👵🏼 🐓 💹 リモート電子投票システムの暗号化プロトコルのレビュー 🏴󠁧󠁢󠁷󠁬󠁳󠁿 🧚🏻 🐽

この記事では、リモート電子投票システムの暗号化プロトコルの実装の詳細を分析します。

選挙プロセスのさまざまな段階で暗号化メカニズムとアルゴリズムを使用すると、リモート投票システムに必要なプロパティが与えられます。概要記事で説明されている投票の段階を詳しく見てみましょう。

システムの初期化。投票の初期化の段階で、次の暗号化操作が実行されます。

電子投票システムでの匿名化手順について、最も安定しており、学術コミュニティによって推奨されている、ブラインド署名を発行および検証するための検証キーペアの開発。現在、システムは楕円曲線上でRSA暗号化アルゴリズムに基づくブラインド署名アルゴリズムをサポートしています。投票は、キー長4096ビットのRSA暗号化アルゴリズムに基づくブラインド署名を発行および検証するためのアルゴリズムを使用して実行されました。
共有公開暗号化キーの生成。セキュリティを強化するために、キー生成プロセスでは、DKG Pedersen91分散キー生成プロトコルとShamirキー共有プロトコルの2つの暗号化アルゴリズムが同時に使用されます。キーの生成は、ネットワークノードとカウントサーバーを直接制御する技術的手段を持つ参加者と、外部メディアに記録されたキーのキーパーである参加者の両方によって実行されます。これら2つのアルゴリズムの作業の結果は、投票用紙を暗号化するための共通の公開鍵です。以下では、このキーを生成する手順を詳しく見ていきます。

ニュースレターへのアクセスを提供します。この段階では、次のメカニズムが機能します。

GOST R 34.10-2012に準拠した、有権者のデバイスでの電子署名のキーペアの生成
マスクされた有権者の公開鍵のブラインド署名を生成して、認証とその後の投票権の検証を行います。このメカニズムは現在、RSA暗号化アルゴリズムに基づいています。匿名化メカニズムについては、別の記事で詳しく説明しています。

ニュースレターの記入と送信。この段階では、次の一連の暗号化アルゴリズムが使用されます。

ElGamalスキームに従ったニュースレターの楕円曲線暗号化。このスキームは、さらに同形であるという特性を備えているため、プロトコルで使用されます。これにより、各投票を復号化せずに投票結果を取得できます。
Disjunctive Chaum-Pedersenレンジプルーフは、バロットの内容が解読されずに正しいことを証明するために使用されます。このメカニズムについては、次の記事で詳しく分析します。
GOST R34.10-2012に準拠した暗号化されたセキュリティ情報の電子署名。

合計を数えます。要約の段階で、以下が実行されます。

暗号化されたバロットの同形の追加。
個々のノードを制御し、各参加者から暗号テキストを受信してサーバーをカウントする参加者による、秘密鍵の一部による最終的な要約された速報の予備的な部分的な復号化。
選挙委員会で秘密鍵を組み立て、収集された鍵を使用して最終的に要約された投票用紙を部分的に復号化します。
暗号テキストの最終的な合計とカウント結果の受信。
Chaum-Pedersenのゼロ知識証明の生成と検証。最終的に要約された投票の復号化の正確さを証明するために使用されます。このメカニズムについては、次の記事で詳しく分析します。

監査。この段階で、プロトコルのすべての段階の検証チェックを実行できます。この記事では、可能なチェックについて詳しく見ていきます。

暗号化メカニズムを詳しく見てみましょう。

ブロックチェーンプラットフォーム

キーを生成する手順について説明する前に、ブロックチェーンプラットフォームの実装について紹介する必要があります。

次の図は、ブロックチェーンプラットフォームの簡略化されたターゲットレイアウトを示しています。

ブロックチェーンノードの配置と予約は、PJSCRostelecomの地理的に分散したデータセンターで行われます。この場合、すべての投票データの保存に関係するコンポーネントの「アトミック」セットの責任は、選挙委員会またはさまざまな公的監視機関に割り当てることができます。

これは、参加者にシステムの主要コンポーネントとネットワークノードを制御する機会を提供すると同時に、情報セキュリティ、技術的手段の展開と運用に関する問題の解決に対処せず、システムのスケーラビリティを確保するために行われます。

参加者のリストは、時間の経過とともに変化する可能性があります。システムを商用運用する段階の最小限のリストから、システムの開発に伴ってかなり広く完全に分散化されたリストになります。さらに、コンポーネントのセットをデータセンターの外部に配置する可能性は常にあります。

国内ソリューションのWavesEnterpriseは、ブロックチェーンプラットフォームとして使用されます。トランザクションとブロックは、GOST R34.10-2012に従って署名されます。

暗号化キーの生成

バロット暗号化の公開キーは、DKG Pedersen91分散キー生成プロトコルとShamirキー共有プロトコルの2つの暗号化アルゴリズムを使用して生成されます。これらの各アルゴリズムに基づいて、「中間」公開鍵が生成されます。次に、これら2つのキーが1つの共通のキーに結合されます。

キーアセンブリ図を下の図に示します。

一般に、このようなスキームは冗長に見えるかもしれませんが、これにより、投票が終了する前に最大限の機密性を得ることができます。これは、DKGプロトコルを使用して生成された秘密鍵が、アセンブルされた形式で1つの場所に配置されることはなく、生成の前後に悪意を持って盗まれることはなく、そのパーツは、ブロックチェーンを介してのみ相互作用する独立した当事者によって所有されているためです。

しかし、定足数の独立した参加者を集めることができない場合、blokcheyn-networkルーチンは、外部メディアに記録されるキーの個々の部分（委員会のキー）の保護者である独立した当事者間でキーの分離を開始します。

共通の公開キー暗号化の手順は、投票の前夜に開始され、委員会にキーを公開します。..。投票開始前のある時点で、ローカルネットワークやインターネットに接続されていない安全なラップトップにオブザーバーやジャーナリストがいる場合、特別なユーティリティを使用してキーペアが生成され、秘密キーがn1の部分に分割され、特別なメディアに記録されます。選挙委員会は、その決定により、秘密鍵の一部の運送業者を決定します。投票の作成と初期化の段階で、委員会の公開鍵がブロックチェーンに記録されます。

次に、ブロックチェーンネットワークでの投票の作成が開始されます。カウントサーバーで投票を作成した後、DKG公開鍵を生成する手順が自動的に開始されます。

分散キー生成手順の参加者は、レビュー記事の前半で説明したn個の投票カウントサーバーです。中間と最終の両方のカウントサーバー間の相互作用のすべての操作は、ブロックチェーンに記録されるため、透過的で検証可能です。システムは「koutof n」しきい値スキームを実装します。つまり、データを復号化する場合、公開鍵DKGを形成したnパーティすべての参加は不要であり、参加者kの数は少なくて済みます。これにより、nkカウントサーバーが使用できない場合や、秘密鍵が失われた場合でも、投票結果を復号化できます。

公開鍵を生成するために、DKG（Distributed Key Generation）アルゴリズムが使用されます。これは、Torben Pryds Pedersenによる記事「信頼できるパーティのないしきい値暗号化システム」で説明されており、楕円曲線に転送されます。各サーバーには、このサーバーへの安全なデータ送信（キー共有のエクスポート/インポート）に使用される定数（レジストラによって会計士に記録される）Diffie-Hellmanキーペアがあると想定されています。

プロトコルパラメータ

楕円曲線Eと発電機のP大きな素数次数qのこの曲線のサブグループ。現在の実装では、secp256k1曲線を使用しています。
値が同じサブグループの別のジェネレーターQ $x: Q=x⋅P$ 誰にも知られていない。
（k、n）、ここで、nはキーペアを生成した参加者の総数、kは共有シークレットを復元するために必要な参加者の最小数です。 $k≤(n+1)/2$ ..。つまり、k-1の参加者が危険にさらされたり、キーが盗まれたりしても、共有シークレットのセキュリティにはまったく影響しません。

一般に、ポイントQを取得するためのアルゴリズムは次のとおりです。たとえば、文字列「Hello、World！」など、任意のバイトシーケンスが取得され、そこからハッシュh = Hash（「Hello、World！」）が計算されます。その後、バイトシーケンスhが数値に変換されます。検討する

x 0 = h m o d p

$x0=h mod p$ 、ここで、pは曲線の係数です。

x 0

$x0$ 曲線方程式に：

y^{2} = x 0^{3} + a * x 0 + b m o d p

$y^2= x0^3+ a*x0+b mod p$ そしてyに関してそれを解こうとします。解がない場合は、x0をインクリメントし、x0の新しい値について方程式を解こうとします。

ステップ0。n

個のサーバーのそれぞれに、1からnまでの一意のシーケンス番号が割り当てられます。ラグランジュ係数はサーバーのシリアル番号に依存するため、これが必要です。

ステップ1-公開鍵DKGを作成します。

各j番目のサーバー、j = 1、...、n：

1。秘密鍵〖priv〗_jと公開鍵のペアを生成します。

P u b_{j} = p r i v_{j} \cdot P .

$Pub_j=priv_j⋅P.$

2.公開鍵に対してPedersenコミットメントを作成します。

ランダムな数値を生成しますr_j

ポイントを計算します

C_{j} = r_{j} \cdot Q + P u b_{j}

$C_j=r_j⋅Q+Pub_j$

C_{j}

$C_j$ はメーター

3を使用して公開されます。すべてのサーバーがC_i値を公開した後、スカラーr_jが公開されます。

スカラーを使用すると、誰でも各サーバーの公開鍵を回復できます

P u b_{j} = C_{j} - r_{j} \cdot Q

$Pub_j=C_j-r_j⋅Q$ 公開鍵DKGを計算します

P u b = \sum_{(} j = 1)^{n} P u b_{j}

$Pub=∑_(j=1)^n Pub_j$ ..。

公開鍵DKGはブロックチェーンに書き込まれます。

ステップ2-多項式を生成し、シャドウを分散します。

各j番目のサーバー、j = 1、…、n：

1。次数k-1のランダムな多項式を生成します。

f_{j} (x) = f_{(} j, 0) + f_{(} j, 1) \cdot x + \dots + f_{(} j, k - 1) \cdot x^{(} k - 1),

$f_j (x)=f_(j,0)+f_(j,1)⋅x+⋯+f_(j,k-1)⋅x^(k-1),$

ここで、係数

f_{(} j, 0) = p r i v_{j}

$f_(j,0)=priv_j$ 、および残りはフィールドGF（q）のランダム要素です。

2.多項式の値をカウントします

f_{j} (i), i = 1, \dots, n, i \neq j .

$f_j (i),i=1,…,n,i≠j.$

3.値を暗号化します

f_{j} (i)

$f_j (i)$ パブリックエクスポート/インポートキーを使用して、各iのi番目のサーバーを使用し、メーターを使用して暗号化結果を公開します。

ステップ3-多項式の係数を確認します。

各j番目のサーバー、j = 1、...、n：

1。その多項式の各係数にジェネレーターPを掛けたものを公開します。

F_{(} j, 0) = f_{(} j, 0) \cdot P, F_{(} j, 1) = f_{(} j, 1) \cdot P, \dots, F_{(} j, k - 1) = f_{(} j, k - 1) \cdot P

$F_(j,0)=f_(j,0)⋅P,F_(j,1)=f_(j,1)⋅P,…,F_(j,k-1)=f_(j,k-1)⋅P$

2.すべての意味をデコードします

f_{i} (j), i = 1, . ., n, i \neq j

$f_i (j),i=1,..,n,i≠j$ そしてそれらの正しさをチェックします：

計算します

A = f_{i} (j) \cdot P

$A=f_i (j)⋅P$

合計を計算します

。A= Bの場合、結果は受け入れられます。それ以外の場合、サーバーiに対して苦情が公開され、プロトコルが最初から開始され

ます。手順0に進み

ます。3 。苦情がない場合は、秘密鍵を計算します。公開鍵DKGを復元できます。投票開始の段階で、カウントサーバーがブロックチェーンに書き込むデータと照合します。すべての復号化の公開キーポイントを取得して追加する必要があります。結果は、公開鍵DKGとしてブロックチェーンに記録される値と同じになります。

さらに、システムにロードされるコミッションの公開鍵と、カウントサーバーの公開鍵に基づいて、次の式に従って共通の公開暗号化鍵が生成されます。

MainPubKey = Hash（PubDKG、PubCommission）* PubDKG + Hash（PubCommission、PubDKG）* PubCommission

すべての公開キーは、オブザーバーによる検証を容易にするために、中間計算とともにブロックチェーンに書き込まれます。共有公開暗号化キーはブロックチェーンから読み取られ、ニュースレターが表示されたときにユーザーのデバイスに送信されます。

Bulletin暗号化スキームの説明

以下は、楕円曲線上でEl-Gamalスキームを使用してバロットを暗号化する手順の説明です。

楕円曲線上のElGamal暗号化スキームにより、加算に関して同形の暗号化を実装できます。この暗号化テキストに対する加算操作の結果として、元の値の暗号化された合計が取得されます。

暗号化（A）+暗号化（B）=暗号化（A + B）。

アルゴリズムのこのプロパティを使用するために、完成した電子投票は0と1の文字列として表されます。文字数は選択肢の数に対応し、選択されたものは1で表され、他の選択肢はゼロで表されます。

楕円曲線でElGamalアルゴリズムを使用する場合の秘密鍵の長さは、256ビットに選択されていますが、公開鍵は楕円曲線上の点です。これは、128ビットのセキュリティレベルに対応します（クラックするには2 ^ 128のカーブポイント操作が必要です）。このレベルは、ロシアの標準GOST34.10-2018「情報技術」を含むほとんどの最新の産業および金融システムに最適であると考えられています。暗号情報の保護。電子デジタル署名の形成と検証のプロセス "（256ビットバージョン）。

Secp256k1は楕円曲線として使用されます。

キーペアpriv、Pub：

Number priv：0 <priv <q

Point Pub = priv * Base

Encryption：があるとします。

Pubキーで暗号化する少数のメッセージmがあります。
ポイントを計算するM = m *ベース
ランダムな数rを生成します：0 <r <q
ポイントR = r *ベースとポイントC = M + r * Pubを計算します
暗号テキスト：（R、C）

復号化：

秘密鍵のprivとciphertext（R、C）があります
ポイントM = Cを計算します-priv * Base
mの再構築：比率M = m *ベースのブルートフォースECDLPによる解決

スキームの同形性。

2つのメッセージを暗号化すると

M 1 = m 1 * B a s e

$M1 = m1*Base$ そして

M 2 = m 2 * B a s e

$M2 = m2*Base$ パブキー：

(R 1, C 1) = (r 1 * B a s e, M 1 + r 1 * P u b)

$(R1, C1) = (r1*Base, M1 + r1*Pub)$

(R 2, C 2) = (r 2 * B a s e, M 2 + r 2 * P u b)

$(R2, C2) = (r2*Base, M2 + r2*Pub)$

その後、彼らの合計

(R 1 + R 2, C 1 + C 2)

$(R1 + R2, C1 + C2)$ 暗号化されたメッセージと一致します

M 1 + M 2

$M1 + M2$ ..。

したがって、すべての投票は暗号化して「候補ごとに」折りたたむことができます。たとえば、開いている掲示板を次のようにします 。IvanovPetrov

Sidorov

0 1 0

次に、それをポイントに変換すると、次のようになります。IvanovPetrov

Sidorov

ZeroPoint Base ZeroPoint

ここで、ZeroPointは無限大のポイントです。

そして最後に、Pubキーでニュースレターを暗号化します：

Ivanov Petrov Sidorov

(r 1 * B a s e, r 1 * P u b)

$(r1*Base, r1*Pub)$

(r 2 * B a s e, B a s e + r 2 * P u b)

$(r2*Base, Base + r2*Pub)$

(r 3 * B a s e, r 3 * P u b)

$(r3*Base, r3*Pub)$

N人の有権者とそのような投票を行ったとしましょう。 Ivanov、Petrov、Sidorovの場合、異なる投票から暗号テキストを個別に追加すると、候補ごとに暗号化された金額を含む要約投票が取得されます。この要約投票は復号化キーを使用して復号化でき、各候補者の投票結果を確認できます。

次の図は、ゼロナレッジプルーフに基づく同形のバロットスタッキングと検証のスキームを示しています。

図からわかるように、潜在的な攻撃者は、暗号化プロトコルのレベルで誤った番号を暗号化することによって、余分な票を「投入」する方法がありません。これは、ゼロナレッジプルーフを使用して実現されます。これについては、この記事の後半で説明します。さらに、必要なチェックは投票者のWebアプリケーションにも実装されています。

復号化手順の説明

El-Gamalスキームによる同形暗号化により、投票は復号化されずにカウントされます。これにより、投票手順全体と個々の投票の機密性を維持できます。また、どのサーバーにも、投票結果を独立して秘密裏に復号化する機能はありません。

暗号テキスト（R、C）を復号化するには、n台のサーバーのうちk個が値を計算して公開する必要があります。

s_{j} \cdot R

$s_j⋅R$ Chaum-Pedersen復号化の正しさの証明（計算された

s_{j} \cdot R

$s_j⋅R$ 正確には点Rに掛けたものです

s_{j}

$s_j$ 意味を明かさずに

s_{j}

$s_j$ ）。また、このためには、t1パーツから少なくともk1からコミッションの秘密鍵を収集する必要があり、その助けを借りて計算も実行します

s_{j} \cdot R

$s_j⋅R$ ブロックチェーンへの公開付き。

復号化はいくつかの段階で行われ、それぞれの結果がブロックチェーンに記録されます。

最初の一歩-部分的な復号化。システムのNサーバーの各Kは、投票の暗号テキストを合計し、要約投票を受け取り、その部分の秘密投票キーを復号化します。この操作の結果は暗号テキストになり、他のカウントサーバーで実行された同じ操作の結果として取得された暗号テキスト、および委員会の秘密鍵で取得された暗号テキストとの組み合わせにより、復号化された最終結果が得られます。委員会の秘密鍵の復号化から取得された暗号テキストがない場合、他のすべての暗号テキストは役に立たなくなることに注意することが重要です。それらから結果を得るのは不可能です。

操作の結果は、ブロックチェーンで公開されます。

第2フェーズ-委員会の秘密鍵の組み立てと要約投票の部分的な復号化。この操作は、インターネットに接続されていない特殊なPCで実行されます。キーが収集された後、前の段落で説明した操作が実行され、コミッションキーに暗号テキストが形成されます。この操作の結果もブロックチェーンに記録されます。

3番目の段階は最終的なデコードです。投票カウントサーバーは、N台のサーバーからの結果K、委員会の秘密鍵の復号化結果を集約し、最終的な復号化を生成してから、投票結果を公開します。

委員会の秘密鍵で生成された暗号テキストの存在が前提条件であることに注意してください。これがないと、結果の計算は行われません。

部分的な復号化の公開された結果に基づいて、関係者はプロセスを繰り返し、結果が正しくカウントされていることを確認できます。

ゼロ知識証明

DEGシステムは、ソフトウェアおよびインフラストラクチャレベルで侵入者やユーザーエラーから保護されていますが、暗号化プロトコルのレベルで追加の数学的証明とチェックが提供され、システムに誤った情報を転送することはできません。このために、非対話型のゼロ知識証明（NIZK）に基づいていくつかのメカニズムが開発されました。

システムに適用される最初のタイプのZKP（ゼロナレッジプルーフ）はレンジプルーフです。 ZKPデータは、暗号化された投票を公開するときに使用されます。これにより、投票者の投票方法に関する情報がない場合、投票者が次のいずれかの方法でデバイスの投票を台無しにしないようにすることができます。

参加者は、別の投票オプションの投票で1より大きい値を暗号化しませんでした。これは、「暗号化された追加」の場合の投票結果に影響します。
参加者は、投票用紙に記入する手順で規定されていない限り、投票用紙の各質問に対して複数のオプションを選択しませんでした。

NIZKの実装の詳細な説明とその検証については、別の記事で検討します。

ブロックチェーン内のレコードの構造

ブロックチェーン内のすべての情報は、次の3種類のトランザクションによって記録されます。

CreateContract-特定の投票のためのスマートコントラクトを作成します。さらに、このスマートコントラクトでは、投票に関するすべての情報が集約されます。2つ（またはそれ以上）の投票が同時に行われる場合、契約の2つ（またはそれ以上）のコピーがそれぞれ作成されます。
CallContract-さまざまな操作のスマートコントラクトと対話するためのものです。そのリストを以下に示します。
データトランザクション-投票スマート契約のインスタンスを作成した後、投票自体を開始する前に、投票者リストを記録します。

スマートコントラクトとの対話は、次の操作に従って実行されます。

スマートコントラクトへの基本データの書き込み。暗号化プロトコルに参加するカウントサーバーの公開キー、しきい値スキーム、ブラインド署名検証キー、およびプロトコルの編成と一般的な投票に必要なその他のデータがここに保存されます。
dkgScalar、dkgCommit、dkgShadows-バロットの暗号化用の公開キーを構築し、しきい値kのnスキームを実装するために必要なデータ。これについては、この記事の後半で詳しく説明します。
addMainKey – .
blindSigIssue – .
vote – .
finishVoting – . .
Decryption – . .
ComissionDecryption – .
Results – . , .

有権者の投票トランザクションには、有権者のブロックチェーンアドレスと公開鍵、暗号化された投票、ブラインド署名、および有権者の匿名の秘密鍵で生成された電子署名が含まれます（匿名化に関する以前に公開された記事を参照）。

次の図は、ブロックチェーンクライアントでの音声付きトランザクションの表示を示しています。

投票に関するすべての情報はスマートコントラクトに集約され、ブロックチェーンクライアントを介してオブザーバーに、またはcsvファイルの形式で誰にでも利用できます。

次の図は、スマートコントラクトでの集約情報の表示を示しています。

*テストサーバーからのデータ。

Waves Enterpriseプラットフォームの機能を使用すると、ステータスモデル、ブラインド署名の検証、有効なバロットと台無しにされたバロットのカウントを使用して、かなり複雑なロジックを実装できます。

暗号プロトコルと投票プロセスのチェック

ブロックチェーンプラットフォームとブロックチェーンクライアントを使用して実行できる最初の基本的なチェックは、投票者リストの投票者数が発行された投票数と記録された投票数と一致するかどうかをチェックすることです。

カウントの正しさのチェックは、オブザーバーによるカウントサーバーの作業を繰り返して、暗号化された投票候補を候補ごとに要約することによって実行されます。これは、各候補に対応する楕円曲線の点を順番に追加することによって行われます。

次に、ブロックチェーンで公開されている受信した暗号化された要約速報と復号化プルーフを使用して、各カウントサーバーによって実行された合計と部分的な復号化の正確さを検証できます。

この段階で、オブザーバーが受信した暗号化された量が、各カウントサーバーが記録した量に対応しているかどうかは明らかです。

その後、投票結果の復号化の正確さを確認できます。これを行うには、操作DecryptionおよびCommissionDecryptionのタイプのトランザクションから暗号テキストを取得し、バロットと同様に、各候補の楕円曲線のポイントを追加する必要があります。

暗号化操作のソースコードは、このGitHubリポジトリで入手できます。

リモート電子投票システムの暗号化プロトコルのレビュー