De volgorde waarin elke partij haar goederen kiest, bepaalt met welke goederen zij uiteindelijk eindigt. Die volgorde aantoonbaar neutraal vastleggen is daarom cruciaal. Een handmatige trekking — een briefje uit een hoed — werkt, maar haar bewijswaarde hangt volledig af van wie aanwezig was en hoe het moment werd gedocumenteerd. Een cryptografisch verifieerbare loting lost het probleem op door neutraliteit om te zetten in iets dat achteraf wiskundig kan worden gecontroleerd.
Het probleem van de handmatige trekking
Een handmatige trekking voor een notaris of griffier is juridisch geldig, maar laat een armoedig spoor na. Als maanden later een partij beweert dat de trekking niet eerlijk was, is de enige verdediging getuigenissen: de aanwezigen moeten zich herinneren en verklaren wat gebeurde. Het geheugen is fragiel en getuigen zijn niet altijd beschikbaar. Een verifieerbare loting laat daarentegen een wiskundig spoor na dat iedere derde jaren later opnieuw kan controleren.
Wat is HMAC-SHA256
HMAC-SHA256 is een cryptografische functie die een zaad (een willekeurig getal) combineert met een bericht (de invoergegevens van de loting) en een deterministische hash van 256 bits oplevert. Twee sleutelkenmerken: bij hetzelfde zaad en bericht is het resultaat altijd hetzelfde (reproduceerbaar); en het is rekenkundig onmogelijk het resultaat te voorspellen zonder het zaad te kennen, of het te wijzigen zonder dat dit opvalt.
Hoe een verifieerbare loting verloopt
- Vóór de loting worden de set van partijen (met hun identificator) en het datum-tijd van de trekking vastgesteld. Die gegevens vormen het bericht.
- Een willekeurig zaad van 256 bits wordt gegenereerd en zijn hash (commitment) wordt aan alle partijen gepubliceerd.
- Op het moment van de trekking wordt het oorspronkelijke zaad gepubliceerd. Elke partij kan controleren of het overeenstemt met de eerdere commitment.
- HMAC-SHA256(zaad, bericht) wordt berekend. Het resultaat is een hash van 256 bits.
- Die hash wordt gebruikt als deterministische invoer van een schudalgoritme (bijvoorbeeld Fisher-Yates) dat de definitieve volgorde van de partijen voortbrengt.
- Alles wordt gepubliceerd: zaad, bericht, hash en resulterende volgorde. Elke derde kan herrekenen en verifiëren.
Reproduceerbaarheid: de echte bewijswaarde
Het sleutelverschil is dit: als twee jaar later een partij de loting aanvecht, volstaat het de gepubliceerde gegevens (zaad, bericht) te nemen, hetzelfde algoritme toe te passen en te controleren of het resultaat overeenstemt. Als dat zo is, is de loting onbetwistbaar. Zo niet, dan is manipulatie aantoonbaar. Er moeten geen getuigen worden opgeroepen noch het moment worden gereconstrueerd: de verificatie is wiskundig.
Toepasbaarheid in de praktijk
Deze techniek is standaard in toepassingen waar verifieerbaarheid cruciaal is: loterijen, academische toewijzingen, administratieve trekkingen. Haar overbrengen naar het verdelingsdomein is natuurlijk en zou, naar onze mening, standaardpraktijk moeten worden wanneer de procedure digitaal wordt beheerd. De extra inspanning om haar goed te implementeren is minimaal; de bewijswaarde die zij toevoegt, enorm.