44、提升远程投票安全性：CodeVoting方案解析

提升远程投票安全性：CodeVoting方案解析

1. 远程投票安全问题与现有解决方案概述

远程投票系统的安全至关重要，尤其是要防止投票在客户端和服务器端被操纵。目前已经有多种方法被提出用于解决不可靠投票客户端平台的问题，下面为你详细介绍这些方法。

方法	具体内容	优点	缺点
干净的操作系统和投票应用	使用带有“干净”且经过认证的操作系统和投票应用的CD - ROM，选民从该CD - ROM启动计算机以访问投票应用	理论上可提供相对干净的投票环境	难以设计适用于所有计算机的CD - ROM，提供网络访问困难，需验证大量软件，难以确定CD - ROM是否足够干净
特殊安全的PC硬件	使用专用的软件封闭安全设备，通过USB端口连接到选民的计算机，负责显示选票、接收选民选择并执行加密操作	软件封闭，不易受恶意代码感染	硬件成本高，需完全信任制造商和分发过程，部分系统显示容量有限
封闭安全设备	使用软件封闭且具备网络功能的设备，如网络计算机、早期的手机和电子记事本等	可提供相对封闭的环境	现代设备可安装任意应用，易受恶意应用攻击，且易受网络基础设施攻击
安全的PC操作系统	使用由数字签名模块组成的安全PC操作系统，借助可信计算技术提供安全平台支持	可进行远程认证，确保选民使用正确的投票程序，保障I/O操作安全	认证过程繁琐，技术成熟度和破解机器撤销存在问题
代码表	秘密向选民发送代码表，将选民的选择映射到选票上的输入代码，选民使用代码表确定投票代码	选民自行加密投票，恶意软件无法访问代码表	难以保证代码的秘密生成和匿名分发，无法保证服务器端代码投票正确翻译
测试选票	客户端发送特殊测试选票，由选举当局办公室的软件进行检查	可检测恶意代码攻击，确定受影响机器位置、攻击时间和受影响选票数量	不能防止攻击，仅能在攻击发生后检测，且仅对投票生成后的攻击有效
模糊/复杂性	在选举前保密数字选票格式和投票软件，或在选举期间随机更改，增加攻击难度	提高攻击者成本	难以确定编写恶意软件的最短时间，仍易受网络钓鱼攻击
外部通道验证	建立与选举服务器的辅助通信通道，用于确认投票是否正确送达	可一定程度验证投票送达情况	对选民验证任务复杂，不能防止服务器端投票操纵，需选民具备两个独立通信通道，验证步骤不便

2. CodeVoting方案介绍

CodeVoting是一种旨在防止客户端投票操纵，同时允许使用加密投票协议保护服务器端选举完整性的解决方案。它结合了“特殊安全PC硬件”和“代码表”两种方法。

2.1 CodeVoting的组成部分

• 选民安全令牌（Voter Security Token，VST） ：这是一个无人工I/O功能的防篡改设备，用于在客户端执行加密投票协议并安全认证选民，例如通过数字签名。VST负责将投票代码转换为候选人ID，投票协议在VST内部运行以防止客户端投票操纵。VST应通过PIN保护，防止未经授权的访问。在初步注册阶段将VST分发给选民，且可在后续选举中重复使用。为提供安全的选民认证机制，需建立公钥基础设施（PKI），该PKI可仅用于选举目的，也可用于国家电子政务项目，一定程度上防止买票和胁迫行为。
• 代码卡（CodeCard） ：是一张纸质卡片，将每个候选人ID与投票代码关联起来。每个VST对应一张CodeCard，确保每个选民使用不同的投票代码。CodeCard由VST直接生成，可防止恶意计算机操纵投票。为确保代码不泄露，建议在地方当局办公室使用经过认证的CodeCard打印机（CodeCard generator interface，CCGI）打印CodeCard。CCGI由VST接口（如智能卡读卡器）、键盘（用于输入PIN解锁VST）和小型打印机组成，且应放置在类似传统纸质投票的私人 booth 内。

2.2 CodeVoting的投票流程

1. 表达投票意愿 ：选民使用CodeCard将候选人ID转换为投票代码。例如，在图3所示的选票和CodeCard示例中，选民若想投票给候选人D，只需输入WL764作为投票代码。
2. 代码转换 ：VST将投票代码转换为候选人ID。
3. 执行投票协议 ：使用加密投票协议进行投票，防止服务器端投票操纵。
4. 确认投票送达 ：当VST收到选举服务器的成功投票送达确认后，释放确认投票送达代码，向选民保证投票已成功送达。

graph LR
    A[选民表达投票意愿] --> B[代码转换]
    B --> C[执行投票协议]
    C --> D[确认投票送达]

3. CodeVoting的特点与注意事项

• 特点 ：CodeVoting本质上是一种投票系统的用户界面插件，可保护选民的选择不被操纵。每个选民的CodeCard不同，同一候选人对应不同的投票代码，只有选民和VST知道CodeCard上的代码，有效防止恶意投票应用更改选民的投票。
• 注意事项 ：
  • 不使用每个候选人不同的回复代码，因为代码表方法无法保证服务器端代码投票正确翻译，单一回复代码理论上足以检测伪造的成功投票送达，且可减少CodeCard上的信息打印量。
  • CodeVoting易受更改候选人和候选人ID对应关系的恶意应用攻击，这是由于VST缺乏安全输出。不过，可以采取一些措施防止选票修改，如在选举前一段时间公开选票、强制对候选人进行排序等。

综上所述，CodeVoting方案为远程投票的安全性提供了一种新的思路和解决方案，但在实际应用中仍需注意其存在的一些问题，并采取相应的措施加以防范。

提升远程投票安全性：CodeVoting方案解析

4. CodeVoting与现有方案对比分析

为了更清晰地了解CodeVoting的优势和劣势，我们将其与之前介绍的现有远程投票安全解决方案进行对比。

方案	防止客户端操纵	防止服务器端操纵	成本	易用性	安全性风险
干净的操作系统和投票应用	一般	一般	低（主要是CD制作成本）	低（需配置网络等）	难以保证CD干净
特殊安全的PC硬件	高	高	高（硬件成本）	一般（需连接设备）	依赖制造商和分发信任
封闭安全设备	一般	一般	中（设备成本）	高（设备易用）	现代设备易受攻击
安全的PC操作系统	高	高	中（技术部署成本）	低（认证过程复杂）	技术成熟度和撤销问题
代码表	高	低	低（代码表制作成本）	一般（需使用代码表）	代码生成和翻译问题
测试选票	无	无	低（测试选票成本）	低（需额外操作）	仅能检测攻击
模糊/复杂性	一般	一般	低（软件保密成本）	低（技术复杂）	易受网络钓鱼攻击
外部通道验证	无	低	中（额外通信成本）	低（验证任务复杂）	不能防止服务器端操纵
CodeVoting	高	高	中（VST和CodeCard成本）	高（操作相对简单）	易受选票修改攻击

从对比中可以看出，CodeVoting在防止客户端和服务器端操纵方面表现较好，成本适中，易用性较高，但也存在一定的安全性风险，如易受选票修改攻击。

5. CodeVoting的应用场景和潜在问题

5.1 应用场景

• 大规模选举 ：在大规模选举中，CodeVoting可以通过VST和CodeCard的方式，确保每个选民的投票安全，同时使用加密投票协议保护服务器端的选举结果。
• 远程投票 ：对于需要远程投票的情况，如选民因特殊原因无法到现场投票，CodeVoting可以提供一种安全可靠的投票方式。

5.2 潜在问题

• VST分发问题 ：VST的分发需要确保安全和准确，否则可能会导致选民无法正常投票或投票信息泄露。
• CodeCard打印问题 ：CodeCard的打印需要在安全的环境下进行，否则可能会导致代码泄露，影响投票的安全性。
• 技术兼容性问题 ：CodeVoting需要与现有的选举系统和网络环境兼容，否则可能会出现投票失败或信息传输错误的问题。

6. 总结与展望

CodeVoting作为一种新型的远程投票安全解决方案，结合了特殊安全PC硬件和代码表的优点，在防止客户端和服务器端投票操纵方面具有一定的优势。它通过VST和CodeCard的方式，为选民提供了一种安全、便捷的投票方式。

然而，CodeVoting也存在一些潜在的问题，如VST分发、CodeCard打印和技术兼容性等问题。在实际应用中，需要采取相应的措施来解决这些问题，确保CodeVoting的安全性和可靠性。

未来，随着技术的不断发展，远程投票的安全性将得到进一步提升。CodeVoting可以作为一个基础，不断进行优化和改进，例如结合更先进的加密技术、生物识别技术等，提高投票的安全性和易用性。同时，也需要加强对远程投票系统的监管和管理，确保选举的公平、公正和公开。

graph LR
    A[CodeVoting应用场景] --> B[大规模选举]
    A --> C[远程投票]
    D[CodeVoting潜在问题] --> E[VST分发问题]
    D --> F[CodeCard打印问题]
    D --> G[技术兼容性问题]
    H[CodeVoting未来发展] --> I[结合先进技术优化]
    H --> J[加强监管管理]

总之，CodeVoting为远程投票的安全性提供了一种新的思路和解决方案，虽然存在一些挑战，但通过不断的改进和完善，有望在未来的选举中发挥重要作用。