PiVote FAQ¶
Wir möchten in diesem Thread Fragen und Antworten zu PiVote sammeln. Fragen könnt Ihr einfach als Antwort auf diesen Beitrag stellen, unsere Antworten werden dann in diesem Beitrag hinzugefügt. Dies soll eine interaktive Ergänzung und Einleitung zu den Texten über PiVote im Wiki sein.
Wo finde ich Informationen über dieses Team und PiVote?¶
Wir haben eine (nicht immer ganz aktuelle) Übersichtsseite im Wiki. Die anderen beiden wichtigen Links sind sicher die Wiki-Seiten über [url=http://wiki.piratenpartei.ch/wiki/PiVote]PiVote[/url] und der Überblick zu PiVotes Sicherheit. An der Cosin 2010 hatten wir Gelegenheit PiVote vorstellen zu dürfen. Von jenem Vortrag existieren Folien, die auf den letzten beiden Seiten verschiedene der weiter unten beschriebenen Verfahren in hübsche Graphiken zusammenfassen.
Was genau ist der Zweck von PiVote?¶
PiVote soll uns Piraten erlauben, sichere, transparente und trotzdem anonyme Abstimmungen durchzuführen. Da das Paranoia-Niveau bei uns Piraten recht hoch ist, wollten wir uns mit nichts Geringerem zufrieden geben. Entscheidungen über Foren-Polls (beschränkt transparent und anonym, nicht sicher) oder nach dem Debian-Mailinglisten-Wahlschema (sicher und transparent, aber nicht anonym) zu treffen, kam daher genauso wenig in Frage wie ein kommerzielles Blackbox-Wahlmaschinen-System (angeblich sicher und anonym, aber völlig intransparent).
Was für Entscheidungen möchte die Piratenpartei mit Hilfe von PiVote treffen können?¶
Die Urabstimmung, der Artikel 15 unserer Parteistatuten, definiert was wir ausserhalb der Piratenversammlung beschliessen können:
Per Urabstimmung werden alle Entscheidungen gefällt, die nicht der Piratenversammlung vorbehalten sind, was insbesondere folgende Beschlüsse umfasst:
- Verabschiedung oder Änderung des Parteiprogramms;
- Parolenfassung für nationale Abstimmungen;
- vom Vorstand beantragte Konsultativabstimmungen;
Welche Entscheidungen wird die Piratenpartei nicht mit Hilfe von PiVote treffen können?*¶
Exklusiv der Piratenversammlung vorbehalten sind, gemäss Artikel 8 unserer Parteistatuten :
Die Piratenversammlung ist zuständig für:
- Genehmigung der Versammlungsordnung und Abstimmungsordnung;
- Abnahme des Protokolls der vorangegangenen Piratenversammlung;
- Abnahme des Jahresberichtes und der Jahresrechnung;
- Abnahme des ordentlichen Budgets für das laufende Rechnungsjahr;
- Déchargeerteilung der Vorstandsmitglieder;
- die Absetzung des Vorstands, der Geschäftsprüfungskommission und der Abstimmungsbeauftragten durch eine Zweidrittelmehrheit;
- Wahl des Vorstandes;
- Wahl der Geschäftsprüfungskommission;
- Wahl der Abstimmungsbeauftragten;
- Statutenänderungen;
- Ausschluss und Mutationen von Mitgliedern;
- Erledigung aller Anträge und Geschäfte der Traktandenliste.
Ist automatisch jede PiVote-Abstimmung gültig? Kann ich auch selber Anträge einreichen? Wie erfahre ich von einer laufenden PiVote-Abstimmung?¶
Auch dies ist in Artikel 15 unserer Parteistatuten definiert:
Eine Urabstimmung ist Beschlussfähig, wenn sie ordentlich angekündigt wurde und gemäss den Zahlen zum Zeitpunkt der Eröffnung der Abstimmung mindestens 20% aller Mitglieder mit gültigem Zertifikat ihre Stimme abgegeben haben.
Jede Urabstimmung ist mindestens eine Woche vor deren Beginn im Parteiorgan und per Brief oder E-Mail anzukündigen. Die Ankündigung umfasst mindestens den Wortlaut aller Anträge sowie die Art der Abstimmung, Zeitpunkt und Abstimmungsfristen.
Die Abstimmungsfrist beträgt mindestens 14 Tage.
Anträge für eine Urabstimmung werden beim Vorstand eingereicht, der diese umgehend zur öffentlichen Diskussion stellt.
Wie muss ich mir eine einzelne Abstimmung in PiVote vorstellen?¶
Jede Abstimmung besteht aus einer oder mehreren zusammengehörigen Fragen (Beispiel: "Wollt Ihr ein Glace?", "Wenn ja, welche Sorte?") und zugehörigen Antworte-Optionen (Beispiel: "Ja" und "Nein", "Vanille, Schokolade, Erdbeer"). Da man bei einer elektronischen Abstimmung nicht leer Abstimmen oder sich Enthalten kann (sich gar nicht an der Abstimmung zu beteiligen wäre noch eine vierte Option), sollte stets eine weitere, neutrale Option angeboten werden (Beispiel: "Enthaltung" oder "Keine der obigen Varianten").
Im PiVote-Programm wählst Du die gewünschte Abstimmung aus und beantwortest die Fragen wie gewünscht. Danach wird Deine Stimme verschlüsselt und an den Server übermittelt. Der Server prüft ob die Stimme mit einem gültigen Zertifikat eingereicht wurde und stellt dann mit Hilfe von Zero-Knowledge-Beweisen sicher, dass Deine Stimme eine gültige Antwort enthält ohne die Stimme zu entschlüsseln (das ist ähnlich dem Loch im Stimmcouvert, welches den Stimmenzählern erlaubt zu sehen ob ein gültiger Stimmzettel darin ist, ohne den Umschlag zu öffnen).
Was muss vorbereitet werden, damit eine einzelne Abstimmung in PiVote durchgeführt werden kann?¶
Nachdem ein Antrag auf eine Abstimmung beim Vorstand eingegangen ist, wird er im Forum zur Diskussion gestellt und alle Piraten per Mail oder Brief informiert. Darauf folgt eine einwöchige Frist: Zeit um den Antrag über Forum, Text- und Voice-Chat zu diskutieren und in alle jeweils unterstützten Sprachen zu übersetzen (diese sind derzeit Französisch und Deutsch, Italienisch künftig sicher auch uns fehlt hier noch ein Übersetzer). Dann wird der PiVote-Administrator die Abstimmung vorbereiten indem er die Fragen und Optionen in allen übersetzten Sprachen erfasst. Damit die Abstimmung beginnen kann muss jede der fünf Wahlauthoritäten mit Ihrem Schlüssel die Abstimmung signieren, dabei erhält er einen Teilschlüssel welche am Ende alle nötig sind um das Resultat zu errechnen und der öffentliche Schlüssel der Abstimmung wird generiert. Danach kann man an der Abstimmung teilnehmen. Damit möglichst alle Piraten die Chance haben teilzunehmen, läuft die Abstimmung mindestens zwei Wochen.
Was muss ich tun damit ich an einer PiVote-Abstimmung teilnehmen kann?¶
Du musst mit Deinem PiVote-Client ein Zertifikat und einen zugehörigen Zertifikatsantrag generieren. Der Zertifikatsantrag wird ausgedruckt und an ein Authorisierungstreffen mitgebracht. Wir planen das erste diese Treffen an der nächsten PV und danach regelmässig an unseren Stammtischen in der ganzen Schweiz durchzuführen. Dabei müssen drei der fünf Authoritäten Deine Identität beglaubigen (dafür bitte einen Ausweis, ID, GA oder ähnliches mitbringen) und Deinen Zertifikatsantrag unterzeichnen. Der Antrag wird dann dem Aktuar übergeben der nun ohne Dich persönlich kennen zu müssen nur noch prüfen muss, ob Du auch Parteimitglied bist. Wenn ja, kann er Deinen Zertifikatsantrag in PiVote bestätigen und Du kannst an Abstimmungen teilnehmen.
Wie funktioniert das Auszählen der Stimmen einer PiVote-Abstimmung?¶
*Wenn die Abstimmungsfrist abgelaufen ist, wird die Abstimmung geschlossen. Danach werden alle Stimmen miteinander homomorph verrechnet. Die Authoritäten können dieses verschlüsselte Resultat dann mit Ihrem Teilschlüssel teilentschlüsseln. Sobald vier der fünf Authoritäten Ihr Teilergebnis auf dem Server veröffentlicht haben, kann jeder Abstimmende daraus mit PiVote das Abstimmungsresultat nachrechnen. Dabei erlaubt die Verschlüsselung der Stimmen, dass wir diese veröffentlichen können, ohne dass diese je von einem einzelnen Beteiligten (Abstimmende und Authoritäten) entschlüsselt werden könnten. Die Auszählung wird dabei nicht auf dem Server durchgeführt sondern auf den PiVote-Clients.
Wie kann ich mir sicher sein, dass die Abstimmung nicht manipuliert wurde?¶
*Der Server bestätigt den Erhalt einer gültigen Stimme mit einer Signatur. Mit dieser kann PiVote bei der Auszählung prüfen ob die eigene Stimme Teil des Resultates ist. Dazu muss man im PiVote-Client lediglich eine abgeschlossene und ausgezählte Abstimmung auswählen und diese prüfen. Der eigene Client lädt dann alle verschlüsselten Stimmen, das verschlüsselte Resultat und die Teilergebnisse herunter. Er prüft ob die eigene Stimme darunter ist, ob die alle Stimmen zusammen zum den selben Resultat führen und zählt dann die Teilergebnisse aus.
Welche Probleme können auch mit PiVote nicht ausgeschlossen werden?¶
- Identitätsdiebstahl ist auch bei PiVote ein Problem. Genauso wie bei einer klassischen Abstimmung sich jemand Deines nicht ausgefüllten Stimmzettels bemächtigen kann, könnte jemand der in den Besitz Deines PiVote-Zertifikates gelangt in Deinem Namen abstimmen. Es ist darum essenziell, dass Du sofort den Aktuar informierst, wenn Dein Abstimmungszertifikat verschwunden ist, damit er es sofort revoken (ungültig machen) kann. Du musst dann ein neues Zertifikat machen.
- Ein weiterer Angriffsvektor ist ein per Trojaner ferngesteuerter Rechner. Daher sollte der PiVote-Client idealerweise auf einer speziell gesicherten Umgebung (z.B. von einem von USB-Stick gestarteten Betreibsystem oder unter einer Virtuellen Maschine) eingesetzt werden. Eine weitere Möglichkeit ist, das Zertifikat nur zu Abstimmungen auf den Rechner zu kopieren. Grundsätzlich sollte mit PiVote genauso sorgfältig umgegangen werden wie mit dem Online-Banking.
- Wir verlassen uns für zahlreiche mathematische Operationen auf langjährig bewährte kryptographische Verfahren, wie Beispielsweise RSA, AES und SHA. Sollten Schwachstellen in diesen Algorithmen auftauchen, müssen wir das Programm anpassen.
- Wir gehen davon aus, dass Zufall (im Computer) existiert.
- Wir verlassen uns darauf, dass diskrete Logarithmen sehr aufwändig zu berechnen sind.
- Zu allen oben erwähnten mathematischen Annahmen und kryptographischen Algorithmen ist zu sagen, dass diese vermutlich mit Quantencomputern angreifbar wären. Diese existieren aber derzeit erst theoretisch.