アカウント名:
パスワード:
1. 個人情報を用いた認証後に投票用トークンを配布.2. トークンから個人を同定できないが, 正当な方法で入手したトークンであることは検証可能にする3. トークンを用いて投票する
あとはアクセス方法の匿名性が確保できさえすれば良くて,むしろこっちが問題なんじゃないのかしら?
投票用紙を郵送しておいて希望者には公共料金の集金人みたいな人がネット端末持ってやってきてその人に手元が見えないようにして端末操作して投票用紙を渡して終了
ってのを考えてみたところでそもそもネットを使う必要がないことに気がついた。(投票用紙に手書きで書いて集金人に渡せば終わる)
ユニークなQRコードが印刷された葉書を送付してケータイで読んだら一度だけ使えるように……(葉書はダメだろ)
もういっそのこと「政府がランダムに選んだ投票人2000人の結果で、全国民の傾向は確認できます!」という統計的サンプリング方式に!(解決になってない)
集票人が悪徳政府とグルだったら、投票人はどうにもできません。インターネット投票の問題は、それよりは「なりすまし」防止と「投票内容の秘密」確保との両立が難しいこと。
今だと投票所で本人確認する、というのが防止策になってます。(本人宅に何かを郵送、ってのはポストから奪われたらアウトなので、多重投票の防止にはなっても「なりすましの対策」にはなってない)
インターネット投票だと、本人にトークンの類いを渡したとして、そのトークンを金で売ったり、強引な人が他人の家に踏み込んで勝手に投票作業をやっても(行為自体が犯罪というのは置いといて)「なりすまし」がバレません。(あるいは事後にバレた時、投票内容が秘密であれば何を無効票にして良いか不明だし、無効化すべき票が分かるようにすると「誰がどちらに投票したか後から調べられる」=秘密ではないということになる)
「なりすまし」防止と「投票内容の秘密」確保との両立が難しいこと。
そのとおりですね。
無効化すべき票が分かるようにすると「誰がどちらに投票したか後から調べられる」=秘密ではないということになる
ここが非常に惜しいんですが、「トークンを発行している時点で誰がどちらに投票したか後から調べられる」ということです。「誰がどちらに投票したか後から調べられるトークン」は存在するが、「調べられないトークン」は存在しないのではないか、ということです。もし「投票者以外の誰も調べられないトークン」が存在するのなら、それがまさに自分の疑問の答えになります。
今だと投票所で本人確認する、というのが防止策になってます。
このあたりの点を最初のコメントで書き忘れたんですが、日本で運用されているような紙に書く代わりにボタンを押すという違いだけの電子投票ではなく、インターネット越しに投票を受け付けるようなシステムについて疑問を述べています。このトピックが「インターネット投票システム」についてのトピックなので、投票所に来るタイプは想定していませんでした。申し訳ないです。
「調べられないトークン」について理解しました。私の理解が追いついてませんでした。ご教示ありがとうございます。
>このトピックが「インターネット投票システム」についてのトピックなので、投票所に来るタイプは想定していませんでした。申し訳ないです。
いえ、ここも私が謝るところで、「今だと」というのは「紙の投票だと」くらいのつもりで書いていました。
兎にも角にも、本人確認が難しいんですよね。普通に作る限り、「どちらに投票したか」と「投票したのが誰か」という情報を同時に送らざるを得ない。本人確認は「事前にトークンに指紋登録して、通信上は「確認できた」という結果しか送らない」としても、場所というか経路はある程度バレる。家から送ったらわりと推定できちゃう。
アレだ。正攻法で安全性を確保しようとかするより、一見穴に見える場所を作っておいて、そこを狙って来る奴は罠に落ちる、ってシステムを作った方が良いかもだ。
投票者名と投票結果はもうダダ漏れにしちゃおう。でも。田中さんと佐藤さんと鈴木さんが居るとき、田中さんは「佐藤さんの投票」として、佐藤さんは「鈴木さんの投票」として、鈴木さんは「佐藤さんの投票」として投票結果が送信される、といったランダマイズがかかるようにする。そういうシステムを複数用意し、そのランダマイズ結果はそれぞれの管理者のみ、各システムの連結結果は全体管理者が一人のみ持つ。個々の管理者は「自分のシステム内では田中さんがどこに投票したか」は知ることができるけど、「システム内の田中さん」が現実の田中さんかどうかは分からない。全体管理者は、順番は知っているけど、誰が誰に対応しているかは何一つ分からない。悪の独裁者が反対勢力を掴もうと思うと、管理者全員を同時に抱え込まないといけないし、抱え込んだ上で提出された「暗号化表」が正しいかは分からない(管理者のうち誰かが嘘の暗号化表を提出しても、独裁者は誰が嘘をついたのか分からない)。
……いやこれでも穴はあるんですけど、とりあえず追跡が面倒くさくはなるかなって。
シンガポールでは投票用紙に通し番号が打ってあります。偽造防止のためと説明されていますが。
シンガポールは最近は改善されている [keizaireport.com]ようですが事実上の一党独裁状態なんで何とも言えませんね。
投票開始前に「誰にどのトークンを配布したか?」をリンクさせる情報を破棄すれば良いだけ。つまり、トークンのリストはあるが、誰のものかは分からない。
盗品トークンで投票されたら多重票も可能になるけれど、それを考慮したらどうしようも無い事後対応するにはトークン→個人のリンク情報が必須になる
>アクセス方法の匿名性が確保は多分、トークンの送付をもって認証とし、アクセス時に個人のIDを使わないということでしょう。
投票開始前に「誰にどのトークンを配布したか?」をリンクさせる情報を破棄すれば良いだけ。
民主的で透明性の高い政府なら破棄してくれるでしょうね。そしてもし自分が独裁者なら、誰にどのトークンを配布したかの情報は破棄したと偽って実際には破棄しません。独裁政権の声明を鵜呑みにして反政府勢力に投票した、疑うことを知らない暗愚な反乱分子を後でこっそり始末するのに利用します。 ちなみに従来のアナログ投票ならそんな心配は不要で、独裁者がどんなに頑張っても反体制派に投票した人物を特定することはできないでしょう。 # 手品を除くw
投票システム自体を不正と疑うなら、それこそどんな仕組みを作っても無意味でしょう。
従来のアナログ投票でも、隠しカメラや投票箱の細工、選挙管理組織ぐるみの不正などを疑ってしまえば何とでもなります。
Garbled Circuit 使えばなんとかなったりしないのかなーと
投票所の端末で電子投票した場合にも言えませんかそれ。最初に投票する人に投票システムのソースコードを見せて不正が無いことを確認してもらったりするんでしょうか。
電子投票は代筆と同じ開票結果が出てくるまではブラックボックス透明性と秘密をバランス良く守るシンプルな仕組みが不可欠なはずですが
よく言われる折衷案としては投票したら結果を印刷した紙が出てきてこれを投票箱に入れるというもの。集計結果に疑問がある場合(投票した人の数より票数が多いとか)はこの紙の方を再集計すればよいと言われるのですが、電子投票の利点であるコスト削減に逆行するので実用化はされていないみたいです。
> その投票用紙を印刷する機械は誰がどこに投票しているか知っているはず
投票所に来させる限り、他の不正はともかくとして匿名性の問題は起きないように出来ますしそうなってます。そもそも現在の日本で使われている方式の電子投票機は、誰が投票しているかを機械が知ることはないんじゃないんですか?投票するためのICカードを渡されて、それを使って電子投票して、終わったらカードを返却という手順。カードは単に「機械につっこんだら一回投票操作が出来る」というトークンだったはずですが。
> 通常の選挙なら投票用紙に仕掛けがないことを確認すれば、投票箱の中で他の票と混ざるので安全だといえます。
つ手品
ああなるほど、そういう心配はありますね。ならば個別識別が出来るICカードなんてものじゃなくてコイン型トークンを使えばどうだろうとも思いましたが、投票機で投票時刻のログを取って、受付では誰が何時頃に投票手続をしたかを記録しておいてつきあわせる、なんて事をされたらどうにもならないですね……
ありとあらゆる可能性をあげつらって言えばどんな投票方式でも隠しカメラをつけてとか投票用紙に細工してとか難癖をつけられるので、勘ぐり過ぎとしか言えません。
なぜこれ位自分で調べず他人に投げるのか分かりませんが、電子的投票とともに印刷する方式の紹介は検索すれば手に入ります。例えば E-Voting Technology Glossary [techtarget.com] の"voter-verifiable paper audit trail (VVPAT) or (VVPT)"にごく基本的な説明が、
Election [virginia.edu]
なぜこれ位自分で調べず他人に投げるのか分かりませんが、
なんでやや喧嘩腰なのかわかりませんが、教えていただいたリンクはこの一連のトピックで自分が求めていた一番有益そうなものです。浅学にて電子投票には疎く検索もままならないことからとても助かります。他のコメントは問題点をちゃんと理解して頂けていないものが多く、「問題はそこじゃないんだよ」と方向修正に手一杯で、ようやく具体的な情報を教えて頂けた初めてのコメントですから嬉しいものです。ありがたく読ませていただきたいと思います。 # さっき従来の投票の小細工絶対無理って書いたけどちょっと吹きすぎました。反省します
インターネット実名制で決まりです。匿名の発言は臆病者のすることです。
>匿名の発言は臆病者のすることです。>by Anonymous Coward
もうこのネタは秋田
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
電子投票で匿名性はどうやって確保すればいいの? (スコア:2)
投票数の改ざんなど、単なるシステムの実装の脆弱性に対する攻撃なので防ぐことが不可能なわけではありません。それに対して電子投票の匿名性の問題ははるかに根本的な問題だと思うのですが、これを解決しうる方法ってあるんでしょうか?ゼロ知識証明が真であること以外を知らせずに証明できるように、各自がどの投票者に投票したのかわからないが得票するをカウントできるような意外な方法があるのでしょうか。本家の議論を読んでもよくわかりませんでした。
Re: (スコア:0)
1. 個人情報を用いた認証後に投票用トークンを配布.
2. トークンから個人を同定できないが, 正当な方法で入手したトークンであることは検証可能にする
3. トークンを用いて投票する
あとはアクセス方法の匿名性が確保できさえすれば良くて,
むしろこっちが問題なんじゃないのかしら?
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
投票用紙を郵送しておいて
希望者には公共料金の集金人みたいな人がネット端末持ってやってきて
その人に手元が見えないようにして端末操作して投票用紙を渡して終了
ってのを考えてみたところで
そもそもネットを使う必要がないことに気がついた。(投票用紙に手書きで書いて集金人に渡せば終わる)
ユニークなQRコードが印刷された葉書を送付してケータイで読んだら一度だけ使えるように……(葉書はダメだろ)
もういっそのこと「政府がランダムに選んだ投票人2000人の結果で、全国民の傾向は確認できます!」という統計的サンプリング方式に!(解決になってない)
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
とか考えてたら、普通の選挙でも政府が個人を特定する方法を思いついてしまった。投票用紙を発行するときに、紫外線に反応する不可視インクのようなものでこっそり投票用紙に投票者の名前を書いておきます。有権者は肉眼ではその名前は確認できないので安全だと判断するしかありません。
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
集票人が悪徳政府とグルだったら、投票人はどうにもできません。
インターネット投票の問題は、それよりは「なりすまし」防止と「投票内容の秘密」確保との両立が難しいこと。
今だと投票所で本人確認する、というのが防止策になってます。
(本人宅に何かを郵送、ってのはポストから奪われたらアウトなので、多重投票の防止にはなっても「なりすましの対策」にはなってない)
インターネット投票だと、本人にトークンの類いを渡したとして、
そのトークンを金で売ったり、強引な人が他人の家に踏み込んで勝手に投票作業をやっても(行為自体が犯罪というのは置いといて)「なりすまし」がバレません。
(あるいは事後にバレた時、投票内容が秘密であれば何を無効票にして良いか不明だし、無効化すべき票が分かるようにすると「誰がどちらに投票したか後から調べられる」=秘密ではないということになる)
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
そのとおりですね。
ここが非常に惜しいんですが、「トークンを発行している時点で誰がどちらに投票したか後から調べられる」ということです。「誰がどちらに投票したか後から調べられるトークン」は存在するが、「調べられないトークン」は存在しないのではないか、ということです。もし「投票者以外の誰も調べられないトークン」が存在するのなら、それがまさに自分の疑問の答えになります。
このあたりの点を最初のコメントで書き忘れたんですが、日本で運用されているような紙に書く代わりにボタンを押すという違いだけの電子投票ではなく、インターネット越しに投票を受け付けるようなシステムについて疑問を述べています。このトピックが「インターネット投票システム」についてのトピックなので、投票所に来るタイプは想定していませんでした。申し訳ないです。
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
「調べられないトークン」について理解しました。私の理解が追いついてませんでした。
ご教示ありがとうございます。
>このトピックが「インターネット投票システム」についてのトピックなので、投票所に来るタイプは想定していませんでした。申し訳ないです。
いえ、ここも私が謝るところで、「今だと」というのは「紙の投票だと」くらいのつもりで書いていました。
兎にも角にも、本人確認が難しいんですよね。
普通に作る限り、「どちらに投票したか」と「投票したのが誰か」という情報を同時に送らざるを得ない。
本人確認は「事前にトークンに指紋登録して、通信上は「確認できた」という結果しか送らない」としても、場所というか経路はある程度バレる。家から送ったらわりと推定できちゃう。
アレだ。
正攻法で安全性を確保しようとかするより、一見穴に見える場所を作っておいて、そこを狙って来る奴は罠に落ちる、ってシステムを作った方が良いかもだ。
投票者名と投票結果はもうダダ漏れにしちゃおう。でも。
田中さんと佐藤さんと鈴木さんが居るとき、田中さんは「佐藤さんの投票」として、佐藤さんは「鈴木さんの投票」として、鈴木さんは「佐藤さんの投票」として投票結果が送信される、といったランダマイズがかかるようにする。
そういうシステムを複数用意し、そのランダマイズ結果はそれぞれの管理者のみ、各システムの連結結果は全体管理者が一人のみ持つ。
個々の管理者は「自分のシステム内では田中さんがどこに投票したか」は知ることができるけど、「システム内の田中さん」が現実の田中さんかどうかは分からない。
全体管理者は、順番は知っているけど、誰が誰に対応しているかは何一つ分からない。
悪の独裁者が反対勢力を掴もうと思うと、管理者全員を同時に抱え込まないといけないし、抱え込んだ上で提出された「暗号化表」が正しいかは分からない(管理者のうち誰かが嘘の暗号化表を提出しても、独裁者は誰が嘘をついたのか分からない)。
……いやこれでも穴はあるんですけど、とりあえず追跡が面倒くさくはなるかなって。
Re: (スコア:0)
シンガポールでは投票用紙に通し番号が打
ってあります。偽造防止のためと説明されていますが。
Re: (スコア:0)
シンガポールは最近は改善されている [keizaireport.com]ようですが事実上の一党独裁状態なんで何とも言えませんね。
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
>アクセス方法の匿名性が確保
というのは、アクセスしたのが誰なのかわからないようにするということでしょうか?それができてしまうと、多重投票を防ぐことができません。
Re: (スコア:0)
投票開始前に「誰にどのトークンを配布したか?」をリンクさせる情報を破棄すれば良いだけ。
つまり、トークンのリストはあるが、誰のものかは分からない。
盗品トークンで投票されたら多重票も可能になるけれど、それを考慮したらどうしようも無い
事後対応するにはトークン→個人のリンク情報が必須になる
>アクセス方法の匿名性が確保
は多分、トークンの送付をもって認証とし、アクセス時に個人のIDを使わないということでしょう。
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
民主的で透明性の高い政府なら破棄してくれるでしょうね。そしてもし自分が独裁者なら、誰にどのトークンを配布したかの情報は破棄したと偽って実際には破棄しません。独裁政権の声明を鵜呑みにして反政府勢力に投票した、疑うことを知らない暗愚な反乱分子を後でこっそり始末するのに利用します。
ちなみに従来のアナログ投票ならそんな心配は不要で、独裁者がどんなに頑張っても反体制派に投票した人物を特定することはできないでしょう。
# 手品を除くw
Re: (スコア:0)
投票システム自体を不正と疑うなら、それこそどんな仕組みを作っても無意味でしょう。
従来のアナログ投票でも、隠しカメラや投票箱の細工、選挙管理組織ぐるみの不正などを疑ってしまえば何とでもなります。
Re: (スコア:0)
Garbled Circuit 使えばなんとかなったりしないのかなーと
Re: (スコア:0)
投票所の端末で電子投票した場合にも言えませんかそれ。
最初に投票する人に投票システムのソースコードを見せて不正が無いことを確認してもらったりするんでしょうか。
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
Re: (スコア:0)
電子投票は代筆と同じ
開票結果が出てくるまではブラックボックス
透明性と秘密をバランス良く守るシンプルな仕組みが不可欠なはずですが
Re: (スコア:0)
よく言われる折衷案としては投票したら結果を印刷した紙が出てきてこれを投票箱に入れるというもの。
集計結果に疑問がある場合(投票した人の数より票数が多いとか)はこの紙の方を再集計すればよいと
言われるのですが、電子投票の利点であるコスト削減に逆行するので実用化はされていないみたいです。
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
今回の疑問とは別の問題ですが、得票数の水増しがなされる場合も電子的な集計だけいじるような間抜けなことはないでしょう。水増しした票と同じ数だけ印刷もするでしょうから、水増しされても電子的な集計と紙の集計結果は一致すると思われます。
Re: (スコア:0)
> その投票用紙を印刷する機械は誰がどこに投票しているか知っているはず
投票所に来させる限り、他の不正はともかくとして匿名性の問題は起きないように出来ますしそうなってます。
そもそも現在の日本で使われている方式の電子投票機は、誰が投票しているかを機械が知ることはないんじゃないんですか?
投票するためのICカードを渡されて、それを使って電子投票して、終わったらカードを返却という手順。
カードは単に「機械につっこんだら一回投票操作が出来る」というトークンだったはずですが。
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
IC カードは1回だけ投票操作ができるトークンだということは機械はそれぞれのICカードを区別できているはずで、投票者の身元を確認してからICカードを渡すのでどの投票者がどのICカードを受け取ったのか把握することが可能です。投票用紙は区別がつきませんが、IC カードはトークンが含まれるのでそれぞれ区別が可能です。したがって、投票者は自分の投票先が(選挙の管理者も含め)他人に知られる恐れがあるのではないか、という疑問です。
もちろん日本ではそのようなことはしていないとは思いますが、民主的でない政治体制の国では平気で行われる可能性がある、ということです。
Re: (スコア:0)
> 通常の選挙なら投票用紙に仕掛けがないことを確認すれば、投票箱の中で他の票と混ざるので安全だといえます。
つ手品
Re: (スコア:0)
ああなるほど、そういう心配はありますね。
ならば個別識別が出来るICカードなんてものじゃなくてコイン型トークンを使えばどうだろうとも思いましたが、投票機で投票時刻のログを取って、受付では誰が何時頃に投票手続をしたかを記録しておいてつきあわせる、なんて事をされたらどうにもならないですね……
Re: (スコア:0)
ありとあらゆる可能性をあげつらって言えばどんな投票方式でも隠しカメラをつけてとか投票用紙に細工してとか難癖をつけられるので、勘ぐり過ぎとしか言えません。
なぜこれ位自分で調べず他人に投げるのか分かりませんが、電子的投票とともに印刷する方式の紹介は検索すれば手に入ります。
例えば
E-Voting Technology Glossary [techtarget.com]
の"voter-verifiable paper audit trail (VVPAT) or (VVPT)"にごく基本的な説明が、
Election [virginia.edu]
Re:電子投票で匿名性はどうやって確保すればいいの? (スコア:1)
なんでやや喧嘩腰なのかわかりませんが、教えていただいたリンクはこの一連のトピックで自分が求めていた一番有益そうなものです。浅学にて電子投票には疎く検索もままならないことからとても助かります。他のコメントは問題点をちゃんと理解して頂けていないものが多く、「問題はそこじゃないんだよ」と方向修正に手一杯で、ようやく具体的な情報を教えて頂けた初めてのコメントですから嬉しいものです。ありがたく読ませていただきたいと思います。
# さっき従来の投票の小細工絶対無理って書いたけどちょっと吹きすぎました。反省します
皆さん色々書いてますが (スコア:0)
インターネット実名制で決まりです。
匿名の発言は臆病者のすることです。
Re: (スコア:0)
>匿名の発言は臆病者のすることです。
>by Anonymous Coward
もうこのネタは秋田