Startseite » Gedankenraum » 2010 » August » Relative Anonymität in LQFB … Ideen zur Technik
Gedankenraum und SSL/Sicherheitswarnungen

Aug

11

Relative Anonymität in LQFB … Ideen zur Technik

11. August 2010 - 11:29 | Neuen Kommentar schreiben

In der Piratenpartei läuft gerade eine große Diskussion über Liquid Feedback (LQFB) – ein Tool zur parteiinternen Umsetzung von Liquid Democracy. Ein Teil dieser Diskussion bezieht sich auf die Frage, ob die Teilnahme an LQFB auch anonym möglich sein soll oder nicht.

Ich persönlich bin der Ansicht, dass eine anonyme Teilnahme möglich sein muss. Anonym ist natürlich bei einem technischen System nur relativ zu verstehen – absolute Anonymität gibt es technisch sowieso nicht. (Siehe auch hier).

Warum ich dieser Überzeugung bin habe ich lang begründet (beispielsweise auf der Aktiven Maillingliste, zum Teil auch in meinem Antrag an den Bundesvorstand). Mehrfach wurde ich aber aufgefordert ein System zu entwerfen, in dem relative Anonymität umgesetzt werden könnte … Ich bin kein Experte, kein Kryptologe und meine Notizen dazu sind sicherlich verbesserungsfähig – aber ich will mir Mühe geben.

Voraussetzung für jede Form von Anonymität nach meinem Verständnis ist es, dass es zwei unterschiedliche Systeme gibt: Ein System, dass Benutzer zuordnen kann (Benutzersystem BS) und ein System, dass die Abstimmungen speichert und den Anwendern präsentiert (LQFB-System LQFB). Logisch ist dabei, dass es für die Systeme unterschiedliche Administratoren geben muss – und dass spätestens das "Benutzersystem" paranoid aufgebaut sein muss (mit Paranoid meine ich Paranoid, nicht nur "auf Sicherheit wurde ein bisschen Wert gelegt").

Das Benutzersystem speichert die zu Abstimmungsteilnahmen eines Benutzers die Benutzer-ID, die Abstimmungs-ID und die (gesalzene und irgendwie personenbezogen verschlüsselte) Stimmen-ID. Abstimmungs-ID ist dabei die ID der Abstimmung an sich, die Stimmen-ID kennzeichnet die einzelne Stimme. LQFB speichert eine Stimmen-ID, eine Abstimmungs-ID und das Abstimmungsergebnis. Weiterhin kann LQFB in einem Feld speichern, ob Anonym oder Offen abgestimmt wurde (gegebenenfalls steht die Benutzer-ID drin).

Bei einer Abstimmung fragt LQFB beim BS nach einer Stimmen-ID für den Benutzer nach. Dazu übergibt es dem BS die anonyme ID des Benutzers (beim Login zugewiesen) und die Abstimmungs-ID. BS kann einfach feststellen, ob der Benutzer bereits abgestimmt hat ohne die Stimme zuzuweisen (dann gibt es einen Fehler zurück) oder eine neue Stimmen-ID eintragen und dem LQFB mitteilen. LQFB speichert die Abstimmung dann mit dieser Stimmen-ID ab. (Eine asynchrone Verschlüsselung wäre natürlich möglich – BS müsste nur den Public-Key aufbewahren, der Benutzer hätte den Private-Key). Falls eine offene Abstimmung erwünscht ist, könnte BS noch die eigentliche Benutzer-ID zurückgeben.

Aus LQFB lassen sich also anonyme Stimmen nachträglich NICHT zuordnen (Traffic-Sniffer während einer Abstimmung sind eine andere Sache). Auf Wunsch des Benutzers wäre aber eine nachträgliche Zuordnung wieder möglich (die Stimmen sind verschlüsselt gespeichert, können also wieder entschlüsselt werden). Dies könnte beispielsweise relevant sein um bei einer Kandidatur Transparenz zu ermöglichen. Gleichzeitig könnten anonyme Stimmen anderweitig nicht einfach zugeordnet werden – selbst wenn man Zugriff auf die Datenbank hat – und eine Zuordnung wäre in jedem Fall absichtlich erfolgt (und illegal).

Und gleichzeitig würde LQFB offene Abstimmungen ermöglichen und es ließe sich eine Kontrolle einbauen, WER anonynm abstimmen darf. Ich sehe durchaus ein, dass Vorstandsmitglieder offen abstimmen sollen (Transparenz) und dass jemand der für eine Abstimmung Delegationen hält, offen abstimmen sollte (Transparenz und Nachvollziehbarkeit für die Delegierenden). Auch eine nachträgliche de-anonymisierung wäre möglich (mit Zustimmung des Benutzers).

Blog reactions

No reactions yet.
Tags:
»

  1. Heiend (nicht überprüft) on 11. August 2010 - 15:33

    Wir fordern Datenschutz, Privatsphäre, freie Meinungsäußerung und informelle Selbstbestimmung. Sollen wir diese Grundsätze einfach aufgeben, weil uns gerade nicht einfällt wie wir Liquid Democracy technisch hinbekommen können? Die Argumentation nach der jedes Parteimitglied Politiker ist und somit transparent sein muss, ist - so weit ich das erkennen kann - ein Hilfskonstrukt um den Widerspruch zwischen unseren Grunsätzen und den Möglichkeiten des Tools LiquidFeedback zu überbrücken.

    Wenn wir selber so handeln, dürfen wir anderen aber nicht vorwerfen, dass sie ihre Ideale billig verkaufen, für schnelle fragwürdige Erfolge.

     

    Gruß
    Heiko
    [heiend]

  2. Herr Bolle (nicht überprüft) on 11. August 2010 - 14:29

    wann kann dein system online gehen?

  3. NineBerry (nicht überprüft) on 11. August 2010 - 14:29

    Selbst wenn man deinen Vorschlag als vernünftig erachten würde, lässt sich dieser nicht kurzfristig umsetzen. Analyse, Implementation und Test würden mehrere Monate erfordern. Ich will ein LQFB System jetzt, zur Vorbereitung auf den BPT.

    Wenn in einem Jahr ein besseres System zur Verfügung steht, kann man immer noch wechseln.

  4. tirsales on 11. August 2010 - 14:32

    Als Testsystem ohne praktische Relevanz (wie auf dem BPT beschlossen) - ja gerne.

    Zur Vorbereitung eines BPT? Das ist mMn nicht akzeptabel (erstmal sieht der BPT-Beschluss das nicht vor und zum zweiten haben wir dann damit die faktische Pflicht zur Teilnahme an LQFB mit allen erwähnten Problemen in Bezug auf Meinungsfreiheit etc)

    Ich denke, wir sollten uns die Zeit nehmen die wir brauchen, um ein GUTES System zu bauen – LQFB ist einer der wichtigsten Schritte in der Parteientwicklung überhaupt. Warum ausgerechnet diesen überstürzen?

  5. Herr Bolle (nicht überprüft) on 11. August 2010 - 14:45

    schonmal ins protokoll des bpt2010.1 geschaut? es gibt zwei lgfb-beschlüsse. 1. einführen, 2. bpt2010.2 damit vorbereiten.

  6. NineBerry (nicht überprüft) on 11. August 2010 - 14:43

    "Vorbereitung" ist hier gemeint als "nutzbares Werkzeug". Es gibt keine Pflicht, daran teil zu nehmen. Man kann seine Meinung auch anderswo äußern. Man kann Anträge auch anderswo erarbeiten und dann einbringen.

    Bei der Vorbereitung des Landtagswahlprogramms in BaWü wurden unter folgende Werkzeuge eingesetzt:

    • Reallife-Treffen
    • Mumble
    • Pads
    • Mailinglisten

    Zumindestens zwei davon (eher drei) bieten keine Anonymität. Trotzdem hat sich keiner darüber aufgeregt. Bei LQFB ist eine Personenzuordnung nur mit hohem technischen Aufwand möglich, wenn der Betroffene nicht einwilligt. Das muss für ein paar Wochen unverbindliche Parteitagsvorbereitung als Standard ausreichen.

  7. tirsales on 11. August 2010 - 14:46

    Das bisherige Werkzeuge keine Anonymität bieten ist kein Argument darauf auch in Zukunft zu verzichten – und bis auf RL-Treffen lassen sich alle Systeme auch anonym nutzen (bei RL-Treffen wirds schwierig, aber gegebenenfalls fände man auch dafür eine Lösung).

    Und doch, wenn es zur Vorbereitung des BPT genutzt wird, wird es bald zur Pflicht werden. Reihenfolge der Anträge wird via LQFB bestimmt oder es werden nur Anträge aus LQFB angenommen oÄ.

  8. Herr Bolle (nicht überprüft) on 11. August 2010 - 14:57

    für stammtische ginge das hier http://www.google.de/images?q=guy fawkes maske nehm ich an?

  9. NineBerry (nicht überprüft) on 11. August 2010 - 14:23

    Du schreibst korrekterweise, dass es keine garantierte 100% Nachvollziehbarkeit und keine 100% Anonymität geben kann, dass man sich irgendwo in der Mitte treffen muss.

    Das stimmt. Die Bewertung der aktuellen Situation und deines Vorshlags sind aber nicht korrekt.

    Das aktuelle LQFB-System bietet keine Garantie, dass Manipulationen aufgedeckt werden, es bietet aber die Sicherheit, dass man im Zweifelsfalle einzelne Ergebnisse nachprüfen kann. Das aktuelle LQFB-System ist nicht 0% anonym. Es verwendet ein über mehrere Ebenen verdecktes Pseudonym. Durch die Möglichkeit, sein Nutzerkonto (nicht den in LQFB verwendeten Nickname) zu wechseln, kann das noch etwas verbessert werden.

    Dein vorgeschlagenes System ist genau 0% nachvollziehbar. Sobald Stimmen enthalten sind, deren Urheber nicht nachvollzuiehbar ist, kann das Ergebnis nicht mehr nachvollzogen werden. Ein Angreifer, der sich Zugriff zum LQFB System verschafft hat, könnte in deinem Beispiel ja z.B. jederzeit vom BS Stimmen-IDs anfordern und verwenden.

  10. tirsales on 11. August 2010 - 14:26

    Ein Angreifer der beim bisherigen LQFB-System Zugriff auf das System hat, kann ebenfalls problemlos Stimmen eintragen – und in beiden Fällen können die Betroffenen weiter untersuchen wie "sie abgestimmt haben".

    Und Pseudonyme bieten keine Anonymität. Kann man für jeden Eintrag ein neues Pseudonym wählen und nutzen diese Option genug Piraten, könnte darüber eine gewisse Anonymität erreicht werden – wenn man nicht delegiert und es keine Abstimmungshistorie gibt – nur haben wir dann im Grunde genommen wieder Einmal-Tokens.

  11. NineBerry (nicht überprüft) on 11. August 2010 - 14:15

    Das größte Problem hier ist, dass LQFB keine definierten Abstimmungen zu festen Zeitpunkten kennt.

    Aktionen wie Delegationen, Interesse anmelden, Anregungen einstellen und bewerten, all dies beeinflusst das Ergebnis.

    Selbst wenn man zu einem Thema keine Aktion durchführt, hat das Auswirkungen auf das Ergebnis. Ein Thema kann nein Quorum verfehlen, wenn es viele Interessenten im Themenbereich, aber keine Unterstützer des Themas gibt.

    Außerdem bietet LQFB die Möglichkeit, diese Einstellungen (inklusive der eigentlichen Abstimmung am Ende) jederzeit während aktiver Phasen eines Themas noch zu ändern.Das wäre gar nicht möglich, wenn man nicht festhalten würde, wer welche Einstellung hat.

  12. tirsales on 11. August 2010 - 14:23

    Auch in LQFB brauche ich irgendeine Möglichkeit der Zuordnung von Stimme und Antrag – und damit habe ich irgendeine Art von Abstimmungs-ID, egal ob es nun eine echte Abstimmung ist oder etwas Anderes.

    Und der Einzelne könnte seine Stimmen ja weiterhin einsehen – und damit auch ändern :)

  13. NineBerry (nicht überprüft) on 11. August 2010 - 14:27

    Das ist faktisch falsch. Wenn du im LQFB System nicht speicherst, von wem die Stimme stammt, kann selbst die Person ihre eigene Stimme nicht einsehen und damit auch nicht ändern. Wenn du es erlaubst, dass das BS auf Anfrage von LQFB mit Benutzer-ID und Abstimmungs-ID neue Stimmen erzeugt oder die aktuelle verrät, hast du genau 0 Sicherheit gewonnen.

    Außerdem nochmal: Schau dir bitte einmal die Datenbankstruktur in LQFB an. Vor allem, wie die Delegationen funktionieren. Es gibt keine "Abstimmungs-IDs", die du in deinem Modell brauchst.

  14. tirsales on 11. August 2010 - 14:30

    "Faktisch falsch" ist eine tolle Behauptung – nur ohne Beleg leider völlig wertlos aber sehr bewusst gewählt um zu diskreditieren. Schade.

    Wenn der Betreffende sein Passwort oder seinen Schlüssel übergeben muss um seine Stimme einlesen zu können, haben wir mehr Sicherheit alsbeim bisherigen System. Keine perfekte – aber besser als das bisherige System. Und das LQFB bisher keinerlei Anonymität vorsieht ist genau das Problem das gefixt werden muss - es ist kein Argument gegen eine Änderung.