E
E-mailafstemningElektroniske afstemningsloveEnd-to-End Kryptering
Vis alle emner
Teknologi & Sikkerhed

Ende-til-ende kryptering

Indhold

Ende-til-ende kryptering (E2E) i online afstemning sikrer, at en stemme er krypteret på vælgerens enhed og forbliver krypteret under transmission og opbevaring, kun at blive dekrypteret under den endelige optællingsproces. Dette betyder, at ingen server, administrator eller mellemmand kan læse eller ændre individuelle stemmer på noget tidspunkt i processen.

Hvad er ende-til-ende kryptering?

Ende-til-ende kryptering er en sikkerhedsmetode, hvor data krypteres ved sin oprindelse og kun dekrypteres ved dets tilsigtede destination. I konteksten af online afstemning er "oprindelsen" vælgerens enhed, og "destinationen" er optællingsprocessen. I modsætning til transportlagkryptering (såsom HTTPS) beskytter E2E-kryptering data, selv hvis serverinfrastrukturen bliver kompromitteret.

Hvordan fungerer E2E-kryptering i online afstemning

Processen følger en struktureret sekvens:

  1. Nøglegenerering: Før valget genereres kryptografiske nøgler og distribueres blandt flere tillidsmænd
  2. Stemmepapirkryptering: Vælgerens enhed krypterer stemmesedlen ved hjælp af valgtes offentlige nøgle
  3. Transmission: Den krypterede stemmeseddel transmitteres til afstemningsserveren
  4. Opbevaring: Stemmer opbevares i krypteret form — serveren ser aldrig ukyndige stemmesedler
  5. Optælling: Tillidsmænd kombinerer deres nøgleandele for at dekryptere og tælle stemmer samlet

Krypteringslivscyklussen for en stemme

Fra det øjeblik en vælger træffer sit valg til det endelige resultat, går stemmen gennem flere kryptografiske faser. Hver fase er designet til at beskytte stemmeseddelshemmelighed, samtidig med at muliggøre verifikation. Den krypterede stemmeseddel er underskrevet, tidsstemplet, og opbevaret med kryptografiske beviser, der tillader alle at verificere valgets integritet.

Nøglehåndtering og distribution

Sikker nøglehåndtering er fundamentet for E2E-krypteret afstemning. Dekrypteringsnøglen er typisk delt blandt flere tillidsmænd ved brug af tærskelkryptografi. Dette betyder, at ingen enkeltperson kan dekryptere stemmer alene — et foruddefineret antal tillidsmænd skal samarbejde. Denne distribuerede tilgang forhindrer insiderangreb og opbygger tillid til systemet.

NemoVote bruger AES-256 kryptering til al dataoverførsel og opbevaring, kombineret med kryptografisk stemmeseparation, der sikrer, at vælgerens identitet og stemmeoplysninger holdes adskilt — hvilket holder stemmerne fortrolige og manipulationssikre.

Homomorfisk kryptering i afstemning

Homomorfisk kryptering tillader matematiske operationer på krypterede data uden at dekryptere dem. I afstemning betyder dette, at krypterede stemmesedler kan aggregeres for at producere en krypteret total, som derefter kun dekrypteres én gang for at afsløre det endelige resultat. Individuelle stemmer dekrypteres aldrig, hvilket giver et ekstra lag af privatlivsbeskyttelse.

Verificerbarhed og kryptering

E2E-kryptering muliggør to kritiske former for verificerbarhed:

  • Individuel verificerbarhed: Vælgere kan bekræfte, at deres stemme blev registreret korrekt ved hjælp af en verifikationskode
  • Universel verificerbarhed: Alle kan verificere, at alle registrerede stemmer blev talt korrekt ved hjælp af offentlig tilgængelige kryptografiske beviser

Denne dobbelte verificerbarhed sikrer, at kryptering fremmer snarere end underminerer gennemsigtighed.

Beskyttelse mod server-side angreb

En af de primære fordele ved E2E-kryptering er beskyttelse mod serverkompromittering. Selv hvis en angriber får fuld adgang til afstemningsserveren, kan de ikke læse individuelle stemmer, fordi serveren aldrig har dekrypteringsnøglen. Dette ændrer grundlæggende sikkerhedsmodellen i forhold til systemer, der udelukkende stoler på server-side beskyttelser.

E2E-kryptering vs. transportkryptering

Transportkryptering (TLS/HTTPS) beskytter kun data, mens det er i transit mellem vælgerens enhed og serveren. Når data når serveren, dekrypteres det og opbevares i ukrypteret form. E2E-kryptering er strengt bedre til afstemning, fordi det også beskytter data, når det er opbevaret på serveren. Organisationer bør sikre, at deres afstemningsplatform bruger ægte E2E-kryptering og ikke kun transportlagssikkerhed.

Præstation og skalerbarhed

E2E-kryptering introducerer beregningsmæssige omkostninger, der skal håndteres omhyggeligt. Moderne implementeringer optimerer præstationen gennem effektive kryptografiske algoritmer og parallel behandling, klient-side kryptering som fordeler den beregningsmæssige belastning, bundtet optællingsprocesser og forudberegning af kryptografiske parametre før valget starter.

Regulatoriske krav

Databeskyttelsesreguleringer som GDPR opfordrer til kryptering som et teknisk middel til at beskytte persondata. I sammenhæng med GDPR-kompatibel afstemning hjælper E2E-kryptering organisationer med at opfylde deres forpligtelser til at beskytte vælgerdata gennem passende tekniske og organisatoriske foranstaltninger.