Abstract Veri(cid:12)able Secret-Ballot Elections Josh Daniel Cohen Benaloh Yale University 1996 Privacy in secret-ballot elections has traditionally been attained by using a ballot box or voting booth to disassociate voters from ballots. Although such a system might achieve privacy, there is often little con(cid:12)dence in the accuracy of the announced tally. This thesis describes a practical scheme for conducting secret-ballot elections in which the outcome of an election is veri(cid:12)able by all participants and even by non-participating observers. All communications are public, yet under a suitable number-theoretic assumption, the privacy of votes remains intact. The tools developed here to conduct such elections have additional indepen- dent applications. Cryptographic capsules allow a prover to convince veri(cid:12)ers that either statement A or statement B is true without revealing substantial in- formation as to which. Secret sharing homomorphisms enable computation on shared (secret) data and give a method of distributing shares of a secret such that each shareholder can verify the validity of all shares. Veri(cid:12)able Secret-Ballot Elections A Dissertation Presented to the Faculty of the Graduate School of Yale University in Candidacy for the Degree of Doctor of Philosophy by Josh Daniel Cohen Benaloh December 1996 (cid:13)c Copyright by Josh Daniel Cohen Benaloh 1988 ALL RIGHTS RESERVED to my wife Laurie in the spirit of Benaloh Acknowledgements I owe a great many debts to people who have given me generous help with much of this work. My advisor, Mike Fischer, has had the often quite di(cid:14)cult task of teaching me the discipline required to do work in theoretical computer science. He has used his marvelous intuition to channel my e(cid:11)orts away from the many dead ends which I would have happily spent months, if not years, exploring. Mike has also taught me the importance of the hard work that, although unpleasant, is necessary to make clever ideas into worthwhile results. Sha(cid:12) Goldwasserand Neil Immerman served as my other o(cid:14)cialreaders. Neil read my work with tremendous patience and care. He has more than once given his time and talents to help me over trouble spots, and his great enthusiasm has often added enjoyment to what would otherwise be the dullest of tasks. Sha(cid:12) has shown great interest in my work from its earliest forms. She has contributed much to the (cid:12)eld, and my work simply would not have been possible without the fundamental achievements of which she is one of the leading pioneers. There are many others to whom I am indebted. Silvio Micali has been enthu- siastic about my ideas in the many conversations we have had, and this work is built upon many of the important ideas which he has contributed. Oded Goldre- ich has been very supportive of my work, and he added a key insight which led to one ofthe majorapplications. DanaAngluin has awonderfully vast knowledge of theoretical computer science which she has always shared generously along with her keen perspective of the (cid:12)eld and of life in general. Lenny Pitt and Gregory Sullivan served as beacons to show that there is indeed life after Yale. Dave Greenberg, Ruben Michel, and David Wittenberg have always been willing to listen to my ideas, add their own, and generally make life as a graduate student far more pleasant. Among the others who have been of great help to me are Gilles Brassard, Don Coppersmith, Claude Cr(cid:19)epeau, Paul Feldman, Joe Kilian, Jerry Leichter, Moti Yung, and many more to whom I now apologize for having omitted. Mostofall, I want to express my deepest gratitudeto my wife Laurie. Besides herconstantsupportandherassumptionofmanychoreswhichI neglectedduring the more intensive periods of this work, she took the time to carefully read the (cid:12)rst draft of this thesis. She found typographical errors, suggested clari(cid:12)cations, v and simpli(cid:12)ed proofs. Her drudge work enabled my other readers to receive a far more polished product, and if I'd incorporated more of her recommendations when they were made, I would have had fewer complaints about later versions from my other readers. vi Contents 1 Introduction and Overview 1 2 The Election Encryption Function and its Properties 5 2.1 Probabilistic Encryption : : : : : : : : : : : : : : : : : : : : : : : 6 2.2 Higher Residues : : : : : : : : : : : : : : : : : : : : : : : : : : : : 7 2.3 Residue Classes : : : : : : : : : : : : : : : : : : : : : : : : : : : : 8 2.4 The Consonance Property : : : : : : : : : : : : : : : : : : : : : : 11 2.4.1 Characterizations of Consonance : : : : : : : : : : : : : : 12 2.4.2 Prime Consonance : : : : : : : : : : : : : : : : : : : : : : 16 2.4.3 Perfect Consonance : : : : : : : : : : : : : : : : : : : : : : 17 2.5 Deciding Residue Classes : : : : : : : : : : : : : : : : : : : : : : : 19 2.6 Evaluations and Decompositions : : : : : : : : : : : : : : : : : : : 22 2.7 The Election Encryption Function E : : : : : : : : : : : : : : : : 25 2.8 The Prime Residuosity Assumption : : : : : : : : : : : : : : : : : 27 2.9 Elementary Elections : : : : : : : : : : : : : : : : : : : : : : : : : 32 3 Interactive Proofs and the use of Cryptographic Capsules 35 3.1 Some Interactive Proofs : : : : : : : : : : : : : : : : : : : : : : : 36 r 3.1.1 An Interactive Proof that z 2 Z : : : : : : : : : : : : : : 37 n 3.1.2 An Interactive Proof that w 2 RC[c] : : : : : : : : : : : : : 40 3.1.3 An Interactive Proof that [[w1]] = [[w2]] : : : : : : : : : : : 40 3.1.4 An Interactive Proof that (r;n;y) is consonant : : : : : : : 41 3.2 Cryptographic Capsules : : : : : : : : : : : : : : : : : : : : : : : 44 3.3 Capsules and Residues : : : : : : : : : : : : : : : : : : : : : : : : 44 r 3.3.1 An Interactive Proof that y 2= Zn : : : : : : : : : : : : : : 45 3.3.2 An Interactive Proof of Prime Consonance : : : : : : : : : 48 vii 3.3.3 Result-indistinguishable Residuosity : : : : : : : : : : : : : 48 3.3.4 Graph Non-isomorphism : : : : : : : : : : : : : : : : : : : 49 3.3.5 Boolean Circuit Satis(cid:12)ability : : : : : : : : : : : : : : : : : 49 3.4 Basic Elections : : : : : : : : : : : : : : : : : : : : : : : : : : : : 52 4 Secret Sharing Homomorphisms 57 4.1 Threshold Schemes : : : : : : : : : : : : : : : : : : : : : : : : : : 57 4.2 The Homomorphism Property : : : : : : : : : : : : : : : : : : : : 60 4.3 Composite Security : : : : : : : : : : : : : : : : : : : : : : : : : : 61 4.4 Some Examples : : : : : : : : : : : : : : : : : : : : : : : : : : : : 64 4.5 Veri(cid:12)able Secret Sharing : : : : : : : : : : : : : : : : : : : : : : : 65 5 Secret-Ballot Elections 69 5.1 Overview of Secret-Ballot Elections : : : : : : : : : : : : : : : : : 69 5.2 Related Work : : : : : : : : : : : : : : : : : : : : : : : : : : : : : 71 5.3 Election De(cid:12)nitions : : : : : : : : : : : : : : : : : : : : : : : : : : 72 5.3.1 Veri(cid:12)able Elections : : : : : : : : : : : : : : : : : : : : : : 72 5.3.2 Public Voting : : : : : : : : : : : : : : : : : : : : : : : : : 74 5.3.3 Privacy : : : : : : : : : : : : : : : : : : : : : : : : : : : : 74 5.4 An Election Paradigm : : : : : : : : : : : : : : : : : : : : : : : : 75 5.5 Votes and Ballots : : : : : : : : : : : : : : : : : : : : : : : : : : : 77 5.5.1 Votes : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : 78 5.5.2 Decompositions of Votes : : : : : : : : : : : : : : : : : : : 81 5.5.3 Ballots : : : : : : : : : : : : : : : : : : : : : : : : : : : : : 82 5.6 A Veri(cid:12)able Secret-Ballot Election Schema : : : : : : : : : : : : : 83 5.7 The function check : : : : : : : : : : : : : : : : : : : : : : : : : : 84 5.7.1 checkI : : : : : : : : : : : : : : : : : : : : : : : : : : : : : 87 5.7.2 checkV : : : : : : : : : : : : : : : : : : : : : : : : : : : : : 87 5.7.3 checkT : : : : : : : : : : : : : : : : : : : : : : : : : : : : : 88 5.7.4 check : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : 88 5.8 Time and Space Requirements : : : : : : : : : : : : : : : : : : : : 89 5.8.1 Time Requirements : : : : : : : : : : : : : : : : : : : : : : 89 5.8.2 Space Requirements : : : : : : : : : : : : : : : : : : : : : 92 5.9 Correctness : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : 93 5.10 Security : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : 96 viii 5.10.1 An Overview of the Reduction : : : : : : : : : : : : : : : : 96 5.10.2 Simulating Elections : : : : : : : : : : : : : : : : : : : : : 97 5.10.3 The Symmetry Condition : : : : : : : : : : : : : : : : : : 104 5.10.4 The Formal Reduction : : : : : : : : : : : : : : : : : : : : 105 5.11 Usage and Optimizations : : : : : : : : : : : : : : : : : : : : : : : 108 5.11.1 Parallelization : : : : : : : : : : : : : : : : : : : : : : : : : 108 5.11.2 Asynchrony : : : : : : : : : : : : : : : : : : : : : : : : : : 108 5.11.3 Other Streamlining : : : : : : : : : : : : : : : : : : : : : : 109 5.12 Extensions and Variations : : : : : : : : : : : : : : : : : : : : : : 110 5.12.1 Multiway Elections : : : : : : : : : : : : : : : : : : : : : : 110 5.12.2 Preferential Voting : : : : : : : : : : : : : : : : : : : : : : 111 5.12.3 Giving the Winner without the Tally : : : : : : : : : : : : 112 5.12.4 Related Schemas : : : : : : : : : : : : : : : : : : : : : : : 112 6 Conclusions 113 ix