Die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Auftrag gegebene Studie "Ende-zu-Ende-Verifizierbarkeitsmethoden bei Onlinewahlen" gibt einen Überblick über den aktuellen Stand der Technik im Bereich der Ende-zu-Ende-Verifizierbarkeitsmethoden und wie diese für Onlinewahlen genutzt werden können.

Heutzutage werden viele Wahlen und Abstimmungen online durchgeführt. Bei Onlinewahlen besteht allerdings das Risiko, dass die Stimmen der Wählerinnen und Wähler unbemerkt aufgrund von Manipulation oder Softwarefehlern vom Wahlsystem geändert werden, so dass das Endergebnis den Wählerwillen nicht korrekt widergibt.

Mit Hilfe der Ende-zu-Ende-Verifizierbarkeit ist es möglich, Onlinewahlen sicherer zu gestalten. Der Eingang der eigenen Stimme in die Wahlurne kann von den Wählenden eigenständig überprüft werden. Außerdem kann sowohl von Wählenden als auch vom Wahlvorstand unabhängig verifiziert werden, ob das Endergebnis der Gesamtheit der abgegebenen Stimmen entspricht, selbst wenn Teile des Wahlsystems nicht korrekt funktionieren.

In den letzten Jahrzehnten wurden viele Ende-zu-Ende-Verifizierbarkeitsmethoden für Onlinewahlen vorgeschlagen, implementiert und analysiert. Dies gelang ohne die Geheimhaltung der Wählerstimmen oder die Nutzerfreundlichkeit des Wahlsystems für die Wählerinnen und Wähler zu beeinträchtigen. Aufgrund der Fülle der Möglichkeiten ist es für Anwenderinnen und Anwender nicht einfach, die für ihre geplante Onlinewahl am besten geeignete Methode auszuwählen. Verschiedene Methoden können auch kombiniert werden, um eine Ende-zu-Ende-verifizierbare Onlinewahl durchzuführen.

In der vom BSI veröffentlichten Studie werden die wichtigsten kryptografischen Bausteine von Ende-zu-Ende-verifizierbaren Onlinewahlsystemen im Detail beschrieben und anhand verschiedener Kriterien bewertet und diskutiert. Aufgrund des Interesses des internationalen Fachpublikums an den Inhalten und des Forschungscharakters erfolgt die Veröffentlichung auf Englisch.

Die wesentlichen Ergebnisse der Studie sind:

• Ganzheitliche Sicht: Das Wahlsystem muss als Ganzes betrachtet werden. Um zu bewerten, ob ein Onlinewahlsystem die gewünschten Charakteristika erfüllt, müssen einzelne Bausteine korrekt miteinander verknüpft werden, um eine Ende-zu-Ende-Verifizierbarkeit zu gewährleisten. Daher genügt es nicht zu wissen, wie die einzelnen Bausteine funktionieren.
• Vertrauensannahmen: Das Ziel verifizierbarer Onlinewahlsysteme mit Geheimhaltung ist es, dass den einzelnen Komponenten des Systems so wenig wie möglich vertraut werden muss. Um das Vertrauen in der Praxis auf mehrere Parteien zu verteilen, muss sichergestellt werden, dass diese wirklich unabhängig voneinander sind.
• Verifizierbares Auszählen: Jedes verifizierbare Onlinewahlsystem auf dem Stand der aktuellen Technik muss eine geheime Stimmabgabe mit einer verifizierbaren Auszähltechnik gewährleisten, welche die Geheimhaltung bewahren. Unabhängige Prüfer müssen die Korrektheit des Wahlergebnisses verifizieren können, ohne der auszählenden Autorität vertrauen zu müssen, und gleichzeitig ohne die Geheimhaltung der einzelnen Stimmen zu brechen.
• Verifizierung des Abstimmungsgeräts: Es gibt keine allgemeingültige Lösung, um auszuschließen, dass die bei der Abstimmung verwendeten Geräte (z.B. Handys oder Laptops) manipuliert sein könnten. Welcher Mechanismus verwendet werden sollte, um die Abstimmungsgeräte zu überprüfen, hängt von verschiedenen Anforderungen an die Wahl ab.
• Dauerhafte Geheimhaltung: Bei vielen Wahlen ist es nötig, die Geheimhaltung nicht nur in der näheren Zukunft, sondern dauerhaft zu gewährleisten, also beispielsweise auch gegen Angriffe mit Quantencomputern. Es gibt umsetzbare Ansätze, um diese auch als "everlasting privacy" bezeichnete Anforderung zu erfüllen, ohne die Verifizierbarkeit der Wahl zu beeinträchtigen.

Die Studie bietet Entwicklerinnen und Entwicklern, Forschenden, Wahlverantwortlichen, Entscheidungsträgerinnen und Entscheidungsträgern sowie allen interessierten Personen Informationen und Hilfestellungen zum Thema Ende-zu-Ende-Verifizierbarkeit.