كه گزارش داد ۵/۷۶ درصد از ۱۲۲۵ پاسخگو، رأي دادن از طريق پست را به انتخابات مكاني ترجيح مي دهند [۲۱].
ـ پروتكل هاي رأي گيري رمز نگاري

چام (chaum) اولين پروتكل رأي گيري رمزنگاري را در سال ۱۹۸۱ با پست الكترونيكي بي نام و نام مستعار ديجيتال منتشر كرد [۳].اين پروتكل از رمز نگاري كليد عمومي استفاده كرده و متكي بر فهرست نام مستعار ديجيتال براي پنهان كردن هويت رأي دهنده مي باشد، هر چند كه ضمانت نمي كند كه هويت رأي دهنده شناسائي نشود. chaum بعداً پروتكلي پيشنهاد كرد كه هويت رأي دهندگان را بدون قيد و شرط پنهان نگه مي دارد [۵]. با اين وجود انتخاباتي كه توسط اين پروتكل اجراء مي شوند مي توانند با تنها يك رأي دهنده مختل شوند.اگرچه پروتكل chaum قادر به كشف چنين اختلالاتي است اما نمي تواند از آنها بدون شروع مجدد كل انتخابات، رهائي يابد.

 

در سال ۱۹۸۵، a.k..a Benaloh وFescher نسخه اي از يك طرح انتخاباتي امن منتشر كردند كه در آن رأي دهندگان متقلب براحتي نمي توانند در كار انتخابات اختلالي ايجاد كنند [۷]. اما اين طرح نمي تواند محرمانه ماندن آراء و هويت اشخاص را در مراجع انتخابات فراهم كند. بعدها، chaum ضمائمي به اين طرح اضافه كرد كه قدرت دولت را توزيع كرده و حفاظت محرمانگي بيشتري را ارائه كرد [۶].

Benaloh اظهار مي دارد كه اين طرح از نظر منطقي عملي است و از مشكلات سياسي به عنوان مانعي بزرگتر بر سر راه اجرا و تحقق طرح نسبت به مشكلات تكنيكي ياد مي كند. او همچنين خاطر نشان مي كند كه ميزان آگاهي راي دهندگان از رياضيات سطح دانشگاهي در تشخيص نتايج انتخابات بطور مستقل ضروري مي باشد[۲] . به علاوه ، به علت پيچيدگي ارتباطاتي طرح، دادن يك راي ممكن است بطور غير قابل قبولي وقت گير باشد [۱۷].