recherche & développement Protocole de vote E-Poll Réunion de lancement AVOTÉ 18 janvier 2008, Cachan Jacques Traoré
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p2 Le Projet E-Poll E-Poll, projet européen de vote électronique : Ministère de l'intérieur français, France Télécom, Siemens, Ministère de l'intérieur italien et Vodafone Vote assisté par ordinateur, mais dans un bureau de vote pour le vote institutionnel Pas de bouleversement des usages Nomadisme autorisé : vote hybride Authentification biométrique Expérimentations : Votes doublons : Avellino, Mérignac (Présidentielles 2002), Campobasso, Vandoeuvre (Législatives 2002), Issy les Moulineaux (Référendum 2005) Votes exclusifs sur systèmes E-Poll : Cremona, Ladispoli, Czestochova, Ladispoli (sept.2004), Université de Lyon II et Nantes (déc. 2004)
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p3 Les UV mix-net en pratique Proving a Shuffle [Furokawa-Sako 01] 36nk A Verifiable Secret Shuffle [Neff01] 16nk Optimistic Mixing [Golle et al. 02]* Fair Blind Signatures and hybrid mix-net [Canard, Gaud, Traoré 06] k (13k) Nombre d'exponentiations modulaires requises pour générer la preuve complète (pour n bulletins et k mélangeurs). * cassé (Abe, ACISP’03) Il faut 4 heures pour dépouiller bulletins avec le système de Furokawa-Sako (k = 3, p = 1024, q = 160) La plupart de ces systèmes sont brevetés…
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p4 Le Protocole de FOO en pratique Sensus et EVOX Fujioka, Okamoto, Ohta, “A Practical Secret Voting Scheme for Large Scale Elections”, Auscrypt’92 pas de résultats partiels 3 étapes pour voter (ne satisfait pas la propriété de "vote and go") Sensus: Washington University EVOX : MIT, Votopia Ohkubo, Miura, Abe, Fujioka et Okamoto, "An improvement of a practical secret voting scheme", ISW'99 Projet Coréen - Japonais : NTT, Samsung, Université de Tokyo, IRIS… Expérimentation lors de la coupe du monde 2002 Vote en deux étapes; satisfait la propriété de "vote and go" Quelques failles de sécurité… [Canard, Gaud, Traoré, Financial Cryptography 2006]
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p5 Voting Results 3662 voters: 3474 from Korea and 90 from Japan
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p6 Les acteurs possèdent des clés de signature Authentifie les votants et délivre des signatures aveugles Déchiffrent et permutent les bulletins Déchiffrent de manière distribuée les bulletins Collecte les bulletins Voters Admin Server Mix Servers Scrutateurs Ballot Box
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p7 System Overview BB Server Admin Server Mix Servers Tally Servers Voter DB (1) Blind Sig (3) Mixing (4) Tallying (2) Ballot Casting (5) Counting Results
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p8 Phase de vote (1) Mrs Smith Electoral List Mr Dupond Mr Baker Mr Durand. Mrs Smith SK PK Admin Server Bush N°56422 = Encryption with PK of the talliers Bush N°56422 AS Bush N°56422 X AS Bush N°56422
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p9 Dépôt du bulletin Mrs Smith Bush N°56422 AS Mix 1 Mix 2 Ballot Box E PK2 [vote] = = E PK1 [E PK2 [vote]] Analogie avec le vote par correspondance Smith
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p10 Alice Bob Carla N°33786 Kerry AS N°56789 Bush AS N°12378 Bush AS Ballot Box List L Alice Bob Carla Dépouillement (I) Mix 1 Mix 2
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p11 Dépouillement (cas 1) N°33786 Kerry AS N°56789 Bush AS N°12378 Bush AS List L Tous les bulletins portent la signature de AS et les signatures sont valides Distributed Decryption N°33786 Kerry N°56789 Bush N°12378 Bush Résultats
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p12 Alice Bob Carla N°33786 Kerry AS N°56789 Bush AS N°12378 Bush AS List L Alice Bob Carla Back Tracing Alice Bob Carla A signature is invalid ! Mix 1 Mix 2 Proof Si un mix a triché, il est exclu du système ! Si un votant a déposé un bulletin invalide, son bulletin est retiré de l'urne
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p13 Failles du protocole Votopia Alice Bill Carla complice du Mix 1 Mix 1 Alice est membre du parti X Je ne vais pas déposer mon bulletin valide dans l'urne N°33786 Kerry AS N°45678 Kerry AS N°12378 Bush AS List L
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p14 Exemple Supposons qu'il y ait : votants - Mix 1 a 9 complices - Mix 1 supporte Bob. Ally Bob candidate du parti X candidat du parti Y Sondage d'opinions 52% 48% En utilisant une des 2 failles 49.7% 50.3%
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p15 Contre-mesures possibles Demander aux votants de participer au dépouillement Contradiction avec la propriété de "vote and go" Difficilement imaginable en pratique Demander au Mix 1 de prouver qu'il a correctement déchiffré et brassé les bulletins ne marche pas en cas de collusion du Mix 1 et du Mix 2 Le schéma resterait vulnérable à une "randomization attack" Utiliser un mix net "universellement vérifiable" Quel serait l'intérêt d'utiliser des signatures aveugles dans ce cas ? Notre solution : utiliser des signatures aveugles équitables
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p16 Modèle d'un schéma de signature aveugle équitable (message, signature)Vue du protocole non-corrélable Signature Tracing Session Tracing Autorité de révocation Utilisateur Signataire Protocole de signature
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p17 Signatures aveugles équitables: sécurité. Intraçabilité prouvé dans le modèle de l'oracle aléatoire sous l'hypothèse DDH. One-more Unforgeability prouvé dans le modèle de l'oracle aléatoire sous l'hypothèse du "Strong-RSA" Révocation –Il est 'impossible" de contourner les mécanismes de traçage prouvé dans le modèle de l'oracle aléatoire sous l'hypothèse du "Strong-RSA" Modèle de sécurité + Schéma prouvé sûr dans ce modèle : Hufschmitt, Traoré, Pairing'07
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p18 Phase de vote (1) Jouent également le rôle de 'mélangeurs' Scutateurs Voter Bush N°56422 Chiffre son bulletin en utilisant les clés des scrutateurs Obtient une signature aveugle équitable de son bulletin AS
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p19 Dépôt du bulletin Mrs Smith Mix 1 Mix 2 Ballot Box Analogie avec le vote par correspondance AS E PK2 [vote] = = E PK1 [E PK2 [vote]] Smith The anonymity of the Fair Blind Sig of "absentee" voters is revoked!
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p20 Alice Bob Carla Ballot Box List L Alice Bob Carla Dépouillement (I) Alice Bob Carla Mix 1 Mix 2 AS
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p21 Dépouillement (cas 1) Tous les bulletins portent la signature de AS et les signatures sont valides N°33786 Kerry N°56789 Bush N°12378 Bush Résultats List L AS les scrutateurs révèlent leur clé privée !
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p22 Alice Bob Carla Alice Bob Carla Back Tracing (I) Alice Bob Carla Mix 1Mix 2 Proof AS List L Si une signature est invalide, révoquée ou dupliquée Si un votant a déposé un bulletin invalide, son bulletin est retiré de l'urne On lève l'anonymat de la signature aveugle qu'il a demandée.
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p23 Back Tracing (II) Alice Bob Carla Alice Bob Carla Alice Bob Carla List L AS If a mix server cheats. We retrieve all the private keys of the mix-servers. If penalties for cheating are severe this will preclude any attempt! N°33786 Kerry N°56789 Bush N°12378 Bush Results Decrypt, permute, and prove correct Decrypt using the revealed keys
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p24 E-Poll en pratique Outils cryptographiques : PKI: FT PKI Certatoo/Applatoo Mix-net: nous avons utilisé le "mix-net hybride" d'Abe et Ohkubo (Asiacrypt'01) Fair Blind signature scheme : nous avons utilisé le schéma de Gaud et Traoré (Financial Crypto 2003) Expérimentations lors d'élections étudiantes (décembre 2004) Universités de Nantes et Lyon II votants Tous les bulletins étaient valides ! (nous n'avons pas eu besoin de lancer la procédure de "Back Tracing") Expérimentation lors du référendum sur la constitution européenne Ville d'Issy-les-Moulineaux votants Tous les bulletins étaient valides !
Orange Labs - Research & Development Réunion de lancement AVOTÉ – 18 janvier 2008 – p25 Conclusion Le protocole de vote E-poll appartient à la catégorie des "Optimistic mix-net based voting protocol" Si les mix-net sont honnêtes, le dépouillement est extrêmement rapide Si un mix triche, le dépouillement prend beaucoup plus de temps (utilisation d'un mix-net universellement vérifiable) E-Poll s'avère plus efficace que les autres systèmes du même type (confirmé en pratique)