E
E-Mail-AbstimmungEchtzeitergebnisseElektronische AbstimmungsgesetzeEnd-to-End-VerschlüsselungErgebnisveröffentlichung (digital, Audit Logs)
Alle Themen anzeigen
Technologie & Sicherheit

End-to-End-Verschlüsselung

Inhalt

Ende-zu-Ende-Verschlüsselung (E2E) beim Online-Voting sorgt dafür, dass ein Stimmzettel auf dem Gerät des Wählers verschlüsselt wird und während der Übertragung und Speicherung verschlüsselt bleibt, wobei er erst während des endgültigen Auszählungsprozesses entschlüsselt wird. Das bedeutet, dass kein Server, Administrator oder Vermittler zu irgendeinem Zeitpunkt im Prozess einzelne Stimmen lesen oder ändern kann.

Was ist End-to-End-Verschlüsselung?

End-to-End-Verschlüsselung ist eine Sicherheitsmethode, bei der Daten an ihrem Ursprung verschlüsselt und nur an ihrem vorgesehenen Ziel entschlüsselt werden. Im Kontext des Online-Votings ist der "Ursprung" das Gerät des Wählers und das "Ziel" der Auszählungsprozess. Im Gegensatz zur Transportverschlüsselung (wie HTTPS) schützt E2E-Verschlüsselung die Daten, selbst wenn die Serverinfrastruktur kompromittiert wird.

Wie E2E-Verschlüsselung beim Online-Voting funktioniert

Der Prozess folgt einer strukturierten Abfolge:

  1. Schlüsselgenerierung: Vor der Wahl werden kryptographische Schlüssel generiert und unter mehreren Vertrauenspersonen verteilt
  2. Stimmzettelverschlüsselung: Das Gerät des Wählers verschlüsselt den Stimmzettel mit dem öffentlichen Schlüssel der Wahl
  3. Übertragung: Der verschlüsselte Stimmzettel wird an den Wahlserver übermittelt
  4. Speicherung: Stimmen werden in verschlüsselter Form gespeichert — der Server sieht niemals unverschlüsselte Stimmzettel
  5. Auszählung: Vertrauenspersonen kombinieren ihre Schlüsselanteile, um die Stimmen gemeinsam zu entschlüsseln und zu zählen

Der Verschlüsselungslebenszyklus einer Stimme

Von dem Moment an, in dem ein Wähler seine Auswahl trifft, bis zum endgültigen Ergebnis durchläuft die Stimme mehrere kryptografische Stufen. Jede Stufe ist darauf ausgelegt, die Geheimhaltung der Stimmzettel zu schützen und gleichzeitig eine Verifizierung zu ermöglichen. Der verschlüsselte Stimmzettel wird signiert, mit einem Zeitstempel versehen und zusammen mit kryptografischen Nachweisen gespeichert, die es jedem ermöglichen, die Integrität der Wahl zu überprüfen.

Schlüsselverwaltung und -distribution

Sichere Schlüsselverwaltung ist die Grundlage für E2E-verschlüsseltes Voting. Der Entschlüsselungsschlüssel wird typischerweise unter mehreren Vertrauenspersonen mithilfe von Schwellenwert-Kryptografie aufgeteilt. Das bedeutet, dass keine einzelne Person Stimmen allein entschlüsseln kann — eine vordefinierte Anzahl von Vertrauenspersonen muss zusammenarbeiten. Dieser verteilte Ansatz verhindert Insider-Angriffe und baut Vertrauen in das System auf.

NemoVote verwendet AES-256-Verschlüsselung für alle Datenübertragungen und Speicherungen, in Kombination mit kryptografischer Stimmen-Trennung, die sicherstellt, dass die Identität der Wähler und die Wahldaten strikt getrennt bleiben — was die Stimmen vertraulich und manipulationssicher hält.

Homomorphe Verschlüsselung im Voting

Homomorphe Verschlüsselung ermöglicht mathematische Operationen auf verschlüsselten Daten, ohne sie zu entschlüsseln. Beim Voting bedeutet dies, dass verschlüsselte Stimmzettel aggregiert werden können, um ein verschlüsseltes Gesamtergebnis zu erzeugen, das dann nur einmal entschlüsselt wird, um das Endergebnis zu offenbaren. Einzelne Stimmen werden nie entschlüsselt, was eine zusätzliche Schutzschicht für die Privatsphäre bietet.

Verifizierbarkeit und Verschlüsselung

E2E-Verschlüsselung ermöglicht zwei kritische Formen der Verifizierbarkeit:

  • Individuelle Verifizierbarkeit: Wähler können mithilfe eines Verifizierungscodes bestätigen, dass ihre Stimme korrekt aufgezeichnet wurde
  • Universelle Verifizierbarkeit: Jeder kann verifizieren, dass alle aufgezeichneten Stimmen mithilfe öffentlich verfügbarer kryptografischer Beweise korrekt gezählt wurden

Diese doppelte Verifizierbarkeit stellt sicher, dass Verschlüsselung die Transparenz erhöht statt sie zu untergraben.

Schutz vor serverseitigen Angriffen

Ein wesentlicher Vorteil der E2E-Verschlüsselung ist der Schutz vor Serverkompromittierungen. Selbst wenn ein Angreifer vollen Zugriff auf den Wahlserver erhält, kann er keine einzelnen Stimmen lesen, da der Server nie den Entschlüsselungsschlüssel besitzt. Dies ändert das Sicherheitsmodell grundlegend im Vergleich zu Systemen, die sich ausschließlich auf serverseitigen Schutz verlassen.

E2E-Verschlüsselung vs. Transportverschlüsselung

Transportverschlüsselung (TLS/HTTPS) schützt Daten nur, während sie sich auf dem Weg zwischen dem Gerät des Wählers und dem Server befinden. Sobald die Daten den Server erreichen, werden sie entschlüsselt und im Klartext gespeichert. E2E-Verschlüsselung ist für das Voting strikt überlegen, da sie Daten auch im Ruhezustand auf dem Server schützt. Organisationen sollten sicherstellen, dass ihre Voting-Plattform echte E2E-Verschlüsselung verwendet und nicht nur Sicherheit auf Transportebene.

Performance und Skalierbarkeit

E2E-Verschlüsselung bringt einen rechnerischen Mehraufwand mit sich, der sorgfältig verwaltet werden muss. Moderne Implementierungen optimieren die Leistung durch effiziente kryptografische Algorithmen und Parallelverarbeitung, clientseitige Verschlüsselung, die die Rechenlast verteilt, gebündelte Auszählungsprozesse und die Vorkalkulation kryptografischer Parameter vor Beginn der Wahl.

Regulatorische Anforderungen

Datenschutzbestimmungen wie die DSGVO empfehlen Verschlüsselung als technische Maßnahme zum Schutz personenbezogener Daten. Im Kontext von DSGVO-konformem Voting hilft E2E-Verschlüsselung Organisationen, ihren Verpflichtungen nachzukommen, Wählerdaten durch geeignete technische und organisatorische Maßnahmen zu schützen.