Liquid Feedback mit Nachprüfbarkeit

Derzeit tobt innerhalb der Piratenpartei ein Streit darüber, wie man zukünftig mit dem Tool Liquid Feedback weitermachen will. Es herrscht (zumindest im Berliner Landesverband) Konsens darüber, dass man über das Tool langfristig Impulse an die Politiker in den BVVen und im AGH geben will. Nicht klar ist bisher jedoch, ob das mit dem derzeitigen Tool möglich ist.

Genauer gesagt ist derzeit nicht geklärt, ob man dies mit den derzeitig verwendeten Pseudonymen erlauben kann, oder ob man sich mit seinem bürgerlichen Namen online - und damit weltweit - zu sämtlichen politischen Themen outen muss, um überhaupt an der innerparteilichen Willensbildung teilhaben zu dürfen.
Von Pro-Klarnamen-Piraten wird dabei meist auf den überlangen Blogeintrag von @Loreena1968 verwiesen. Meine Antwort darauf: TL;DR.

Irgendwann wurde mir dieser Text einfach zu seicht, zu blauäugig, zu... unüberlegt. Kurz zusammengefasst: Man muss unbedingt mit bürgerlichem Namen auftreten, denn ansonsten kann "man" nicht nachvollziehen, ob eine Abstimmung korrekt abgelaufen ist. Dabei geht es explizit um die Punkte

  • zu erkennen, dass der Teilnehmer einer reale Person zuzuordnen ist
  • zu erkennen, dass der Teilnehmer nur einen Account besitzt
  • den Vorwurf von Manipulationen entkräften bzw. klären zu können.

Das Allheilmittel soll es nun sein, Klarnamen zu verwenden, die auf Akkreditierungs-/Vorstellungs-/Whatever-Treffen überprüft und (möglichst) publik gemacht werden. Alles was danach passiert oder passieren kann, wird leider nicht erklärt. Aus gutem Grund: Die Verwendug von Klarnamen, wie sie dort beschrieben wird, ist überhaupt keine Lösung für die angesprochenen Probleme.

Es wird immer gesagt, dass man mit Technik keine sozialen Probleme lösen könne. Hier wird im Umkehrweg versucht, ein technisches Problem mit einer sozialen Lösung zu beseitigen - ebenso erfolglos. Kleines Quiz:

Was passiert denn, wenn man eine "Akkreditierungsrunde" im kleinen Kreis machen muss? Wer garantiert, dass es legitim gewesen ist? Hier ist die Antwort: niemand!

Wer garantiert, dass keine nicht existierende Person eingeschmuggelt worden ist? Hier ist die Antwort: niemand!

Wer überprüft denn anhand der Aufzeichnungen zu allen gemachten "Akkreditierungsrunden", dass eine Abstimmung wirklich ohne Beanstandungen abgelaufen ist? Hier ist die Antwort: niemand!

Man kann diese Probleme nicht durch persönliches Kennen der Teilnehmer lösen. Selbst wenn man sämtliche Teilnehmer kennen würde, wer stellt dann sicher, dass wirklich diese Person abgestimmt hat und nicht irgendjemand den Abstimmungseintrag dieser real existierenden, akkreditierten Person einfach in die Abstimmungsdatenbank geschleust hat? Hier ist die Antwort: niemand!

Jetzt, wo wir hoffentlich verstanden haben, dass die Verwendung von Klarnamen überhaupt keinen Mehrwert für die Aussagekraft der übertragenen Bits & Bytes hat, möchte ich aufzeigen, wie eine Lösung aussehen könnte.

Fangen wir mit den nicht-technischen Basics an: Woher weiß man, dass eine Person stimmberechtigt ist? Durch die Mitgliederdatenbank. Das ist der zentrale Punkt. Wer dort drin steht (und ein Flag hat, dass sein Beitrag entrichtet wurde) darf auch wählen. Diese Rolle (stimmberechtigtes Mitglied) wird bei der Akkreditierung bei einer Versammlung mit einer realen Person verknüpft. Diese reale Person erhält dann die Abstimmunterlagen. Ob sie selber die Karten hebt und selber die Kreuzchen macht wird anschließend nie wieder geprüft.

Es wäre also sinnvoll, die Verwendung von Liquid Feedback ebenfalls an eine Akkreditierung zu koppeln. Die Frage ist leiglich: Wie sehen die Abstimmunterlagen aus? Bei Computern würde ein asymmetrisches Schlüsselpaar sinnvoll sein. Damit könnte dann der akkreditierte Pirat seine virtuellen Stimmzettel signieren, nachdem er sie ausgefüllt hat.

Diese Abstimmunterlagen sollten natürlich immer nur bis zum Ende des Jahres gültig sein - so könnte man nicht mehr gültige Stimmunterlagen automatisch aussieben. Abstimmkarten vom BPT 2010 sind in 2012 schließlich auch nicht mehr gültig.

Ich stelle mir das in etwa so vor: Jemand, der an Liquid Feedback teilnehmen will, generiert sich ein asymmetrisches Schlüsselpaar und geht damit zu einer Akkreditierungsveranstaltung. Auf dieser wird geprüft, ob die Person stimmberechtigtes Mitglied ist. Falls ja, wird der öffentliche Schlüssel dieses Piraten zertifiziert - von mindestens 2 Mitgliedern des entsprechenden Vorstandes.
Dieser zertifizierte Schlüssel wird im Liquid Feedback System hinterlegt. Gleichzeitig wird der Schlüssel auch noch auf einem weiteren System öffentlich zugänglich hinterlegt, auf den die Betreiber von Liquid Feedback keinen Zugriff haben. Und: in der Mitgliederdatenbank wird gespeichert, dass der entsprechende Pirat für das aktuelle Jahr einen Liquid Feedback Schlüssel akkreditiert hat.

Jetzt werde ich ein bisschen orthodox: Bei Abstimmungen ist es mir doch total egal, wieviele Accounts eine Person hat. Das einzige, was mich interessiert ist, dass jede natürliche Person bei einer Abstimmung nur eine Stimme abgeben kann. Genau das wird bei der Akkreditierung sichergestellt. Jemand, der bereits einen zertifizierten Schlüssel hat, darf keinen zweiten zertifizierten Schlüssel für das laufende Jahr erhalten. Hiermit wäre sogar möglich, Abstimmungen ohne Login durchzuführen. Der entsprechende Wähler benötigt einfach nur seine Stimmunterlagen (sein Schlüsselpaar).

Viel wichtiger als ein Account ist, dass die Menge der zugelassenen Schlüssel nicht manipuliert werden kann. Und deshalb ist es wichtig, das Abstimm-/Auswertungstool und die Liste der stimmberechtigten Nutzer (die zertifizierten, öffentlichen Schlüssel) strikt zu trennen. Man bezeichnet dies hinlänglich als Separation of Duties.

Der Vorstand, der sämtliche Schlüssel signieren muss, muss seinen öffentlichen Schlüssel selbstsigniert online stellen. Anschließend kann jeder prüfen, ob alle stimmberechtigten Schlüssel wirklich valide sind. Anhand dieser validen Schlüssel kann wiederum geprüft werden, ob die abgegebene Stimme von einem validen Schlüssel unterzeichnet wurde. Und damit kann sichergestellt werden, dass die Abstimmung nicht manipuliert worden ist.

Wenn man nun die eigentliche Akkreditierung anzweifelt: Man könnte festlegen, dass Akkreditierungen nur an bestimmten Tagen zu bestimmten Uhrzeiten erlaubt sind. Man könnte die Akkreditierung öffentlich machen. Heißt: man kann mitzählen, wieviele neue Schlüssel für den entsprechenden Tag auf dem Schlüsselserver erscheinen müssten. Die Überprüfung der Akkreditierung könnte man nochmal dadurch absichern, dass bei der Akkreditierung des Schlüssels der Hash des Schlüssels bekanntgegeben wird. Ein Akkreditierungsbeobachter könnte nach Veröffentlichung der neuen Schlüssel den Hash kontrollieren um sicherzugehen, dass der Schlüssel nicht zwischendurch ausgetauscht wurde.

Als Abschluss: Nur, weil man Klarnamen im Liquid Feedback hat, heißt das noch lange nicht, dass man die getätigten Stimmen nicht manipulieren kann. Hierfür müsste sichergestellt werden, dass niemand die Datenbasis manipulieren kann. Mit Signaturen wäre man hierzu in der Lage - mit Klarnamen nicht.
Flüssige Grüße, Kenny

2 Kommentare » Schreibe einen Kommentar

  1. Kein System verhindert Wahlbetrug einzelner Stimmen.

    Auf Parteitagen haben wir immer Dutzende "Gewinner", die ihre Wahlunterlagen verlieren / liegen lassen. Ein böser Mensch könnte einfach den Block eines anderen nehmen und dann zwei Wahlzettel einwerfen: da die Wahlzettel gefaltet sind, ist es recht einfach zwei ineinander zu schieben. Und wenn Du vor Akkreditierung im "kleinen Kreis" Angst hast, musst Du auch Angst vor Wahlhelfern an den Urnen haben, die bei ihren Freunden nicht so genau darauf achten, wie "dick" der Stimmzettel ist. Gleiches gilt für das Auszählen.

    Das fundamentale Problem von Wahlfälschern ist nicht das einschleusen einzelner Stimmen, sondern die Veränderung von Stimmen in einem relevanten Maß: Um die gesamte Entscheidung zu beeinflussen reicht es in der Regel nicht nur einzelne Stimmen zu fälschen. Solche Fälschungen fallen bei einer statistischen Überprüfung aber sehr schnell auf und dann kann man gezielt nachforschen; gerade bei Klarnamen kann dann Wahlbetrug schnell enttarnt werden. Um eine statistische Auffälligkeit zu vermeiden muss man entweder flächendeckend fälschen (was schon eine gehörige Verschwörung bräuchte) oder nur so wenig fälschen, dass man kaum davon ausgehen kann einen Vorteil davon zu haben.

    Ich persönlich bin eher ein Freund von Pseudonymisierung und digitalen Signaturen, aber es zeugt von Hybris und wenig technischem Verständnis zu glauben, dass man damit die Probleme lösen kann. Gefälschte Akkreditierungen werden damit unmöglich, sondern nur schwieriger aufzuklären, da man niemanden hat, den man direkt befragen könnte. Genauso kann man den Key einer unvorsichtigen Person erlangen (eben wie einen Stimmblock), nur dass die Person den Verlust nicht bemerken muss, wenn nur eine Kopie gemacht wurde. Kurz vor Ende einer Abstimmung, an der die Person nicht teilgenommen hat, kann man dann deren Stimme abgeben. Alle technischen Schutzmaßnahmen, die das aufdecken können (Mail an den Besitzer des Keys), sind auch bei Klarnamen möglich (teils sogar mehr).

    Schlussendlich ist Dein Vorschlag keinen weiteren Schlüssel für das laufende Jahr auszustellen, schlicht rechtlich nicht zulässig. Der Verlust eines privaten Schlüssels darf nicht mit dem Verlust des Stimmrechts einhergehen. Das mag zwar technisch die simpelste Lösung sein, wird Dir aber von jedem (Schieds-)gericht gestrichen.
    Daher muss es eine eindeutige Zuordnung von Person und Schlüssel geben, die man zwar datenschutztechnisch sauber etablieren kann (Clearing-Stelle), aber dennoch keine echte anonyme Abstimmung zulässt. Dadurch würde es aber möglich, den eigenen privaten Schlüssel auszutauschen, so dass man bei jeder Abstimmung einen anderen Schlüssel verwendet und das eigene Abstimmungsverhalten nicht so einfach von Dritten nachvollzogen werden kann. Außerdem kann man bei Verlust oder Missbrauch (jemand anderes hat den eigenen Schlüssel durch einen neuen ersetzt) durch persönliches Erscheinen bei der Akkreditierungsstelle einen Schlüssel durch einen neuen ersetzen lassen.

    Es gibt kein wirklich anonymes, digitales Abstimmungsverfahren. Man kann durch Clearingstellen aber Missbrauch stark erschweren. Signaturen bieten gegenüber Klarnamen keinerlei Vorteil im Bezug auf Verhinderung von Wahlbetrug; das Gegenteil ist der Fall, weil einfacher potentielle Opfer / Sockenpuppen ausfindig gemacht werden können. Alle Maßnahmen zur Sicherung, dass eine natürliche Person nur ein gültiges Zertifikat hat, kann man auch auf Klarnamen-Accounts anwenden. Zertifikate bieten lediglich Schutz gegen direkte Manipulationen des Abstimmungssystems und sind daher sinnvoll. Man kann sie aber auch zusammen mit Klarnamen verwenden; Pseudonymität ist keine Voraussetzung dieser Technik!

    • Vielen Dank, dass du auf einen inzwischen 2 Jahre alten Artikel antwortest zu einer Partei, in der ich kein Mitglied mehr bin. Es mag stimmen, dass das gezeigte keine perfekte Lösung ist, sie ist jedoch allemal gehaltvoller als "Klarnamen regeln das schon." - mehr sollte mit dem Artikel gar nicht aufgezeigt werden.

Schreibe einen Kommentar

Um Ihnen beim weiteren Kommentieren auf dieser Webseite die erneute Eingabe Ihrer Daten zu ersparen, wird beim Absenden Ihres Kommentars ein Cookie an Ihren Browser gesendet und von diesem gespeichert. Mit dem Absenden eines Kommentars auf dieser Webseite stimmen Sie der Speicherung und Übertragung dieses Cookies explizit zu.

Pflichtfelder sind mit * markiert.