（计算机系统结构专业论文）电子评标系统的研究和实现.pdf

摘要 在工程监理领域，工程项目在开工前需要通过招投标的形式，从投标单 位中选择较优的施工单位。本文讨论了利用计算机网络技术进行评标的问题， 并特别考虑了防止收买评标人，或评标人出卖选票的问题。 电子选举通过对网络技术和密码学技术的综合应用，特别是公钥密码体 制、数字签名、零知识证明和安全多方计算等密码学技术模拟普通选举的完 备性、匿名性、保密性和公正性等要求。在传统的电子选举协议中，1 9 9 4 年 由f u j i o k a 、o k a m o t o 和o h t a 提出的f 0 0 方案是一种实用的并适用于大规模 选举的方案。目前有许多实验性的基于f 0 0 方案的电子投票系统，其中，著 名的有m i t 的e - v o x 系统、w a s h i n g t o nu n i 的s e n s u s 系统等。但这些投票 系统存在着管理机构的权利过大，使管理组织在理论上有进行舞弊的可能性， 从而存在一定的安全漏洞；并且在选举过程中一些中间结果的泄露使投票者 能够出卖选票等问题。 上海交通大学的i n j u s 系统是基于一个改进的电子选举协议。该协议是在 利用同态函数的k j 电子选举协议的基础上，通过重新构造主函数，从而增 加了防止出卖选票的性质并提高了对管理机构进行监督和限制的能力。 在单选项i n j u s 原型的基础上，本文设计了一个多选项的投票( 评标) 系统，从而使该系统能适用于从n 个候选人中评选出k ( 1 后) 个优胜者 的场合，同时又保持了i n j u s 原型的安全特性，即防止出卖选票的性质。通 过专家组成员来源的多样和人数的增加，都可以提高评标的公正性。同时， 如果竞标单位想买通专家组成员的难度和成本也相应的增加了。 关键字：电子评标系统，电子选举协议，电子投票系统，出卖选票问题，多 方计算，零知识证明 a b s t r a c t a tt h eb e g i n n i n go fe n g i n e e r i n g ，i ts h o u l db et h r o u g hp u b l i cb i d d i n gt os e l e c ta b e t t e rc o n s t r u c t i o nc o m p a n y i nt h i sp a p e r , w ed i s c u s sh o wt oc h o o s et h ew i n n e r w i t ht h et e c h n o l o g yo fc o m p u t e rn e t w o r k s w ea l s om e n t i o nt h ei s s u eo fb u y i n g a n ds e l l i n gv o t e 、 e l e c t r o n i cv o t i n gi sb yt h ei n t e g r a t i o no fn e t w o r k i n ga n dc r y p t o g r a p h yt e c h n o l o g y , e s p e c i a l l yt h el a t t e r , w h i c hi n v o l v e sp k i ，d i g i t a ls i g n a t u r e ，z e r ok n o w l e d g ep r o o f a n ds e c u r i t ym u l t i p a r t yc o m p u t a t i o n ，t os i m u l a t en o r m a le l e c t i o na n dt oa c h i e v e i n t e g r i t y , a n o n y m i t y , s e c u r i t ya n de q u i t y i nt h et r a d i t i o n a le l e c t r o n i cv o t i n g p r o t o c o l s ，f o e ( p r o p o s e db yf u j i o k a ，o k a m o t oa n d o h t ai n1 9 9 4 ) i sa na p p l i c a b l e s c h e m et h a tf i t sf o rl a r g es c a l ev o t i n g n o w , t h e r ea r es e v e r a ls y s t e m sb a s e do n f 0 0 a m o n gt h e m , e v e x ( d e v e l o p e db ym i t ) a n ds e n s u s ( d e v e l o p e db y w a s h i n g t o nu n i ) i s w e l lk n o w n b u ti nt h e s es y s t e m s ，t h ea d m i n i s t r a t i o n o r g a n i z a t i o n sh a v et o om u c hp o w e ls ot h e ya r ea b l et op r a c t i s ef r a u dt h e o r e t i c a ll y a n dt h e r ea r es o m es e c u r i t yl e a k s t h ee x p o s u r eo fm i d d l er e s u l t si no ft h ev o t i n g p r o c e s sl e tv o t e r sb ea b l et os e l lt h e i rv o t e t h ei n j u ss y s t e m ，w h i c hd e v e l o p e db ys j t u ，i sb a s e do na ni m p r o v e de l e c t r o n i c v o t i n gp r o t o c 0 1 t h ep r o t o c o li sr a i s e df r o mk j p r o t o c o lt h a tu s e so fp a r t i a l l y c o m p a t i b l eh o m o m o r p h i s m b yr e b u i l d i n gt h em a i nf u n c t i o n ，i tp r o v i d e st h e f e a t u r eo fp r e v e n t i n gs e l l i n gv o t ea n di m p r o v et h ea b i l i t yo fs u p e r v i s i o nt h e a d m i n i s t r a t i o no r g a n i z a t i o n s b a s e do ni n j u ss y s t e m ，t h ep r o t o t y p ew h i c hi so n eo p t i o ns t y l e ，w ed e s i g nam u l t i o p t i o nv o t i n g ( t e n d e re v a l u a t i n g ) s y s t e mw h i c hc a ns e l e c tk ( 1 k n ) w i n n e r s f r o mnc a n d i d a t e s a ts a m et i m e ，t h es y s t e mk e e p st h es e c u r i t yf e a t u r et h a tc a n p r e v e n ts e l l i n gv o t e w i t ht h ed i v e r s i t ya n dk e e p st h es e c u r i t yf e a t u r et h a tc a n p r e v e n ts e l li n gv o t e w i t ht h ed i v e r s i t ya n dm a n i f o l do f t h ee x p e r t s ，i tc a ne n h a n c e t h ee q u i t y i fa n y o n ew a n tt ob u yv o t e s ，t h ed i f f i c u l t ya n dc o s ti si m p r o v e d k e y w o r d s ：e - t e n d e re v a l u a t i n gs y s t e m , e - e l e c t i o np r o t o c o l ，e - v o t i n gs y s t e m ， s e l l i n gv o t em u l t i p a r t yc o m p u t a t i o n , z e r ok n o w l e d g ep r o o f 附件四 上海交通大学 学位论文原创性声明 本人郑重声噢：所呈交的学位论文，是本人在导师的指导下， 独立进行研究工作所取鼐的成果。除文中已经注明弓l 用的内容外，本 论文不包含任何其他个人或集体己经发表或撰写过的作品成果。对本 文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。 本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：。 扣 日期：缈年夕周；。日 附件五 上海交通大学 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定， 同意学校保留并向国家有关部门或机构送交论文的复印件和电子版， 允许论文被查阅和借阅。本人授权上海交通大学可以将本学位论文的 全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫 描等复制手段保存和汇编本学位论文。 保密嘶在上年解密后适用本授权书。 本学位论文属于 不保密口。 ( 请在以上方框内打“4 ”) 学位论文作者签名： 执v 日期：m 年7 月尹e t 州翼 尸缸月 躲敝叫 教 k 副 期 指 日 第一章序言 第一章序言 密码作为一种技术源远流长，可以追溯到远古时代，而且还有过辉煌的历 史。而密码学成为一门学科则是近三十几年的事，是受到计算机科学蓬勃发 展的推动的结果。 现代密码学形成一门新的学科是在二十世纪七十年代，它的理论基础之一 是1 9 4 9 年c e s h a n n o n 的一篇文章保密通信的信息理论，这篇文章在发表 三十年之后才显示出它的价值。1 9 7 6 年w d i f f i e 与m e h e l l m a n 发表了密 码学的新方向【l 】，这两篇重要论文和1 9 7 7 年美国公布实施的“数据加密 标准 ( d e s ) ，标志着保密学的理论与技术的划时代的革命性变革。 这主要体现在以下几个方面： 第一，传统的密码体制的主要功能是信息的保密，而公钥密码体制的出 现，不但赋予了通信的保密性，而且还提供了消息的可认证性，提供了信息 的完整性。 第二，这种公钥密码体制无需事先交换秘密钥就可通过不安全信道安全 地传递信息，大大简化了密钥分配的工作量。公钥密码体制和d e s 适应了通 信网的需要，为保密学技术应用于商业领域开辟了广阔的天地。 第三，公钥密码体制的出现和d e s 的设计充分体现了s h a n n o n 信息保密 理论所阐述的设计密码的思想，使密码的分析和设计提高到新的水平。 第四，保密学涉及到数学学科( 诸如数论、抽象代数、复杂性理论、组 合算法、概率算法等) 、信息论、计算机科学与微电子学等广泛的科学领域。 而自从1 9 5 6 年第一个计算机网络建立以来，网络技术得到了极其迅速的 发展。尤其是近年来因特网和移动通信技术的发展，使人们的生活方式和工 作方式发生了巨大的变化，可以说正在步入一个崭新的信息社会。 1 1 电子评标系统 在工程监理领域，在每个工程开始之前需要经过一个选择较优的施工单 位的过程。也就是通过招投标的形式，由候选的施工单位提交施工计划书等 第一章序言 资料，而建设方则邀请若干专家组成评委会对候选单位进行评审，并选出相 对较佳的优胜者。 在目前的操作中，由于评委会的专家需要到现场进行评审，所以每次参 与的专家的数量就受到限制。这一方面使评审的结果产生一定的片面性，另 一方面也易于各候选单位进行贿选，收买评委的选票。 以下，本文将介绍作者参考现有的安全电子选举协议，并基于上海交大 的i n j u s 系统原型 2 2 开发一个电子评标( 投票) 系统。 1 2 安全电子投票简介 1 8 6 9 年t h o m a se d i s o n 就发明了一个“电子投票装置”，并在美国申请了 专利，但该装置并不成功，没有入愿意购买该装置。一个世纪之后，由于现 代密码学的飞速发展，电子选举也有了长足的进展。 电子选举协议是对密码学领域内多种密码学知识的一种综合性的应用，通 常涉及到数论等数学基础、基本的密码学算法、数字签名、匿名信道、零知 识证明、安全多方计算等密码学知识。 上个世纪八十年代以后，出现了许多各具特点的电子选举协议和选举方 案，但这些传统方案的实用性不强，特别是不适应大型选举。之后，在1 9 9 2 年，由a f u j i o k a 、t o k a m o t o 和k o h t a 提出了一个实用的适合大规模选举 的方案 2 ，电子选举取得了突破性的进展，并在一些领域得到了一些实际的 应用，其中，著名的有m i t 的e - v o x 系统 1 0 1 i 、 w a s h i n g t o nu n i 的s e n s u s 系统 1 2 。 经过实践，一般认为，作为一个电子选举系统应能够防止欺骗又能保护 个人隐私，所以需要满足下列基本性质： 1 、投票的合法性，即只有经授权的投票者才能投票 2 、计票的完整性，即所有的有效投票都能被正确计入 3 、投票过程的可靠性，即不诚实的投票者不会破坏整个投票 4 、投票的匿名性，即没有人能把投票内容和投票人联系起来 5 、投票的保密性，即每个投票者的投票内容不会被除本人以外的任何人 或组织机构得知 6 、选票的有效性，即每张选票的内容都是有效的，符合选举中约定的选 票规则 第一章序言 7 、不可冒充性，即每张选票都不会被任何人复制 8 、不可重复性，即投票人不能重复投票 9 、可证实性，即任何人都不能伪造选举结果，选举的结果可以被证实和 监督 第二章相关的密码学基础 2 1 概述 第二章相关的密码学基础 电子选举协议涉及到许多密码学的基本原理和知识，包括： 单向函数及陷门单向函数 加密算法( 对称加密、非对称( 公开密钥) 加密) 散列函数 数字签名 计算不可区分性 伪随机数 零知识证明 安全的多方计算 这些原理和知识或单独或组合在一起，从而实现我们希望的电子选举协议 所要达到的各种特性。 2 2 公开密钥密码体制 2 2 1 公开密钥( 公钥) 密码 加密算法有两类：秘密密钥( 对称) 算法和公开密钥( 非对称) 算法。在 对称算法中，加密和解密的密钥相同，因此，需要用对称加密算法进行保密 通信的双方必需事先交换密钥。在公钥加密算法中，加密和解密密钥不同。 加密密钥( 公钥) 是公开的，解密的私钥则秘密保存。所以，对称加密算法 要求确保密钥的安全性，而公开密钥算法在安全性方面的要求则弱得多。 对称加密算法的历史非常悠久，而公开密钥算法的概念由d i f f i e 和 h e l l m a n 于1 9 7 6 年在密码学的新方向中首次提出。他们设想：若a 有一 加密密钥k a 不同于解密密钥乜，可将加密密钥如公开，如保密( 要求乜的 公开不至于影响的安全) 。若b 要向a 保密发送明文m ，可用彳的公开密 第二章相关的密码学基础 钥耽加密，得密文 c = ek 沏) a 收到c 后，可以用保密的解密密钥如对c 进行解密 m = d k ，( c ) 任何第三者如果截获密文c ，由于无法从公开的加密密钥岛推出解密密钥 ，所以无法恢复明文。 2 2 2r s a 公钥密码 在d i f f i e 和h e l l m a n 提出公钥的设想后r i v e s t 、s h a m i r 和a d l e m a n 联合 提出r s a 公钥密码系统。r s a 的基础是数论理论，它的安全性依赖于大数的 因数分解的困难性。 r s a 加密算法的过程是： l 、取两个素数p 和q ( 保密) 。 2 、计算舻御( 公开) ，咖= ( p 1 ) ( 哥1 ) ( 保密) 3 、随机选取整数e ，满足g c d ( e ，咖( 刀) ) = l ( 公开) 4 、计算d ，满足d e - - - - - k m o d 咖( 门) ) ( 保密) 利用r s a 加密首先要将明文数字化，并取长度小于l o g z n 位的数字作明 文块。 加密算法：c = 以所) = m 8 沏o d 力 解密算法：o ( c 声以m o d n ) 若刀被分解成功，则r s a 便被攻破。但还不能证明对r s a 的攻击，其难 度和因数分解疗相当，也没有比因数分解更好的攻击方法。 2 3 数字签名 数字签名是以电子形式签名一个消息的方法。 一个签名体制一般含有两个组成部分，即签字算法和验证算法。对m 的 签字可简记为s i g ( m ) = s ，而对s 的证实简记为您，( 曲= 真，伪) 。签字算法或 签字密钥是保密的，只有签名者掌握；证实算法则是公开的，以便于其他人 进行验证。 一个签名体制可由量( m ，s ，k ，y ) 组成。其中m 是明文空间，s 是签 第二章相关的密码学基础 名的集合，足是密钥空间，矿是证实函数的值域，由真伪组成。 对于每一个后k ，有一签名算法 s = s i g k ( m ) s 和一验证算法 v e r k ( s , m ) = 真，伪 它们对于每_ m m ，有签名s i g k ( m ) s ( 为朋- s 的映射) 。聊，s 对易 于验证s 是否为m 的签名 i ，真 当s - - s i 甙m ) v e r t ( s , 历产t 伪当咧m ) 体制的安全性在于，从m 和其签名s 难以推出k 或伪造一个m ，使m 和s 可被证实为真。 2 3 1r s a 签名体制 r s a 算法也可以用于签名。 l 、体制参数 令，硼，p 和q 是大素数，令m = s = 乙， 选e 并计算d 使e d = l ( m o d 咖) ) ，公开疗和p ，将p ，q 和d 保密。肛( ， p ，q e d 、) - 2 、签名过程 对消息m 乙，定义 s = s i g “m ) = m d 伽o d 功 为对所的签名。 3 、验证过程 对给定的m 、s ，可按下式验证： v e r k ( s , m ) - - 真m = s 岔( m o d n ) 4 、安全性 只有签名者知道d 。由r s a 体制可知，其他人不能伪造签名，但易于验 证所给m 、s 对是否构成合法的消息一签名对。 r s a 体制的安全性依赖于，巧阳分解的困难性。 实际运用中，是对消息的散列函数娥历) 进行签名。如果不用散列函数， 第二章相关的密码学基础 那么两个签名的乘积是消息乘积的签名，而且攻击者可以选择s ，计算 m = s e ( m o d n ) ，从丽伪造签名。 2 3 ，2e i g a m a l 签名体制 e i g a m a l 签名体制由t e i g a m a l 在1 9 8 5 年给出。方案的安全性基于求离 散对数的透难性。它是一种非确定性的双钥体制，即对同一明文消息，由于 随机参数选择不同而有不同的签名。 l 、体制参数 p ：一个大素数，可使易中求解离散对数为困难问题 g ：是昂中乘群乙的一个生成元或本原元素 肱消息空间，为乙 s ：签名空阅，为万啄l x ：用户秘密钥x 乙 岁惑( 脚d 力 密钥：胎( p ，g ，x ，y ) ，其中p ，g ，y 为公钥，x 为秘密钥。 2 、签名过程 给定消息m ，发端用户进行下述工作： ( 1 ) 选择秘密随机数露惑军 ( 2 ) 计算：斌脚) 吲劬o d p ) s = ( h ( m ) - x r ) k 1 ( m o aq , - 1 ) ) ( 3 ) 将s i g 矮m ，玲等母i i 曲作为签名，将m ，pi i 曲送给对方 3 、验证过程 收信人收到船、驴l i 曲，先计算蹦( 坍) ，并按下式验证： v e r k ( h ( m ) ，垆真铮拦掰) ( m o d p ) 因为兰旷矿兰一附哟沏耐p ) ，及( r x + s k ) = - l t ( m ) ( r o o d 1 ) ) 放有 9 p 量窖) ( m o d p ) 在此方案中，出于随机数k 豹不同，对同一消息掰会有不同的签名值。 4 、安全性 e i g a m a l 签名体制的安全性是基于离教对数问题。如果离散对数阀题被解 第= 章相关的密码学基础 决，就可以伪造签名。许多签名标准是e i g a m a l 签名体制的变形。 2 4 散列函数 散列醋数是将任意长的数字串m 映射成一个固定长度的= 进制数字串的 函数。 散列通数应易于计算。密码学中的散列滋数还应难予计算求逆，即至少满 足至少满足下列条件之一： 单向特性：给定o ，找到满足触：垮的x 是困难的。 弱无碰撞特性：给定x ，找到满足# ( x ) - - n ( x ) 的x 缸是计算上困难的。 强无碰撞特性：找到满足和霸姆) 和茗缸的消息x 和x 楚计算上 困难的 显然，强无碰撞散列函数是单向散列番数，也是弱无碰撞散列蘧数。在本 文中，弱无碰撞散列函数能够满足威用的安全性要求。 散列函数的坚固性因不月的安全性需求丽不同。能抗击生匿攻击的数列番 数值至少为1 2 8 位，而1 6 0 位的散列函数具有更好的安全性。 现有的密码散列函数有： 基于分组密码的散列函数。如基于i d e a 的t a n d e md m 方案 专门设计的散列函数。如m d 5 、s h a 、r i p e m d 。1 6 0 散列函数的应用十分广泛。 2 5 零知识证明 在某些场合，有人需要向别人证明他知道某个秘密，又不能泄露这个秘密。 有一种方法是以一种有效的数学方法，使验证者v 可以检验每一步成立，最 终确信涯明者p 知道其秘密，丽又能保证不泄露证明者所知道的信息，这就 是零知识证明问题。这类问题分成两大类，即最小泄褥证明和零知识证明。 最小泄露证明满足下述条件： ( 1 ) p 几乎不可能欺骗n 若p 知道证明，则可使矿几乎确信p 知道证 唆；若尹不知道，则能使矿耜信饱知道证明的概率近于零。 ( 2 ) v 几乎不可能得到证明的信息，特别是他不可能向其他人出示此证 晓 2 - 5 第二章相关的密码学基础 零知识证明除满足以上两点条粹，还需满足： ( 3 ) v 从j p 得不到任何有关证明的知识。 以下奔绍一些实现零知识证舞所涉及韵漆题 2 ，5 。i 不可区分性 不可区分牲在零知谖证明系统定义中有耋要的作用。羹果没有有效的算法 可以区分两个随机变量u 和n 则称u 和矿是不可区分的，记为班儿由于 对任意魏察者，不可区分麴两个随枧变量斡分布是穗阕蘸，所以不可区分也 称为计算相等。两个相等的随机变量必定是不可区分的。不可区分和相等关 系具有一些相同韵性质，如下所示： 弧以肛w 岭弘w 对任何可计算的函数五知y 炒炎砩妖硌 由于验证者在零知识证明协议中获得的信息和验证者自己能够产生的信 息可以是完全不可区分、统计不可送分或计算不霹区分的，零知识也有不餍 的定义。最常见的定义是指两组信息是计算不可区分的。 2 5 2 比特承诺 g o l d r e i c h 等证瞬了只要存在承诺方案，对任何n p - 语言都存在( 黑盒) 零知识证明。因此尽管比特承诺本身的实际用途不大，但作为密码学协议的 原语有着非常重要的意义。比特承诺可分失承诺阶段耱打开阶段，在承诺阶 段承诺者向接收者发送一对未来事件的预测( 承诺) ，但不揭示该预测，在打 开除段承诺者揭示预测显接收者接受揭示值( 预测值) 。 比特承诺方案宥以下特性； 统诗性隐藏的。翔暴在承诺阶段( 打开阶段翦 ，接收者得到鹋关于被 承诺比特x s 0 ，1 ) 的信息矿为i ( x l ”2 1 ，其中口 o ，n 为安全参 数 艿一约束的，对o 用羹解密翔密选票并嫠改相应列袭熬蠹容。 详情可参见【1 8 】。 3 4 2 安全性分析 从上面介绍的投票协议流程可以看出，s e n s u s 系统虽然基于f o o 方案， 但是，并没有照搬f 0 0 方案的选举协议，丽是从不周角度在f 0 0 方案的基 础上进行相应煎变形。与f 0 0 方案更多的考虑选举中间结果的不被泄露不同， 它更多的考虑到投票人通过因特网完成投票的繁简问题，从而将f 0 0 方案中 投票需要投票人与计票视构进行两次对话边为一次对话完成，但同时丧失了 选举中间结果不被泄露的安全特性。 同时，s e n s u s 协议仍然过分依赖验证撬鞫( v a l i d a t o r ) 囊计票孛心( t a l l i e r ) 之类的管理机构，使得管理机构可以肆意破坏选举结果和进程。如验证机构 ( v a l i d a t o r ) 可以利焉巍雀票数进行作弊行为，因为计票中心( 隧l i 锻 是以 它的签铉作为选票的合法性依据的。这种作弊行为盟然可以通过选举结果结 柬螽蒋r v l 孛的投票人签名数叠与r v l 串酌合法选票鼗冒进行琵较就能瓣别 第三章电予选举协议和投票系统 出来，但是这种做法有两大缺陷： 1 、选举最终的正确结果很难恢复，因为没有全体已投票人的共网参与， 是无法分辨r v l 中的选票哪些是验证机构( v a l i d a t o r ) 投的，哪些是投票人 投的 2 、验涯机构( v a l i d a t o r ) 可以采取懿下的作弊稽为避开上述的审计行茭； 在选举即将结束时，验证机构( v a l i d a t o r ) 接收某些投裂人的签名请求， 健以系统繁忙寒选举瑟将结束蠹理凌不绘这些天以响应。同时却冒充这些投 票人进行投票。这样r v l 中的投票人签名数目与r v l 中的龠法选票数目将会 一样，两上述翡投票夫也不能证麓自己款泰投票。 3 5e v o x 电子投票系统 e 。v o x 系统是瘗m i t 辫发靛电子投票系统，它也是建立在f 0 0 方案熬基 础上，比较充分的考虑到投票人隐私和系统安全的流行的选举系统志一。并 显m i t 在系统建立敬来，一直进行惹续酌改进和开发，e v o x 系统发展到现 在，可以说是目前的电子投票系统中比较完备和实用的系统。 以下是对e v o x 系统的简单介绍窝相应的安全性分析。 3 5 圭协议流程 e v o x 协议的基本框架如下图所示。 第三章电予选举协议和投票系统 c o u n t e r 颦! 鎏鬻霪鬻囊 越，僦，；：撼 v o t e r1 v o t e r2v o t e r1 1 图3 - 1e - v o x 协议流程图 3 1 0 第三章电予选举协议和投票系统 它可以分解成六个过程：准备阶段，验证过程，消盲，匿名化，收集选 票，计票。 1 、准备阶段 投票者( v o t e r ) 向管理者( a d m i n i s t r a t o r ) 请求一张选票 管理者决定投票者可以针对哪些问题投票，并返回一张签名的问 题得副本，嚣l 签名的选票 投票者填写选票，承诺选票，盲化承诺，对结果进行签名，最后 把签名的盲讫承诺看返回给管理者。 2 、验证过程 管理者检查投票者是否煮权投票，如果否，剃拒绝 管理者检查投票者是否已经投过票，如果是，则拒绝 管理者检查投票者签名的选票，如果签名有效，刘还礼者对选票 进行签名，并返回给投票者 3 、消富 投票者对选票消盲，检查管理者的签名是否有效，如果否，投票 者向协议委员( c o m m i s s i o n e r ) 投诉 4 、匿名化 投票者构造一条消息，内容包括消盲后的带有管理者千米功能的 选票、选票内容和承诺密钥，并用计票中心( c o u n t e r ) 的公钥签 名后通过安全通道提交给匿名中心( a n o n y m i z e r ) 匿名中心保存所有的选票 匿名巾心对所有的选票进行随机排序以防止时间攻击。由于递交 给计票中心的选票与递交顺序不同，即使计票中心的日志有所有 递交记录，它也无法知道原始顺序 5 、收集选票 投票结束后，计票中心保存所有的选票 对每一张选票，执行以下操作 计票中心检查古那里者是否签名，如果否，则向协议委员投诉， 选票俸废 计票中心通过附带的承诺密钥验证选票的承诺，如果否，则向协 议委受投诉，选票作废 第三章电予选举协议和投票系统 验证管理者签名是否有效，如暴无效，则向协议委员投诉，选票 乍废 计票中心检查承诺是唯一的，如采两张选票的承诺相同，燹l j 认为 它们是同一张选票，只计入一张 6 、计票 通过上个阶段后，使用公开的承诺统计选票 统计完所有的选票后，计票中心公布选举结果和它们收到的所有 选票。这样任何部门都可以验证选举结果 3 5 2 安垒性分析 e v o x 系统是在f o o 协议基础上建立起来的。f o o 协议提供了定安全 性，但这只是麸理论上可证甓，实际上著不霹行。比如，为了保持安全，f o o 要求所有的投票者都必须确保自己被统计了，虽然他本人并不想投票。e v o x 系统剽放松了这方瑟懿要求，投票者投票鹾，健也就没有其她的任务了。当 然，这也同样造成了其他些安全漏洞，比如选票复制、管理机构利用空白 选票舞弊等等。 第四章i n u s 电乎投票系统 第四章i n j u s 电子投票系统 4 + 1 改进的电子选举协议 4 。1 1 概述 k j 协议是一个比较好的利用多方计算的投票协议，【2 2 对其进行了研究， 发现其药了达到选票过程静选举结果靛普遍验证性，协议孛的墨曲被公布在 公告栏上，这样做能使选举结果受到广泛的监督，但同时也造成了协议无法 控制拓扑票者出卖选票。比如一个投票者想出卖自己的选票x l + x 2 ，他完全可 以把自己的选票内容弼、局告诉收买者，收买者可以和计票中心一样通过查 看公告栏来确定投票者的投票，从耨验证投票者的投票肉容。 参照可变色的模糊点来防止出卖选票。如同可变色的模糊点既可以用l 打开也可以用0 打开一样，如果一张选票既可以被涯锯是赞同票，又可以被 证明是反对票。这样，收买选票者就无法验证投票者的选票内容，从而可以 在一定程度上防止收买选票的问题。 以下介绍协议内容。 4 1 2 主函数的重新构造 重新构造的主函数f 如下： 只仪力 其中，为随机选取的随机数，x 必投票者分割后的子选票。 e 为一组满足部分兼容同态属性的函数。也即是它满足在群磊上， 羁玲最( 玢，当x y e z q ；并且我们要求对所有的搿，下面两个分布 是在计算上不可区分的： l 、簖，联功，其中x y 是在磊中独立选取的 2 、( 一，历) ) ，其中x 是在磊中独立选取的 第四章i n j u s 电予投票系统 下圈是k j 协议中蜀和重新构造的圭函数属，) 的对院。圈唾- l 中左 图是原k j 协议中的主函数模型，右图是重新构造的主函数豹模型 其币： 儿投票者 妊管理中心 船艘：被分割的选票的两个予秘密 露? l 鬯：管理中心产生的选票生成医子 刀，黝：两个不同的计票中心 图4 - 1 两个主函数的对比圈 可以着出，原有韵协议中，投票者拥有可证明的所有秘密。所谓可证明 髂秘密，是指在授票的过程中，如果一个投票者的秘密被篱理中心签过名， 或者这个秘密的加密形式被公布，那么投票者就有足够的证据向别人证明自 己的秘密究竟是什么。丽当一个投票者拥有可证明的所有的秘密时，饨就可 以向别收买者出卖自己的选票了。而在重新构造的主函数的模型中，一张选 票的秘密被分成因份，其中有两个秘密是癌管理中心产生酶。在协议流程中， 还可以番到由于这两个管理中心产生的选票生成因子的存在，使得投票者不 焉拥有研涯暖酶选票子秘密。燕时，还可以看出，只有在两个计票中心雏纛 挖合谋的情况下，选票的真正内容才会暴露。所以，在实际应用中，还需要 采取措施防止计票中心的枣运合谋。 第四鬻n j u s 电予投票系统 设x 为函数届的输入，x 为函数输入的具体值。为构造蜀 选取 素数霹喃妒l ，其中q 也是素数， a 产鍪与，霸是随机选取的群磊的生成元 那么，定义鳓= g i 对于这样的组蜀，如果不计算离散对数的话，即使给定层l ( 规) 和 筋娩 ，我翻也无法褥翔关于x i + x 2 懿任侮傣怠。因就，这样的一缓菇是满 足前面我们所说的两条性质的一组部分兼容的同态函数，它的安全性是建立 在离散对数阎题上酶。 但是，但选取p l 和p 2 时，必须使p l = ：p 2 ，因为如果p l = p 2 并且茯2 = a l 2 ，通 过计算e l ( x i + x 2 ) t = e 1 ( x 1 ) 2 锡，蠖霹戬褥知x i + x 2 的值 为了使主函数的选票空间足够大，要求p 足够大，根据的层选取方法， 霹戳采燕m i h e r - r a b i n 概率测试法寻找这样酌大素数。 4 。1 。3 协议静主要信息流程 下图为此投票协议的整体示意图： 第四章i n j u s 电子投票系统 营建中心 计票中, b l jl 矿 、- t 一 邕 目 f v 邑 幽 1 o 黠) ，公告板 ；爹 垃 箩 计票中, b 2 图4 - 2 协议流程 第四鬻i n j u 8 电子投票系统 4 。2i n j u s 电予投票系统 i n j u s 电子投票系统是建立在上面重新的协议之上的一个剩用多方计算的 安全电子投票系统，它的主要特点是在满足电子投票系统的一般安全特性的 基础上同时能够对管理机构进行一定的监督，并且能够防止投票者出卖选票。 4 2 。1i n j u s 系统的基本框架 i n j u s 系统的五大基本任务是： 登记( r e g i s t r a t i o n ) ：生成合法投票入的数据列表 验证( v a l i d a t i o n ) ：验证投票人的合法性、正确性与一次投票性，如成 功，刘签发选票 投票( v o t i n g ) ：投票者产生有效选票 计票( t a l l y i n g ) ：验证选票弼表魏选票醮唯一性秘合法性，并统计结果 公告( b u l l e t i n ) ：公告投票过程的中间结果，使计票中心的行为能够得 到普遍豹验涯 i n j u s 系统有豳丈基本模块：管理中心模块负责登记和验证，计票串心模 块负责计票，公告板模块实现公告的功能，投票者模块是投票人进行登记、 投票的代理。 第四章i n j u s 电子投票系统 图锚i r d u s 系统的模块组成 投票者模块 投票者模块作为投票人工作的代理，提供了可读的选举问题界面；它一 方面与管理中心通信，一方面用来搜集投票入对选举问题的响应，代表投票 入利益对相应数据进行加密处理并产生选票，同时公布自己用部分兼容同态 飚数加密过的两个被分割的子选票，并利用零知识证明向公告板证明自己的 两个子选票是一张有效的选票。投票者还将选票用和管理中心之间的会话密 钥加密，向管理中心申请签名。在得到管理中心对选票的签名后，投票者