39、基于法内尔的可验证投票协议解析

基于法内尔的可验证投票协议解析

在选举过程中，投票系统的安全性、准确性和可验证性至关重要。本文将介绍几种投票协议，包括原始法内尔方案、三选票投票系统以及改进后的法内尔变体方案，并分析它们的特点和存在的问题。

原始法内尔方案

原始法内尔方案旨在解决传统投票箱的问题。该方案基于纸质选票，要求每个选民签署一张选票，但为避免选民与选票的关联，选民签署的是随机选择的另一张选票。

• 初始化阶段 ：使用两个投票箱。第一个投票箱在投票开始前，由投票机构公开用填好并签名的选票初始化，这些选票应等概率代表所有可能的投票。第二个投票箱初始为空。
• 投票阶段 ：选民获得一张空白有效选票（由投票机构签名），做出选择后将选票投入第一个（预初始化）投票箱。然后，通过手动或机械洗牌，第一个投票箱随机呈现一张选票给选民，选民签署后投入第二个投票箱。
• 计票阶段 ：投票期结束后，投票机构打开并再次签署第一个投票箱中的所有选票，将其加入第二个投票箱。然后打开第二个投票箱并统计所有选票，从结果中减去初始化步骤中的选票。

该方案能保证选民的选票会被统计，且投票阶段结束后无法排除或添加新选票。任何人都可验证所有选票是否由选民或选区签名，还能查看谁参与了投票而无需选民名单。但该方案不具备选民可验证性。

三选票投票系统的信息泄露问题

里维斯特的三选票投票方案中，每张选票由三列组成，每列代表一张完整选票。每行有候选人姓名，候选人姓名后的三个单元格中必须恰好有一个被标记，而被选中的候选人会有两个单元格被标记。

投票结束后，选票垂直切割，分离出三列，其中一列被复制作为选民收据，三列都放入投票箱。计票时，需减去每个候选人每张选票的免费一票以得到最终票数。

然而，该方案存在信息泄露问题。尽管表面上选票保密性完美，但每张收据实际上会泄露少量信息，大量收据会形成统计模式。例如，假设三位候选人中候选人 1 获得所有选票，其他两位无票，且所有选民随机标记和选择收据列，若选民愿意向组织展示收据，统计收据上每个候选人的标记数就能揭示选举情况。

以下是模拟选举的结果，展示了 10 次选举中每位候选人的标记数：
|选举次数|候选人 1|候选人 2|候选人 3|
| ---- | ---- | ---- | ---- |
|1|69|34|43|
|2|73|39|34|
|3|61|32|31|
|4|65|37|37|
|5|65|29|30|
|6|64|32|37|
|7|65|30|37|
|8|65|31|28|
|9|68|29|26|
|10|61|34|27|

这种信息泄露与出口民调类似，但不同的是并非所有国家都有或允许出口民调，且选民在出口民调中可能说谎，而三选票系统的收据揭示的是实际信息，在候选人票数差距较小时可能影响选民投票。

法内尔方案的变体

原始法内尔方案不具备选民可验证性，新的基于纸质的变体方案受其启发，同样使用两个投票箱，但不依赖签名，能在投票阶段不泄露信息的情况下为选民提供收据。

前提条件

• 选票形式 ：选票由两部分组成。第一部分与传统选举选票布局相似，包含投票选项列表（包括空白投票选项），每个选项旁有选择空间，还有唯一标识选票并关联选举的识别号（ID）。第二部分仅包含相同的 ID，两部分由穿孔线分隔，ID 由刮开层覆盖。
• 投票箱 ：使用两个投票箱。一个是传统投票箱，投票开始前需用填好的假选票初始化（仅包含选项部分）。另一个特殊投票箱（称为法内尔箱）能接收包含 ID 的纸条，将其添加到已接收纸条集合中，并随机复制 l 个 ID。

协议流程

• 初始化阶段 ：投票机构确定初始票数 x 和收据上应打印的 ID 数量 l，公开初始化投票箱。在初始化前，对 2x 张空白选票进行切选过程，随机选取 x 张选票，揭开保护层并公布，不再使用。将另外 x 张空白选票沿穿孔线撕开，在含选项部分标记选项，揭开保护层后投入传统投票箱，选项应随机选择且每个选项至少有一票。刮开另一部分（含 ID 纸条）的层并投入法内尔箱，公布每个选项的假票数，最后密封两个投票箱直到投票开始。
• 投票阶段 ：
  1. 验证和填写选票 ：选民刮开覆盖 ID 的层，匹配 ID，若相等则做出投票选择。
  2. 投票 ：选民分离选票两部分，将含 ID 和选项部分投入传统投票箱，仅含 ID 部分投入法内尔箱。
  3. 获取收据 ：法内尔箱洗牌，复制 l 个 ID 打印为收据给选民。
• 计票阶段 ：计票人员公开打开两个投票箱，将内容公布在公告板上。统计所有选票，减去初始化阶段的假选票得到最终结果。
• 选票验证 ：任何人可在公告板上检查传统投票箱中的每张选票是否在法内尔箱中有对应 ID，选民可确认收据上的 ID 是否与公告板上的选票匹配。若选票和 ID 未公布，选民可向投票机构出示收据投诉。

安全性分析

• 准确性 ：可检测选票的重复、消除、替换和添加。通过检查公告板上公布的信息，验证选票 ID 的唯一性，检测选票的消除和替换，还可通过公布的总票数检测是否添加新选票。但检测具有概率性，因为并非所有选票的 ID 都会打印在收据上。
• 隐私性 ：即使选民想违反隐私，该方案也能保证其隐私。对手可能试图通过获取特定选票的 ID 或从收据中提取投票信息来侵犯隐私。为防止选民或投票机构记录选票 ID，选票 ID 由刮开层覆盖，且假设选民无法记住自己选票的 ID。对手让选民指出收据上自己选票的 ID 时，选民只能猜测。此外，对手收集大量选民收据试图确定首批选民投票的攻击也难以成功，因为选举前投入的 ID 与首批选民的 ID 出现概率相同。
• 可验证性 ：该方案可由选民和第三方验证。法内尔箱中的 ID 用于验证传统投票箱中的选票，ID 和选票的公布使任何人都能验证投票结果的准确性。选民可通过匹配收据上的 ID 与公告板上的选票来验证一小部分选票。为解决部分选民丢弃收据导致对手可替换选票而不被发现的问题，方案采取了两个措施：一是每张收据由一组 ID 组成，这些 ID 可能出现在其他收据中；二是法内尔箱保留所有选票的 ID 并公布，增加验证过程的冗余性。

相关讨论

• ID 的设计 ：选票上的 ID 应易于比较且难以记忆。可使用条形码编码 ID 防止选民回忆，但部分选民可能不进行比较或忽略选票的畸形。更好的解决方案是避免选民比较自己选票的 ID，将 ID 设为字母数字字符串，但这会导致无法检测畸形选票，可通过切选过程审计选票来缓解。
• 链式投票问题 ：链式投票是该方案的实际威胁。对手可偷运有效空白选票，标记选项后腐蚀选民使用该选票。为防止此类攻击，修改选票形式，添加序列号并打印在覆盖 ID 的刮开层上，改变另一个 ID 的位置，使选票可折叠只显示刮开层。投票机构在给选民选票前记录序列号，投票前确认序列号，刮开含序列号的层。
• 投票参数的影响 ：投票参数包括初始票数 x 和收据上打印的 ID 数量 l，它们影响选民可验证性和隐私性。当 x 远大于选民数量 v 且 l 较小时，对手难以通过收据区分选民 ID 和初始 ID，保护了选民隐私，但选民可验证性降低。反之，v 大于 x 时，对手更易区分选民 ID 和初始 ID。

以下是不同 x 和 l 值下，第一个 ID 出现在至少一张收据上的概率以及通过收据检测计票中选票消除的概率：
|x|l|1st ID %|Detection %|
| ---- | ---- | ---- | ---- |
|100|1|83|49|
|100|2|97|66|
|300|1|62|43|
|300|2|86|63|
|1000|1|70|60|
|1000|2|80|69|
|1000|3|87|76|
|1500|4|68|61|
|1500|5|76|68|
|1500|6|82|74|

• 最后选票和收据问题 ：初始 ID 和首批选民的 ID 更易出现在收据上，对应选票更易被选民验证，而最后选民的 ID 出现在收据上的概率较低。对手可能试图替换最后选民的选票而不被发现，但由于难以区分首批和最后选票，只能猜测。对手还可能通过观察收据识别可能被验证的选票，替换 ID 未出现在收据上的选票，但法内尔箱保留所有 ID 并公布，可检测此类攻击。为缓解该问题，建议在投票结束时打印一组收据。

综上所述，原始法内尔方案和三选票投票系统都存在一定问题，而法内尔变体方案在安全性和可验证性方面有了改进，但仍需进一步优化以应对各种潜在威胁。

基于法内尔的可验证投票协议解析

方案对比与总结

为了更清晰地对比原始法内尔方案、三选票投票系统和法内尔变体方案的特点，我们制作了以下表格：
|方案名称|是否依赖签名|是否有信息泄露风险|选民可验证性|安全性保障措施|
| ---- | ---- | ---- | ---- | ---- |
|原始法内尔方案|是|否|否|通过签名保证投票阶段结束后无法排除或添加新选票|
|三选票投票系统|否|是|是| - |
|法内尔变体方案|否|否|是|使用刮开层保护 ID，通过 ID 匹配验证选票，增加验证冗余性等|

从表格中可以看出，法内尔变体方案在信息安全性和选民可验证性方面表现较为出色。原始法内尔方案虽然能保证基本的投票安全性，但缺乏选民可验证性；三选票投票系统虽然具有选民可验证性，但存在信息泄露的风险。

流程图展示

下面是法内尔变体方案的投票流程 mermaid 流程图：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px

    A(初始化阶段):::process --> B(投票阶段):::process
    B --> C(计票阶段):::process
    C --> D(选票验证阶段):::process

    A1(确定参数 x 和 l):::process --> A2(切选选票):::process
    A2 --> A3(标记选项投入传统箱):::process
    A2 --> A4(刮开 ID 投入法内尔箱):::process
    A4 --> A5(公布假票数并密封):::process

    B1(验证和填写选票):::process --> B2(投票):::process
    B2 --> B3(获取收据):::process

    C1(打开投票箱):::process --> C2(公布内容):::process
    C2 --> C3(统计选票减去假票):::process

    D1(检查 ID 匹配):::process --> D2(选民确认):::process
    D2 --> D3(投诉处理):::process

该流程图清晰地展示了法内尔变体方案从初始化到选票验证的整个过程，有助于理解方案的具体执行步骤。

优化建议

尽管法内尔变体方案在安全性和可验证性方面有了很大改进，但仍有一些可以优化的地方：
- ID 管理优化 ：可以进一步研究更安全、更便捷的 ID 编码方式，确保 ID 既难以记忆又易于比较。例如，可以采用加密算法对 ID 进行加密处理，只有在验证阶段通过特定的解密方式才能获取真实的 ID。
- 投票参数调整 ：根据不同的选举规模和安全需求，动态调整初始票数 x 和收据上打印的 ID 数量 l。可以通过建立数学模型，分析不同参数组合对选民可验证性和隐私性的影响，从而选择最优的参数。
- 攻击防范强化 ：针对链式投票和替换无收据选票等攻击方式，可以增加更多的防范措施。例如，可以引入生物识别技术，如指纹识别或面部识别，确保选民身份的真实性，防止他人冒用选票。

未来展望

随着信息技术的不断发展，投票系统的安全性和可验证性将面临更多的挑战和机遇。未来的投票系统可能会结合区块链技术、人工智能等新兴技术，进一步提高投票的安全性、透明度和效率。

区块链技术具有去中心化、不可篡改的特点，可以用于记录投票信息，确保投票数据的完整性和真实性。人工智能技术可以用于分析投票数据，检测异常投票行为，及时发现潜在的攻击。

总之，法内尔变体方案为可验证投票系统提供了一个有价值的参考，但在实际应用中还需要不断地改进和完善，以适应不断变化的安全需求和技术环境。通过持续的研究和创新，我们有望开发出更加安全、可靠、高效的投票系统，保障民主选举的公平性和公正性。