19、可审计隐私：论防篡改混洗网络

可审计隐私：论防篡改混洗网络

在当今数字化时代，电子投票等应用越来越广泛，其在提高投票效率、保证计票精准度等方面具有显著优势。然而，隐私保护问题一直是电子投票面临的重大挑战。本文将探讨如何确保同步混洗网络的公共可验证隐私，以应对电子选举等场景中的隐私泄露风险。

1. 背景与动机

电子投票在多个国家进行试验，其主要政治目标是通过简化投票流程提高选民投票率，同时在计票精度、速度和隐私保证方面也有很大优势。但保证这些特性并在遭受攻击时维持安全性并非易事，尤其是隐私保护。在电子投票和手动投票中，与具体现象相关的安全属性（如计票正确性）比与抽象现象相关的属性（如隐私）更容易保证。计票虽然耗时且主观，但本质上易于审计，可以通过多种方式重复计票来确保每张选票只被计算一次。然而，目前还没有类似的审计过程来验证隐私是否得到维护。

隐私保护失败在选票买卖的社会背景和恶意代码的技术背景下尤为严重，这使得向电子选举的过渡充满了大规模滥用的风险。研究表明，隐蔽通道可用于故意且不易察觉地向合作者泄露秘密信息，恶意代码也被用于窥探选民。虽然公开代码审计可以在一定程度上解决这些问题，但并非万能之策，因为很难确定审计的代码是否就是实际加载和部署的代码。

2. 研究目标与场景设定

我们研究如何确保同步混洗网络的公共可验证隐私，直接应用于电子选举。考虑一个对手，在初始设置阶段之外，对手可以完全控制混洗网络中的所有服务器。在设置阶段，服务器不受对手控制，可以建立和交换密钥，对手在设置阶段完成后才获得对服务器的控制权。这种设定模拟了典型的恶意软件攻击，以及软件开发人员编写的软件在初始测试证明其正确性后“切换行为”到恶意模式的攻击。

我们假设存在观察者，其唯一