On Some Incompatible Properties of Voting Schemes

Chevallier-Mames, B., Fouque, P.-A., Pointcheval, D., Stern, J., & Traore, J. ´ (2010). On some incompatible properties of voting schemes. In Towards Trustworthy Elections (pp. 191–199). Springer.​https://www.di.ens.fr/david.pointcheval/Documents/Papers/w2006_wote.pdf

Abstract

• 非標準の仮定なしに、投票方式のためにいくつかのセキュリティ特性を同時に達成する問題を研究する

• 具体的には、集計の計算の普遍的な検証可能性・投票の絶対的なプライバシー/匿名性・receipt-freenessの特性に焦点を当てていく

Abstract

• より正確には通常の仮定と効率要件の下では、以下を達成できないことを示す
  • ​全ての登録された投票者が実際に投票しない限り、集計の普遍的な検証可能性(UV=universal verifiability)と投票の絶対的なプライバシー(UP=unconditional privacy)を同時に満たす
  • 集計プロセスに複数の有権者（および場合によっては投票権威者）間の相互作用が含まれない限り、UVとreceipt-freeness(RF)を満たす

1. Introduction

1.1 Motivation

• これまでに投票方式に関する膨大な数のプロパティが提案されている
  • UV・UP・RF・incoercibility(強制不能)など
• 人々は紙ベースのシステムからよりも電子投票に多くを期待
  • 最たる例はUV
  • 紙ベースでは難しい
• インターネットベースの投票に対する攻撃は様々
• ​可能な限り少ない前提で、できるだけ多くの特性を実現したい
  • 現実的に実現可能なプロパティは何なのか？

1.2 Contributions

• この論文では次の質問に対処する

非標準的な仮定（物理的仮定など）なしに、複数の特性を同時に満たす投票システムを構築することは可能か？

1.2 Contributions

• 登録された全ての有権者が投票すれば、UVとUPを実際に同時に満たすことが出来る

• 有権者の投票記録が有権者の投票・秘密情報・パーソナルな可能性のあるプライベート/ランダムな値・追加の公開データのみに依存しない場合、UVとRFを同時に満たすことが出来る

1.2 Contributions

• 達成可能なプロパティのセットを明確に把握することは、実際的な意味がある
  • 例) 国政選挙と社内取締役会の投票では必要なプロパティが異なることは容易にわかる
  • 国政選挙: UPは重要でRFはクリティカルにはならない
  • 取締役会: UPはクリティカルにはならずRFは重要

2. Security Notions

2.1  Universal Verifiability of the Tally

• 集計の計算中に不正な投票機関が不正行為をすることを防止しようとする
• 投票の有効性と正確性を普遍的にチェックするために、投票者が2回投票していないことを保証する必要がある
  • LとBのつながり
  • BとTのつながり の両方を検証する

• L: 登録された有権者のリスト
• B: トランスクリプトの集合
• T: 投票の集計

Definition 1 (Voting Scheme)

• 投票スキームが実用的で健全であるためには次の特性を保持する必要がある
  • 個々の詐欺の検出
  • 集計の計算
  • 投票者リストの計算

個々の詐欺の検出

• \(V_1, ..., V_n ∈ L\)によって生成されたBの部分的なリストから、投票機関は、\(V_{n + 1}\)によって生成された新しいBが有効かどうかを判断できる必要がある
• 繰り返し有効なBの言語を\(L\)と示す

• V: 票を投じた投票者の集合
• B: トランスクリプトの集合

集計の計算

• トランスクリプト(投票結果)から、投票機関は集計を計算できる必要がある
• BからTを出力する効率的な関数f' が存在

 

• B: トランスクリプトの集合
• T: 投票の集計
• vi: 投票者Viの投票

投票者リストの計算

• トランスクリプト(投票結果)から、投票機関は実際に投票した投票者のリストを作成することが出来る
• Bから有権者のサブリストVを抽出する効率的な関数f'' が存在

 

• B: トランスクリプトの集合

Definition 1 (Voting Scheme)

• UVが必要な場合は、誰もが投票の正確性/有効性、および集計と投票者の計算を確認できる必要がある
• B, T, Vは関係Rで定義されるNP言語\(L'\)に属する必要がある
  • 効率的な検証を可能にするw(=witness)が存在

Definition 2 (Universal Verifiability (UV))

• 集計スキームと有権者のリストの1つの値のみが関係Rで受け入れられ、wは関数gを使用してBから簡単に計算できる場合、投票スキームは汎用検証プロパティを実現する
  • gは投票機関のみ知っている

2.2 Unconditional Privacy

• プライバシーとは、集計によって漏えいしたものよりも多くの情報を誰も学ばないことを意味する
  • 全ての投票者が同一票を投じたら集計は各有権者の投票を明らかにする​

• ​UPとは投票プロセスの数世紀後でも、誰も追加情報を学べないことを意味する

Definition 3 (Unconditional Privacy (UP))

• 投票スキームは次の場合にUPを満たす

• BとTが与えられたときの分布がTに追加情報がないときの分布と等しいことを表す

2.3 Receipt-Freeness

• 投票者が第三者への投票の証拠を作成できないことを意味する
• 投票がブースの外で行われる場合、第三者が投票者と投票機関の間のチャネルにアクセスできると想定することもできる

Definition 4 (Receipt-Freeness)

• receiptはw′であり、第三者が明確に投票者Vi∈Vの投票を検証できるようにする
• そのような関係R'がない場合、またはw'を計算するのが難しい場合、投票方式はreceipt-freenessを実現する

3. Incompatible Properties

3.1 Universal Verifiability and Unconditional Privacy

• 定理: 標準モデルでは、すべての有権者が実際に投票しない限り、UVとUPを同時に達成する投票スキームを構築することは不可能

• 証明
  • UVを満たす投票スキームを仮定
  • UVを満たすので\(R(B, T, V, w) = 1\)となるNP関係Rが存在
  •  
  • 攻撃者は投票者V'を除いてV'の投票 v'=T-T' を得る
  • Bから1つのトランスクリプトを除外してB'を構築
  • Bのすべてのサブパートを全探索すると、特定の投票者の投票を取得できる

3.1 Universal Verifiability and Unconditional Privacy

• 矛盾はBのサイズに関係なく適用される関係Rから生じる
  • これにより1つのトランスクリプトを除外してもRを適用できる
  • Lで登録されているすべての有権者のトランスクリプトがRで必要とされる場合、反例が存在するかどうかが明確ではない場合でも、矛盾はもはや成立しない
    • 有権者全員に投票を強いることになる
      • これは現実的じゃない

3.2 Universal Verifiability and Receipt-Freeness

• 定理: プライベートチャネルが利用可能でなければ、UVとRFを同時に実現することはできない
• 証明
  • UVを満たすので\(v_i\)は有権者Viに固有の\(B_i\)によって一意に決定される
  • プライベートチャネルを除外するため、\(B_i\)は\(V_i\)の関数、彼の投票\(v_i\)、\(V_i\)にプライベートな入力\(r_i\)、およびパブリックデータ\(P_i\)のみに
  • \(B_i = h(V_i, v_i, r_i, P_i)\)
  • \(r_i\)はwitnessになる
  • これはreceipt-freenessと矛盾する

Conclusion

Conclusion

• 通常の機能を備えた投票システムでは強力なプロパティを同時に達成することは出来ない
• UVとUPまたはRFは同時に達成することは出来ない