Wahlcomputer: die FAQ als Lackmustest für Bullshit

Propaganda, Security, Wahlcomputer, Wahrnehmung, , , , ,

Woran erkenne ich, wie gründlich jemand nachgedacht hat? Nun, im Netz bietet sich die jeweilige FAQ an, die Liste häufig gestellter Fragen. In der Blütezeit des Usenet und der Mailinglisten, in den 80er und 90er Jahren des letzten Jahrhunderts also, handelte es tatsächlich noch um häufig gestellte Fragen. Heute ist daraus ein Stilmittel für Online-Texte geworden und es handelt sich in aller Regel um antizipierte Fragen. Das ist gut, denn eine so entstandene FAQ gibt uns tiefen Einblick in die Gedankenwelt ihrer Autoren. Man kann sie als Lackmustest für das Problemverständnis und die Komplexität einer Lösung verwenden. Das haben wir bereits früher festgestellt. Interessanter als die Antworten sind dabei die Fragen selbst, vor allem auch die nicht gestellten.

Wahlverfahren sind ein Gebiet, auf dem so ein Lackmustest gut funktioniert. Nötig ist er: leider fühlen sich Ingenieure und Informatiker von aktuellen Themen angespornt, mal schnell ein paar Lösungsansätze zu skizzieren. Die sind dann oft nicht zu Ende gedacht; heraus kommen Kindereien wie das Bingo Voting des E.I.S.S. der Uni Karlsruhe. Als wissenschaftliche Fingerübung ist so etwas gewiss akzeptabel, aber der Öffentlichkeit präsentiert man es bereits als Lösung, für welches Problem auch immer. Sogar eine eigene Domain hat man schon reserviert, als wolle man bald eine Firma gründen und ein Produkt daraus machen. Der Heise-Ticker berichtete, und im Forum dazu stehen bereits allerlei kluge Kommentare. Wie gesagt, Diskussion und Untersuchung sind vollkommen legitim, man muss die Sache nur richtig einordnen.

Außenstehenden hilft beim Einordnen die FAQ. Sie ist recht kurz, gerade mal fünf Fragen:

  • Wieso heißt das Wahlverfahren Bingo Voting?
  • Wieso sollte man einem Zufallszahlengenerator vertrauen?
  • Welche Sicherheitseigenschaften bietet Bingo Voting?
  • Wie funktioniert das Verfahren?
  • Welche anderen verifizierbaren Wahlverfahren gibt es? Worin liegt der Unterschied zu Bingo Voting?

Interessanter als die Antworten (und die Voraussetzungen für deren Verständnis: kann mir jemand erklären, was ein Bingokäfig ist?) sind die Fragen, die fehlen. Über die Bedeutung sorgfältig analysierter Anforderungen habe ich ebenfalls bereits früher geschrieben; Anforderungsanalyse aber bedeutet gerade, Fragen zu stellen. Nicht irgendwelche, sondern die richtigen, und möglichst alle.

Welche Fragen also fehlen hier? Nun, das sind zum einen sehr konkrete Fragen zu den Anforderungen, zum anderen aber auch Sinnfragen. Wer sich auch nur oberflächlich mit den Anforderungen an ein Wahlverfahren beschäftigt, der wird zum Beispiel fragen:

  • Wie robust ist das Verfahren? Wie einfach oder wie schwer ist es, den Ablauf zu behindern, das Ergebnis ungültig zu machen oder Zweifel zu säen? Welche Fehler können ohne böswillige Manipulation auftreten? Welche Auswirkungen hätte ein entdeckter oder vermuteter Angriff unabhängig davon, ob er praktikabel ist?
  • Wie kann der korrekte Ablauf beobachtet werden? Welche Mittel und Kenntnisse brauchen Beobachter? Wieviele Beobachter braucht man? Wie gut funktioniert die unvollständige (zeitweise, nur an einzelnen Orten) Beobachtung, welche Informationen liefert sie, mit welcher Wahrscheinlichkeit deckt sie welche Manipulationen auf? Wie ließe sich die Beobachtung unterdrücken oder behindern?
  • Welche Angriffsmöglichkeiten hätten Insider?
  • Welche offenen und verdeckten Annahmen über die Realität (Einsatzumgebung, Nutzerverhalten usw.) liegen dem Entwurf zugrunde? Was geschieht, wenn eine dieser Annahmen verletzt ist?
  • Bleibt das Verfahren praktikabel, wenn man alle wichtigen Elemente so implementiert, dass auch Laien die Arbeitsweise nachvollziehen können? Das heißt wenn man zum Beispiel als Zufallsgenerator tatsächlich eine Lottomaschine oder diesem ominösen Bingokäfig nimmt?

Weniger bedeutsam für die Wissenschaft, aber auf dem Weg in den Alltag irgendwann zu stellen ist die Sinnfrage. Auch sie lässt sich zerlegen:

  • Welchen Anlass gibt es für die Entwicklung? Wenn’s ein Experiment ist, das nur dem Erkenntnisgewinn dient, darf man das auch so sagen.
  • Welche realen Probleme will man lösen, welche nicht?
  • Welche Eigenschaften herkömmlicher Verfahren (herkömmlicher Verfahren, nicht anderer windiger Experimente!) möchte man beibehalten, welche loswerden?
  • Wo genau liegen die Unterschiede zu herkömmlichen Verfahren? Herkömmlichen Verfahren, nicht anderen windigen Experimenten!
  • Was kostet der Spaß und warum will man ihn trotzdem?
  • Welche gewichtigen Gründe sprechen für die Computerisierung? Warum ist man damit besser dran, nachdem man alle Probleme gelöst hat, die man ohne Computer gar nicht hätte?

Mag sein, dass die Antworten auf diese Fragen unangenehm sind. Stellen muss man sie aber gerade deshalb und noch schlimmer als bewusste Unterdrückung des Unangenehmen wäre Ignoranz, der Verzicht darauf, über solche Fragen überhaupt nachzudenken. Deshalb funktioniert der FAQ-Lackmustest auch hier. Ab in die Tonne mit dem Bingo Voting. Als wissenschaftliches Experiment taugt es nämlich auch nicht, wenn das Problem so schlampig und beliebig formuliert ist.

Ich kannwill nicht glauben, dass sich über solche Anforderungen noch niemand Gedanken gemacht hat. Kennt unter den Leserinnen und Lesernn jemand Artikel oder Bücher, die man den Leuten kommentarlos um die Ohren hauen könnte?

Spätes Update (2008-10-27): Fefe hat aus gegebenem Anlass einen längeren Text zum Thema.

5 Kommentare zu „Wahlcomputer: die FAQ als Lackmustest für Bullshit

  1. Es ist natuerlich recht einfach, einen einzigen Anhaltspunkt als Diskussionsinhalt zu benutzen, um ein Thema zu zerreissen. Damit offenbarst du dich allerdings lediglich als Noergler, nicht als tiefsichtig.

    Die FAQ ist ein Mittel der Oeffentlichkeitsarbeit. Wenn dir die FAQ zu duenn ist, kannst du die FAQ und die Oeffentlichkeitsarbeit kritisieren, aber wenn du einen Teil der Oeffentlichkeitsarbeit auf das dahinterstehende Verfahren uebertraegst, offenbarst du deine Ahnungslosigkeit, was im wissenschaftlichen Betrieb los ist. Deine Verallgemeinerung ist kuenstlich und armselig.

    Du betaetigst dich hier journalismusaehnlich als Blogger, aber es ist dir zu viel, ein ganz klein wenig zu recherchieren und vielleicht mal mit einem der Verantwortlichen Kontakt aufzunehmen, um genau deine Fragen zu stellen, die du ja durchaus ausgezeichnet formuliert hast. Aber stattdessen mutmasst du, dass Du der erste Mensch bist, der Gedanken hat und bringst hier Dinge in Verruf, ueber die Du dich lediglich aus den Medien informiert hast.

  2. Vielen Dank für die Kritik. In der Tat halte ich sehr viel von mir und meinen Gedanken und mache mir mit dieser Haltung nicht unbedingt Freunde. Mit Journalismus hat das allerdings nichts zu tun das ist eine bloße Zuschreibung. 1:1 würde ich sagen und einen Toast auf Schopenhauer ausbringen. Zum Journalisten tauge ich nicht, dafür streite ich viel zu gern.

    Was im Elfenbeinturmwissenschaftlichen Betrieb los ist, interessiert mich für die meisten praktischen Belange nicht die Bohne. Gerade Informatiker und ihre Verwandten leiden dort am Fehlen natürlicher Phänomene, die sich untersuchen ließen. Statt dessen stellt man sich gern künstliche Probleme oder künstliche Varianten echter Probleme und versucht sie mit großem Brimborium zu lösen. Wie ich bereits schrieb, halte ich das innerhalb der Wissenschaft für vollkommen legitim. Schwierigkeiten habe ich nur zuweilen mit der Übertragung der so gewonnenen Konzepte in die reale Welt, denn da kann es schon mal zehn Jahre dauern, die Folgen falscher Anforderungsanalysen auszubügeln und wieder vernünftig zu werden.

    Außerdem verdiene ich mein Geld mit Sicherheitsanalysen und -tests, also genau damit, Fehler, Lücken, Auslassungen und Schwächen aufzuspüren. Im vorliegenden Fall habe ich in der Tat lediglich ein Symptom beschrieben und auf weitere Untersuchungen verzichtet. Das gebe ich aber auch gern zu, denn wer alles und jeden bis zum Beweis des Gegenteils ernst nimmt, öffnet sich weit für Denial-of-Service-Angriffe. Das will ich nicht. Lieber riskiere ich ein Fehlurteil (was allerdings jetzt ausdrücklich kein Eingeständnis sein soll), das sich notfalls ja später im Streit korrigieren ließe. Vorher will ich allerdings überzeugt werden, und das Werfen mit Sandförmchen überzeugt mich nicht.

  3. Die Frage, die sich mir stellt ist nicht ob du falsch urteilst, sondern warum du ueberhaupt ueber Dinge urteilst, die du dir offensichtlich nicht hinreichend betrachtet hast um sie zu beurteilen.

    Schick doch deine Liste mit wirklich guten Fragen an die Macher von dem Ding. Anhand der Reaktion wirst du mit unwesentlich mehr Aufwand erheblich viel besser urteilen koennen als du es bisher getan hast.

  4. Warum eigentlich die gereizte Reaktion? Gibt es hier etwa eine unausgesprochene Glaubensfrage? Wenn ja, welche? Oder warum sonst entzündet sich die Kritik anscheinend allein an meinem Verhalten und nicht am Inhalt? Das hier ist mein Blog (na ja, nicht ganz), da kann ich pöbeln solange es meine Co-Blogger zulassen.

    Auch auf die Gefahr hin, mich zu wiederholen: wissenschaftlich halte ich es für völlig legitim, mit vernebelnden Abstraktionen an künstlichen Problemen zu arbeiten und Scheinlösungen für Scheinprobleme zu entwickeln. Die Fähigkeit, in hypothetischen Systemen zu denken und zu argumentieren gehört zu den Grundtugenden des Wissenschaftlers.

    Was dabei herauskommt, ist aber in der Praxis selten zu gebrauchen, eben weil das zugrunde gelegte Axiomensystem wichtige Aspekte der Realität ignoriert. Ich habe versucht, das anhand der FAQ zu erläutern, weil ich hier auch für normale Menschen schreibe. Ich kann mein Problem oder einen Teil davon aber auch am Paper der Entwickler erläutern. Hier zum Beispiel (Hervorhebung von mir):

    »The security properties listed above are achieved relative to very realistic assumptions:

      * a non interactive commitment scheme with some homomorphic properties is needed, e.g., Pedersen commitments [Ped91]. If general zero-knowledge protocols are used in the post-voting phase, then these homomorphic properties are not needed. Furthermore, if one is willing to use check samples instead
    of giving proofs then even physical commitments, e.g., using strong boxes, become possible.
      * A trusted random number generator is needed.
      * If a voter should not only be able to detect cheating attempts, but also to prove an electoral fraud, then the printed receipts should be difficult to forge.«

    Wenn du irgend etwas davon in einfachen Worten meiner Mutti oder auch nur meinem Co-Blogger Oliver erklären kannst, dann kann daraus vielleicht ein Wahlverfahren werden. Wenn nicht, dann bleibt es besser ein Gedankenspiel. Es gegenüber der Öffentlichkit nicht klar als solches zu kennzeichnen, halte ich für nicht besonders verantwortungsvoll.

    Für meine Sicht spricht der Friedhof der untauglichen Internet-Bezahlverfahren aus der Dot.com-Ära. Die kamen auch alle aus den ElfenbeintürmenLabors der Kryptographen, übersetzten die komplizierte Realität in einfach klingende Konzepte wie Nichtabstreitbarkeit und Anonymität und sind heute allesamt: Geschichte. Was spricht dagegen?

    Bei den Bezahlverfahren hat es zum Glück der Markt geregelt, die sind alle von allein gestorben. Wird das auch geschehen, wenn sich Politiker und Beamte in die Idee der Maschinenwahl verlieben, was sie bereits fleißig versuchen? Oder bekommen wir irgendwann per EU-Richtlinie Bingo Voting verordnet, und opfern unsere Demokratie unserer verbreiteten Unfähigkeit, »general zero-knowledge protocols« abzuwickeln?

Die Kommentarfunktion ist geschlossen.