Title: Protocole de vote E-Poll R
1Protocole de vote E-PollRéunion de lancement
AVOTÉ 18 janvier 2008, Cachan
2 Le Projet E-Poll
- E-Poll, projet européen de vote électronique
- Ministère de l'intérieur français, France
Télécom, Siemens, Ministère de l'intérieur
italien et Vodafone - Vote assisté par ordinateur, mais dans un bureau
de vote pour le vote institutionnel - Pas de bouleversement des usages
- Nomadisme autorisé vote hybride
- Authentification biométrique
- Expérimentations
- Votes doublons Avellino, Mérignac
(Présidentielles 2002), Campobasso, Vandoeuvre
(Législatives 2002), Issy les Moulineaux
(Référendum 2005) - Votes exclusifs sur systèmes E-Poll Cremona,
Ladispoli, Czestochova, Ladispoli (sept.2004),
Université de Lyon II et Nantes (déc. 2004)
3Les UV mix-net en pratique
Nombre d'exponentiations modulaires requises pour
générer la preuve complète (pour n bulletins et k
mélangeurs).
Proving a Shuffle Furokawa-Sako 01 36nk
A Verifiable Secret Shuffle Neff01 16nk
Optimistic Mixing Golle et al. 02 Fair Blind Signatures and hybrid mix-net Canard, Gaud, Traoré 06 6 12k (13k)?
cassé (Abe, ACISP03)
- Il faut 4 heures pour dépouiller 100 000
bulletins avec le système de Furokawa-Sako (k
3, ?p? 1024, ?q? 160)
- La plupart de ces systèmes sont brevetés
4Le Protocole de FOO en pratique
- Sensus et EVOX
- Fujioka, Okamoto, Ohta, A Practical Secret
Voting Scheme for Large Scale Elections,
Auscrypt92 - pas de résultats partiels
- 3 étapes pour voter (ne satisfait pas la
propriété de "vote and go") - Sensus Washington University http//lorrie.crano
r.org/voting/sensus - EVOX MIT, http//theory.lcs.mit.edu/cis/votin
g/voting.html - Votopia
- Ohkubo, Miura, Abe, Fujioka et Okamoto, "An
improvement of a practical secret voting scheme",
ISW'99 - Projet Coréen - Japonais NTT, Samsung,
Université de Tokyo, IRIS - Expérimentation lors de la coupe du monde 2002
- Vote en deux étapes satisfait la propriété de
"vote and go" - Quelques failles de sécurité Canard, Gaud,
Traoré, Financial Cryptography 2006 -
5Voting Results
3662 voters 3474 from Korea and 90 from Japan
6Les acteurs
possèdent des clés de signature
Voters
Authentifie les votants et délivre des signatures
aveugles
Admin Server
Déchiffrent et permutent les bulletins
Mix Servers
Déchiffrent de manière distribuée les bulletins
Scrutateurs
Collecte les bulletins
Ballot Box
7System Overview
DB
(5) Counting Results
(3) Mixing
(1) Blind Sig
DB
(2) Ballot Casting
(4) Tallying
8Phase de vote (1)
X
9Dépôt du bulletin
- Analogie avec le vote par correspondance
Mix 1
10Dépouillement (I)
Mix 2
N12378 Bush ?AS
Alice
N56789 Bush ?AS
Bob
N33786 Kerry ?AS
Carla
Ballot Box
11Dépouillement (cas 1)
- Tous les bulletins portent la signature de AS et
les signatures sont valides
12Back Tracing
A signature is invalid !
Mix 1
Mix 2
N12378 Bush ?AS
Alice
N56789 Bush ?AS
Proof
Bob
Proof
N33786 Kerry ?AS
Carla
- Si un mix a triché, il est exclu du système !
- Si un votant a déposé un bulletin invalide, son
bulletin est retiré de l'urne
13Failles du protocole Votopia
Je ne vais pas déposer mon bulletin valide dans
l'urne
Alice est membre du parti X
Mix 1
14Exemple
- Supposons qu'il y ait
- 200 votants
- Mix 1 a 9 complices
- Mix 1 supporte Bob.
Bob
candidate du parti X
candidat du parti Y
Sondage d'opinions
48
52
En utilisant une des 2 failles
15Contre-mesures possibles
- Demander aux votants de participer au
dépouillement - Contradiction avec la propriété de "vote and go"
- Difficilement imaginable en pratique
- Demander au Mix 1 de prouver qu'il a correctement
déchiffré et brassé les bulletins - ne marche pas en cas de collusion du Mix 1 et du
Mix 2 - Le schéma resterait vulnérable à une
"randomization attack" - Utiliser un mix net "universellement vérifiable"
- Quel serait l'intérêt d'utiliser des signatures
aveugles dans ce cas ? - Notre solution utiliser des signatures aveugles
équitables
16Modèle d'un schéma de signature aveugle équitable
Signataire
Utilisateur
Protocole de signature
non-corrélable
(message, signature)
Vue du protocole
Signature Tracing
Session Tracing
Autorité de révocation
17Signatures aveugles équitables sécurité.
Modèle de sécurité Schéma prouvé sûr dans ce
modèle Hufschmitt, Traoré, Pairing'07
- Intraçabilité
- ? prouvé dans le modèle de l'oracle aléatoire
sous l'hypothèse DDH. - One-more Unforgeability
- ? prouvé dans le modèle de l'oracle aléatoire
sous l'hypothèse du "Strong-RSA" - Révocation
- Il est 'impossible" de contourner les mécanismes
de traçage - ? prouvé dans le modèle de l'oracle aléatoire
sous l'hypothèse du "Strong-RSA"
18Phase de vote (1)
Jouent également le rôle de 'mélangeurs'
Scutateurs
Chiffre son bulletin en utilisant les clés des
scrutateurs
Obtient une signature aveugle équitable de son
bulletin
19Dépôt du bulletin
- Analogie avec le vote par correspondance
The anonymity of the Fair Blind Sig of "absentee"
voters is revoked!
Mix 1
20Dépouillement (I)
Mix 2
Alice
Bob
Carla
Ballot Box
List L
21Dépouillement (cas 1)
- Tous les bulletins portent la signature de AS et
les signatures sont valides
List L
- les scrutateurs révèlent leur clé privée !
22Back Tracing (I)
- Si une signature est invalide, révoquée ou
dupliquée
Mix 1
Mix 2
Alice
Proof
Bob
Proof
Carla
List L
- Si un votant a déposé un bulletin invalide, son
bulletin est retiré de l'urne - On lève l'anonymat de la signature aveugle
qu'il a demandée.
23Back Tracing (II)
- If a mix server cheats. We retrieve all the
private keys of the mix-servers. - If penalties for cheating are severe this will
preclude any attempt!
Alice
Bob
Carla
List L
24E-Poll en pratique
- Outils cryptographiques
- PKI FT PKI Certatoo/Applatoo
- Mix-net nous avons utilisé le "mix-net hybride"
d'Abe et Ohkubo (Asiacrypt'01) - Fair Blind signature scheme nous avons utilisé
le schéma de Gaud et Traoré (Financial Crypto
2003) - Expérimentations lors d'élections étudiantes
(décembre 2004) - Universités de Nantes et Lyon II
- ?10 000 votants
- Tous les bulletins étaient valides ! (nous
n'avons pas eu besoin de lancer la procédure de
"Back Tracing") - Expérimentation lors du référendum sur la
constitution européenne - Ville d'Issy-les-Moulineaux
- ?1 000 votants
- Tous les bulletins étaient valides !
25Conclusion
- Le protocole de vote E-poll appartient à la
catégorie des "Optimistic mix-net based voting
protocol" - Si les mix-net sont honnêtes, le dépouillement
est extrêmement rapide - Si un mix triche, le dépouillement prend beaucoup
plus de temps (utilisation d'un mix-net
universellement vérifiable) - E-Poll s'avère plus efficace que les autres
systèmes du même type (confirmé en pratique)