8.Februar2011 wilhelm@math.hu-berlin.de PaulWilhelm ElektronischesGeld

Elektronisches Geld

Paul Wilhelm wilhelm@math.hu-berlin.de

Humboldt-Universit¨ at zu Berlin

8. Februar 2011

1 Kryptographische Primitive Commitment Schema Zero-Knowledge-Protokoll

2 CHL Compact E-Cash-Verfahren CL Signatur

Blinde CL Signatur

Compact E-Cash-Verfahren

Literatur

Definiton Commitment Schema:

Zwei Phasen Protokoll zwischen Sender und Empf¨ anger:

1

Verbindliches Bekenntnis zu einem geheimen Wert.

2

Offenlegung des Wertes

Sicherheitsziele:

Geheimhaltung

Verbindlichkeit (nur ein g¨ ultiger Wert)

Definiton Commitment Schema:

Zwei Phasen Protokoll zwischen Sender und Empf¨ anger:

1

Verbindliches Bekenntnis zu einem geheimen Wert.

2

Offenlegung des Wertes

Sicherheitsziele:

Geheimhaltung

Verbindlichkeit (nur ein g¨ ultiger Wert)

Definiton Commitment Schema:

Zwei Phasen Protokoll zwischen Sender und Empf¨ anger:

1

Verbindliches Bekenntnis zu einem geheimen Wert.

2

Offenlegung des Wertes

Sicherheitsziele:

Geheimhaltung

Verbindlichkeit (nur ein g¨ ultiger Wert)

Definiton Commitment Schema:

Zwei Phasen Protokoll zwischen Sender und Empf¨ anger:

1

Verbindliches Bekenntnis zu einem geheimen Wert.

2

Offenlegung des Wertes

Sicherheitsziele:

Geheimhaltung

Verbindlichkeit (nur ein g¨ ultiger Wert)

Definiton Commitment Schema:

Zwei Phasen Protokoll zwischen Sender und Empf¨ anger:

1

Verbindliches Bekenntnis zu einem geheimen Wert.

2

Offenlegung des Wertes

Sicherheitsziele:

Geheimhaltung

Verbindlichkeit (nur ein g¨ ultiger Wert)

Definiton Commitment Schema:

Zwei Phasen Protokoll zwischen Sender und Empf¨ anger:

1

Verbindliches Bekenntnis zu einem geheimen Wert.

2

Offenlegung des Wertes

Sicherheitsziele:

Geheimhaltung

Verbindlichkeit (nur ein g¨ ultiger Wert)

Definiton Commitment Schema:

Zwei Phasen Protokoll zwischen Sender und Empf¨ anger:

1

Verbindliches Bekenntnis zu einem geheimen Wert.

2

Offenlegung des Wertes

Sicherheitsziele:

Geheimhaltung

Verbindlichkeit (nur ein g¨ ultiger Wert)

Formalisierbar f¨ ur effiziente Protokolle.

Definiton Commitment Schema:

Zwei Phasen Protokoll zwischen Sender und Empf¨ anger:

1

Verbindliches Bekenntnis zu einem geheimen Wert.

2

Offenlegung des Wertes

Sicherheitsziele:

Geheimhaltung

Verbindlichkeit (nur ein g¨ ultiger Wert)

Formalisierbar f¨ ur effiziente Protokolle.

Pedersen Commitment:

Gruppe G , |G | = q ∈ P, < g _i >= G ∀0 ≤ i ≤ m Geheimnis: (v ₁ , ..., v _m ) ∈ Z ^m q

Sender w¨ ahlt r ∈ R Z q

Commitment: C =PedCom(v ₁ , ..., v _m ; r ) = g ₀ ^r

m

Q

i=1

g _i ^v

Pedersen Commitment:

Gruppe G , |G | = q ∈ P, < g _i >= G ∀0 ≤ i ≤ m Geheimnis: (v ₁ , ..., v _m ) ∈ Z ^m q

Sender w¨ ahlt r ∈ R Z q

Commitment: C =PedCom(v ₁ , ..., v _m ; r ) = g ₀ ^r

m

Q

i=1

g _i ^v

Pedersen Commitment:

Gruppe G , |G | = q ∈ P, < g _i >= G ∀0 ≤ i ≤ m Geheimnis: (v ₁ , ..., v _m ) ∈ Z ^m q

Sender w¨ ahlt r ∈ R Z q

Commitment: C =PedCom(v ₁ , ..., v _m ; r ) = g ₀ ^r

m

Q

i=1

g _i ^v

Pedersen Commitment:

Gruppe G , |G | = q ∈ P, < g _i >= G ∀0 ≤ i ≤ m Geheimnis: (v ₁ , ..., v _m ) ∈ Z ^m q

Sender w¨ ahlt r ∈ R Z q

Commitment: C =PedCom(v ₁ , ..., v _m ; r ) = g ₀ ^r

m

Q

i=1

g _i ^v

Pedersen Commitment:

Gruppe G , |G | = q ∈ P, < g _i >= G ∀0 ≤ i ≤ m Geheimnis: (v ₁ , ..., v _m ) ∈ Z ^m q

Sender w¨ ahlt r ∈ R Z q

Commitment: C =PedCom(v ₁ , ..., v _m ; r ) = g ₀ ^r

m

Q

i=1

g _i ^v

Definition Zero-Knowledge-Proof-of-Knowledge:

Mehrphasen Protokoll zwischen Beweiser P und Verifizierer V

P beweist V , dass er ein Wort x kennt, das in einer formalen Sprache L liegt

Sicherheitsziele:

Vollst¨ andigkeit: x ∈ L ⇒ V akzeptiert immer Zuverl¨ assigkeit: Pr [x 6∈ L und V akzeptiert] ist klein

Zero-Knowledge-Eigenschaft: V erf¨ ahrt nichts ¨ uber x außer x ∈ L

oder x 6∈ L

Definition Zero-Knowledge-Proof-of-Knowledge:

Mehrphasen Protokoll zwischen Beweiser P und Verifizierer V

P beweist V , dass er ein Wort x kennt, das in einer formalen Sprache L liegt

Sicherheitsziele:

Vollst¨ andigkeit: x ∈ L ⇒ V akzeptiert immer Zuverl¨ assigkeit: Pr [x 6∈ L und V akzeptiert] ist klein

Zero-Knowledge-Eigenschaft: V erf¨ ahrt nichts ¨ uber x außer x ∈ L

oder x 6∈ L

Definition Zero-Knowledge-Proof-of-Knowledge:

Mehrphasen Protokoll zwischen Beweiser P und Verifizierer V

P beweist V , dass er ein Wort x kennt, das in einer formalen Sprache L liegt

Sicherheitsziele:

Vollst¨ andigkeit: x ∈ L ⇒ V akzeptiert immer Zuverl¨ assigkeit: Pr [x 6∈ L und V akzeptiert] ist klein

Zero-Knowledge-Eigenschaft: V erf¨ ahrt nichts ¨ uber x außer x ∈ L

oder x 6∈ L

Definition Zero-Knowledge-Proof-of-Knowledge:

Mehrphasen Protokoll zwischen Beweiser P und Verifizierer V

P beweist V , dass er ein Wort x kennt, das in einer formalen Sprache L liegt

Sicherheitsziele:

Vollst¨ andigkeit: x ∈ L ⇒ V akzeptiert immer Zuverl¨ assigkeit: Pr [x 6∈ L und V akzeptiert] ist klein

Zero-Knowledge-Eigenschaft: V erf¨ ahrt nichts ¨ uber x außer x ∈ L

oder x 6∈ L

Definition Zero-Knowledge-Proof-of-Knowledge:

Mehrphasen Protokoll zwischen Beweiser P und Verifizierer V

P beweist V , dass er ein Wort x kennt, das in einer formalen Sprache L liegt

Sicherheitsziele:

Vollst¨ andigkeit: x ∈ L ⇒ V akzeptiert immer Zuverl¨ assigkeit: Pr [x 6∈ L und V akzeptiert] ist klein

Zero-Knowledge-Eigenschaft: V erf¨ ahrt nichts ¨ uber x außer x ∈ L

oder x 6∈ L

Definition Zero-Knowledge-Proof-of-Knowledge:

Mehrphasen Protokoll zwischen Beweiser P und Verifizierer V

P beweist V , dass er ein Wort x kennt, das in einer formalen Sprache L liegt

Sicherheitsziele:

Vollst¨ andigkeit: x ∈ L ⇒ V akzeptiert immer Zuverl¨ assigkeit: Pr [x 6∈ L und V akzeptiert] ist klein

Zero-Knowledge-Eigenschaft: V erf¨ ahrt nichts ¨ uber x außer x ∈ L

oder x 6∈ L

Definition Zero-Knowledge-Proof-of-Knowledge:

Mehrphasen Protokoll zwischen Beweiser P und Verifizierer V

P beweist V , dass er ein Wort x kennt, das in einer formalen Sprache L liegt

Sicherheitsziele:

Vollst¨ andigkeit: x ∈ L ⇒ V akzeptiert immer Zuverl¨ assigkeit: Pr [x 6∈ L und V akzeptiert] ist klein

Zero-Knowledge-Eigenschaft: V erf¨ ahrt nichts ¨ uber x außer x ∈ L

oder x 6∈ L

Beispiel - interaktiv

P kennt (x ₁ , ..., x _m ) ∈ Z ^m q mit y = Q ^m

i=1

g _i ^x

, V kennt nur y und g _i

1

P w¨ ahlt (v 1 , ..., v _m ) ∈ R Z ^m q , sendet t =

m

Q

i=1

g _i ^v

an V (commitment)

2

V sendet c ∈ R {0, 1} an P (challenge)

3

P sendet r _i = v _i − cx _i an V (response)

4

V ¨ uberpr¨ uft ob

m

Q

i=1

g _i ^r

· y ^c = ^? t

Beispiel - interaktiv

P kennt (x ₁ , ..., x _m ) ∈ Z ^m q mit y = Q ^m

i=1

g _i ^x

, V kennt nur y und g _i

1

P w¨ ahlt (v 1 , ..., v _m ) ∈ R Z ^m q , sendet t =

m

Q

i=1

g _i ^v

an V (commitment)

2

V sendet c ∈ R {0, 1} an P (challenge)

3

P sendet r _i = v _i − cx _i an V (response)

4

V ¨ uberpr¨ uft ob

m

Q

i=1

g _i ^r

· y ^c = ^? t

Beispiel - interaktiv

P kennt (x ₁ , ..., x _m ) ∈ Z ^m q mit y = Q ^m

i=1

g _i ^x

, V kennt nur y und g _i

1

P w¨ ahlt (v 1 , ..., v _m ) ∈ R Z ^m q , sendet t =

m

Q

i=1

g _i ^v

an V (commitment)

2

V sendet c ∈ R {0, 1} an P (challenge)

3

P sendet r _i = v _i − cx _i an V (response)

4

V ¨ uberpr¨ uft ob

m

Q

i=1

g _i ^r

· y ^c = ^? t

Beispiel - interaktiv

P kennt (x ₁ , ..., x _m ) ∈ Z ^m q mit y = Q ^m

i=1

g _i ^x

, V kennt nur y und g _i

1

P w¨ ahlt (v 1 , ..., v _m ) ∈ R Z ^m q , sendet t =

m

Q

i=1

g _i ^v

an V (commitment)

2

V sendet c ∈ R {0, 1} an P (challenge)

3

P sendet r _i = v _i − cx _i an V (response)

4

V ¨ uberpr¨ uft ob

m

Q

i=1

g _i ^r

· y ^c = ^? t

Beispiel - interaktiv

P kennt (x ₁ , ..., x _m ) ∈ Z ^m q mit y = Q ^m

i=1

g _i ^x

, V kennt nur y und g _i

1

P w¨ ahlt (v 1 , ..., v _m ) ∈ R Z ^m q , sendet t =

m

Q

i=1

g _i ^v

an V (commitment)

2

V sendet c ∈ R {0, 1} an P (challenge)

3

P sendet r _i = v _i − cx _i an V (response)

4

V ¨ uberpr¨ uft ob

m

Q

i=1

g _i ^r

· y ^c = ^? t

Beispiel - interaktiv

P kennt (x ₁ , ..., x _m ) ∈ Z ^m q mit y = Q ^m

i=1

g _i ^x

, V kennt nur y und g _i

1

P w¨ ahlt (v 1 , ..., v _m ) ∈ R Z ^m q , sendet t =

m

Q

i=1

g _i ^v

an V (commitment)

2

V sendet c ∈ R {0, 1} an P (challenge)

3

P sendet r _i = v _i − cx _i an V (response)

4

V ¨ uberpr¨ uft ob

m

Q

i=1

g _i ^r

· y ^c = ^? t

Beispiel - interaktiv

P kennt (x ₁ , ..., x _m ) ∈ Z ^m q mit y = Q ^m

i=1

g _i ^x

, V kennt nur y und g _i

1

P w¨ ahlt (v 1 , ..., v _m ) ∈ R Z ^m q , sendet t =

m

Q

i=1

g _i ^v

an V (commitment)

2

V sendet c ∈ R {0, 1} an P (challenge)

3

P sendet r _i = v _i − cx _i an V (response)

4

V ¨ uberpr¨ uft ob

m

Q

i=1

g _i ^r

· y ^c = ^? t

wiederhole 1-4, w¨ ahle v _i und c neu

Beispiel - nicht interaktiv

P kennt (x 1 , ..., x _m ) ∈ Z ^m q mit y =

m

Q

i=1

g _i ^x

, V kennt nur y und g _i P und V kennen Hash-Funktion H : G ^m × G × G → Z q

1

P w¨ ahlt (v ₁ , ..., v _m ) ∈ _R Z ^m q , sendet t = Q ^m

i=1

g _i ^v

an V (commitment)

2

P berechnet c = H(g ₁ , ..., g _m , y, t ) (challenge)

3

P sendet r _i = v _i − cx _i an V (response)

4

V berechnet c = H(g 1 , ..., g _m , y, t) und ¨ uberpr¨ uft ob

m

Q

i=1

g _i ^r

· y ^c = ^? t

Beispiel - nicht interaktiv

P kennt (x 1 , ..., x _m ) ∈ Z ^m q mit y =

m

Q

i=1

g _i ^x

, V kennt nur y und g _i P und V kennen Hash-Funktion H : G ^m × G × G → Z q

1

P w¨ ahlt (v ₁ , ..., v _m ) ∈ _R Z ^m q , sendet t = Q ^m

i=1

g _i ^v

an V (commitment)

2

P berechnet c = H(g ₁ , ..., g _m , y, t ) (challenge)

3

P sendet r _i = v _i − cx _i an V (response)

4

V berechnet c = H(g 1 , ..., g _m , y, t) und ¨ uberpr¨ uft ob

m

Q

i=1

g _i ^r

· y ^c = ^? t

Beispiel - nicht interaktiv

P kennt (x 1 , ..., x _m ) ∈ Z ^m q mit y =

m

Q

i=1

g _i ^x

, V kennt nur y und g _i P und V kennen Hash-Funktion H : G ^m × G × G → Z q

1

P w¨ ahlt (v ₁ , ..., v _m ) ∈ _R Z ^m q , sendet t = Q ^m

i=1

g _i ^v

an V (commitment)

2

P berechnet c = H(g ₁ , ..., g _m , y, t ) (challenge)

3

P sendet r _i = v _i − cx _i an V (response)

4

V berechnet c = H(g 1 , ..., g _m , y, t) und ¨ uberpr¨ uft ob

m

Q

i=1

g _i ^r

· y ^c = ^? t

Beispiel - nicht interaktiv

P kennt (x 1 , ..., x _m ) ∈ Z ^m q mit y =

m

Q

i=1

g _i ^x

, V kennt nur y und g _i P und V kennen Hash-Funktion H : G ^m × G × G → Z q

1

P w¨ ahlt (v ₁ , ..., v _m ) ∈ _R Z ^m q , sendet t = Q ^m

i=1

g _i ^v

an V (commitment)

2

P berechnet c = H(g ₁ , ..., g _m , y, t ) (challenge)

3

P sendet r _i = v _i − cx _i an V (response)

4

V berechnet c = H(g 1 , ..., g _m , y, t) und ¨ uberpr¨ uft ob

m

Q

i=1

g _i ^r

· y ^c = ^? t

Beispiel - nicht interaktiv

P kennt (x 1 , ..., x _m ) ∈ Z ^m q mit y =

m

Q

i=1

g _i ^x

, V kennt nur y und g _i P und V kennen Hash-Funktion H : G ^m × G × G → Z q

1

P w¨ ahlt (v ₁ , ..., v _m ) ∈ _R Z ^m q , sendet t = Q ^m

i=1

g _i ^v

an V (commitment)

2

P berechnet c = H(g ₁ , ..., g _m , y, t ) (challenge)

3

P sendet r _i = v _i − cx _i an V (response)

4

V berechnet c = H(g 1 , ..., g _m , y, t) und ¨ uberpr¨ uft ob

m

Q

i=1

g _i ^r

· y ^c = ^? t

Beispiel - nicht interaktiv

P kennt (x 1 , ..., x _m ) ∈ Z ^m q mit y =

m

Q

i=1

g _i ^x

, V kennt nur y und g _i P und V kennen Hash-Funktion H : G ^m × G × G → Z q

1

P w¨ ahlt (v ₁ , ..., v _m ) ∈ _R Z ^m q , sendet t = Q ^m

i=1

g _i ^v

an V (commitment)

2

P berechnet c = H(g ₁ , ..., g _m , y, t ) (challenge)

3

P sendet r _i = v _i − cx _i an V (response)

4

V berechnet c = H(g 1 , ..., g _m , y, t) und ¨ uberpr¨ uft ob

m

Q

i=1

g _i ^r

· y ^c = ^? t

Beispiel - nicht interaktiv

P kennt (x 1 , ..., x _m ) ∈ Z ^m q mit y =

m

Q

i=1

g _i ^x

, V kennt nur y und g _i P und V kennen Hash-Funktion H : G ^m × G × G → Z q

1

P w¨ ahlt (v ₁ , ..., v _m ) ∈ _R Z ^m q , sendet t = Q ^m

i=1

g _i ^v

an V (commitment)

2

P berechnet c = H(g ₁ , ..., g _m , y, t ) (challenge)

3

P sendet r _i = v _i − cx _i an V (response)

4

V berechnet c = H(g 1 , ..., g _m , y, t) und ¨ uberpr¨ uft ob

m

Q

i=1

g _i ^r

· y ^c = ^? t

Definition ZPK

(α ₁ , ..., α _m ) : y = Q ^m

i=1

g _i ^α

= {g ₁ , ..., g _m , y, H, t, r ₁ , ..., r _m }

Definition ZPK

(α ₁ , ..., α _m ) : y = Q ^m

i=1

g _i ^α

= {g ₁ , ..., g _m , y, H, t, r ₁ , ..., r _m }

Seien G =< g > und G _t =< g ˆ > Gruppen der Ordnung q ∈ P Es gibt eine Abbildung e : G × G → G _t mit:

e(P ^a , Q ^b ) = e(P, Q) ^ab ∀ P , Q ∈ G , a, b ∈ Z q (bilinear)

∃ P , Q ∈ G mit e(P , Q ) 6= 1 ∈ G _t (nicht degeneriert) e(., .) ist effizient berechenbar

∀ g mit < g >= G gilt < e (g , g ) >= G _t

Seien G =< g > und G _t =< g ˆ > Gruppen der Ordnung q ∈ P Es gibt eine Abbildung e : G × G → G _t mit:

e(P ^a , Q ^b ) = e(P, Q) ^ab ∀ P , Q ∈ G , a, b ∈ Z q (bilinear)

∃ P , Q ∈ G mit e(P , Q ) 6= 1 ∈ G _t (nicht degeneriert) e(., .) ist effizient berechenbar

∀ g mit < g >= G gilt < e (g , g ) >= G _t

Seien G =< g > und G _t =< g ˆ > Gruppen der Ordnung q ∈ P Es gibt eine Abbildung e : G × G → G _t mit:

e(P ^a , Q ^b ) = e(P, Q) ^ab ∀ P , Q ∈ G , a, b ∈ Z q (bilinear)

∃ P , Q ∈ G mit e(P , Q ) 6= 1 ∈ G _t (nicht degeneriert) e(., .) ist effizient berechenbar

∀ g mit < g >= G gilt < e (g , g ) >= G _t

Seien G =< g > und G _t =< g ˆ > Gruppen der Ordnung q ∈ P Es gibt eine Abbildung e : G × G → G _t mit:

e(P ^a , Q ^b ) = e(P, Q) ^ab ∀ P , Q ∈ G , a, b ∈ Z q (bilinear)

∃ P , Q ∈ G mit e(P , Q ) 6= 1 ∈ G _t (nicht degeneriert) e(., .) ist effizient berechenbar

∀ g mit < g >= G gilt < e (g , g ) >= G _t

Seien G =< g > und G _t =< g ˆ > Gruppen der Ordnung q ∈ P Es gibt eine Abbildung e : G × G → G _t mit:

e(P ^a , Q ^b ) = e(P, Q) ^ab ∀ P , Q ∈ G , a, b ∈ Z q (bilinear)

∃ P , Q ∈ G mit e(P , Q ) 6= 1 ∈ G _t (nicht degeneriert) e(., .) ist effizient berechenbar

∀ g mit < g >= G gilt < e (g , g ) >= G _t

Seien G =< g > und G _t =< g ˆ > Gruppen der Ordnung q ∈ P Es gibt eine Abbildung e : G × G → G _t mit:

e(P ^a , Q ^b ) = e(P, Q) ^ab ∀ P , Q ∈ G , a, b ∈ Z q (bilinear)

∃ P , Q ∈ G mit e(P , Q ) 6= 1 ∈ G _t (nicht degeneriert) e(., .) ist effizient berechenbar

∀ g mit < g >= G gilt < e (g , g ) >= G _t

Seien G =< g > und G _t =< g ˆ > Gruppen der Ordnung q ∈ P Es gibt eine Abbildung e : G × G → G _t mit:

e(P ^a , Q ^b ) = e(P, Q) ^ab ∀ P , Q ∈ G , a, b ∈ Z q (bilinear)

∃ P , Q ∈ G mit e(P , Q ) 6= 1 ∈ G _t (nicht degeneriert) e(., .) ist effizient berechenbar

∀ g mit < g >= G gilt < e (g , g ) >= G _t

Offentlicher Schl¨ ¨ ussel pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}) signieren:

W¨ ahle a ∈ _R G , setze Signatur

σ =

a, {A _i = a ^z

}, b = a ^y , {B _i = (A _i ) ^y }, c = a ^x+xym

· Q ^l

i =1

A ^xym _i

verifizieren:

pr¨ ufe {A i }: e (a, Z _i ) = ^? e (g , A _i )

pr¨ ufe b und {B _i }: e (a, Y ) = ^? e (g , b) und e(A _i , Y ) = ^? e(g , B _i )

Offentlicher Schl¨ ¨ ussel pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}) signieren:

W¨ ahle a ∈ _R G , setze Signatur

σ =

a, {A _i = a ^z

}, b = a ^y , {B _i = (A _i ) ^y }, c = a ^x+xym

· Q ^l

i =1

A ^xym _i

verifizieren:

pr¨ ufe {A i }: e (a, Z _i ) = ^? e (g , A _i )

pr¨ ufe b und {B _i }: e (a, Y ) = ^? e (g , b) und e(A _i , Y ) = ^? e(g , B _i ) pr¨ ufe c : e(X , a) · e(X , b) ^m

· Q ^l

i=1

e (X , B _i ) ^m

= ^? e(g , c)

Offentlicher Schl¨ ¨ ussel pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}) signieren:

W¨ ahle a ∈ _R G , setze Signatur

σ =

a, {A _i = a ^z

}, b = a ^y , {B _i = (A _i ) ^y }, c = a ^x+xym

· Q ^l

i =1

A ^xym _i

verifizieren:

pr¨ ufe {A i }: e (a, Z _i ) = ^? e (g , A _i )

pr¨ ufe b und {B _i }: e (a, Y ) = ^? e (g , b) und e(A _i , Y ) = ^? e(g , B _i )

Offentlicher Schl¨ ¨ ussel pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}) signieren:

W¨ ahle a ∈ _R G , setze Signatur

σ =

a, {A _i = a ^z

}, b = a ^y , {B _i = (A _i ) ^y }, c = a ^x+xym

· Q ^l

i =1

A ^xym _i

verifizieren:

pr¨ ufe {A i }: e (a, Z _i ) = ^? e (g , A _i )

pr¨ ufe b und {B _i }: e (a, Y ) = ^? e (g , b) und e(A _i , Y ) = ^? e(g , B _i ) pr¨ ufe c : e(X , a) · e(X , b) ^m

· Q ^l

i=1

e (X , B _i ) ^m

= ^? e(g , c)

Offentlicher Schl¨ ¨ ussel pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}) signieren:

W¨ ahle a ∈ _R G , setze Signatur

σ =

a, {A _i = a ^z

}, b = a ^y , {B _i = (A _i ) ^y }, c = a ^x+xym

· Q ^l

i =1

A ^xym _i

verifizieren:

pr¨ ufe {A i }: e (a, Z _i ) = ^? e (g , A _i )

pr¨ ufe b und {B _i }: e (a, Y ) = ^? e (g , b) und e(A _i , Y ) = ^? e(g , B _i )

Offentlicher Schl¨ ¨ ussel pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}) signieren:

W¨ ahle a ∈ _R G , setze Signatur

σ =

a, {A _i = a ^z

}, b = a ^y , {B _i = (A _i ) ^y }, c = a ^x+xym

· Q ^l

i=1

A ^xym _i

verifizieren:

pr¨ ufe {A i }: e (a, Z _i ) = ^? e (g , A _i )

pr¨ ufe b und {B _i }: e (a, Y ) = ^? e (g , b) und e(A _i , Y ) = ^? e(g , B _i ) pr¨ ufe c : e(X , a) · e(X , b) ^m

· Q ^l

i=1

e (X , B _i ) ^m

= ^? e(g , c)

Offentlicher Schl¨ ¨ ussel pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}) signieren:

W¨ ahle a ∈ _R G , setze Signatur

σ =

a, {A _i = a ^z

}, b = a ^y , {B _i = (A _i ) ^y }, c = a ^x+xym

· Q ^l

i =1

A ^xym _i

verifizieren:

pr¨ ufe {A i }: e (a, Z _i ) = ^? e (g , A _i )

pr¨ ufe b und {B _i }: e (a, Y ) = ^? e (g , b) und e(A _i , Y ) = ^? e(g , B _i )

Offentlicher Schl¨ ¨ ussel pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}) signieren:

W¨ ahle a ∈ _R G , setze Signatur

σ =

a, {A _i = a ^z

}, b = a ^y , {B _i = (A _i ) ^y }, c = a ^x+xym

· Q ^l

i =1

A ^xym _i

verifizieren:

pr¨ ufe {A i }: e (a, Z _i ) = ^? e (g , A _i )

pr¨ ufe b und {B _i }: e (a, Y ) = ^? e (g , b) und e(A _i , Y ) = ^? e(g , B _i ) pr¨ ufe c : e(X , a) · e(X , b) ^m

· Q ^l

i=1

e (X , B _i ) ^m

= ^? e(g , c)

Offentlicher Schl¨ ¨ ussel pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}) signieren:

W¨ ahle a ∈ _R G , setze Signatur

σ =

a, {A _i = a ^z

}, b = a ^y , {B _i = (A _i ) ^y }, c = a ^x+xym

· Q ^l

i =1

A ^xym _i

verifizieren:

pr¨ ufe {A i }: e (a, Z _i ) = ^? e (g , A _i )

pr¨ ufe b und {B _i }: e (a, Y ) = ^? e (g , b) und e(A _i , Y ) = ^? e(g , B _i )

Offentlicher Schl¨ ¨ ussel pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}) signieren:

W¨ ahle a ∈ _R G , setze Signatur

σ =

a, {A _i = a ^z

}, b = a ^y , {B _i = (A _i ) ^y }, c = a ^x+xym

· Q ^l

i =1

A ^xym _i

verifizieren:

pr¨ ufe {A i }: e (a, Z _i ) = ^? e (g , A _i )

pr¨ ufe b und {B _i }: e (a, Y ) = ^? e (g , b) und e(A _i , Y ) = ^? e(g , B _i ) pr¨ ufe c : e(X , a) · e(X , b) ^m

· Q ^l

i=1

e (X , B _i ) ^m

= ^? e(g , c)

Offentlicher Schl¨ ¨ ussel pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}) signieren:

W¨ ahle a ∈ _R G , setze Signatur

σ =

a, {A _i = a ^z

}, b = a ^y , {B _i = (A _i ) ^y }, c = a ^x+xym

· Q ^l

i =1

A ^xym _i

verifizieren:

pr¨ ufe {A i }: e (a, Z _i ) = ^? e (g , A _i )

pr¨ ufe b und {B _i }: e (a, Y ) = ^? e (g , b) und e(A _i , Y ) = ^? e(g , B _i )

i =1 i 1 l

Offentlicher Schl¨ ¨ ussel pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}) signieren:

W¨ ahle α ∈ R G , pr¨ ufe ZPK

(µ ⁽⁰⁾ , ..., µ ^{(l )} ) : M = g ^µ

·

l

Q

i =1

Z _i ^µ

, setze Signatur σ = (a = g ^α , {A _i = a ^z

}, b = a ^y , {B _i = (A _i ) ^y }, c = a ^x M ^αxy )

verifizieren:

pr¨ ufe {A i }: e (a, Z _i ) = ^? e (g , A _i )

pr¨ ufe b und {B i }: e (a, Y ) = ^? e (g , b) und e(A i , Y ) = ^? e(g , B _i ) pr¨ ufe c : e(X , a) · e(X , b) ^m

·

l

Q e (X , B ) ^m

= ^? e(g , c)

i =1 i 1 l

Offentlicher Schl¨ ¨ ussel pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}) signieren:

W¨ ahle α ∈ R G , pr¨ ufe ZPK

(µ ⁽⁰⁾ , ..., µ ^{(l )} ) : M = g ^µ

·

l

Q

i =1

Z _i ^µ

, setze Signatur σ = (a = g ^α , {A _i = a ^z

}, b = a ^y , {B _i = (A _i ) ^y }, c = a ^x M ^αxy )

verifizieren:

pr¨ ufe {A i }: e (a, Z _i ) = ^? e (g , A _i )

? ?

i =1 i 1 l

Offentlicher Schl¨ ¨ ussel pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}) signieren:

W¨ ahle α ∈ R G , pr¨ ufe ZPK

(µ ⁽⁰⁾ , ..., µ ^{(l )} ) : M = g ^µ

·

l

Q

i =1

Z _i ^µ

, setze Signatur σ = (a = g ^α , {A _i = a ^z

}, b = a ^y , {B _i = (A _i ) ^y }, c = a ^x M ^αxy )

verifizieren:

pr¨ ufe {A i }: e (a, Z _i ) = ^? e (g , A _i )

pr¨ ufe b und {B i }: e (a, Y ) = ^? e (g , b) und e(A i , Y ) = ^? e(g , B _i ) pr¨ ufe c : e(X , a) · e(X , b) ^m

·

l

Q e (X , B ) ^m

= ^? e(g , c)

i =1 i 1 l

Offentlicher Schl¨ ¨ ussel pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}) signieren:

W¨ ahle α ∈ R G , pr¨ ufe ZPK

(µ ⁽⁰⁾ , ..., µ ^{(l )} ) : M = g ^µ

·

l

Q

i =1

Z _i ^µ

, setze Signatur σ = (a = g ^α , {A _i = a ^z

}, b = a ^y , {B _i = (A _i ) ^y }, c = a ^x M ^αxy )

verifizieren:

pr¨ ufe {A i }: e (a, Z _i ) = ^? e (g , A _i )

? ?

i =1 i 1 l

Offentlicher Schl¨ ¨ ussel pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}) signieren:

W¨ ahle α ∈ R G , pr¨ ufe ZPK

(µ ⁽⁰⁾ , ..., µ ^{(l )} ) : M = g ^µ

·

l

Q

i =1

Z _i ^µ

, setze Signatur σ = (a = g ^α , {A _i = a ^z

}, b = a ^y , {B _i = (A _i ) ^y }, c = a ^x M ^αxy )

verifizieren:

pr¨ ufe {A i }: e (a, Z _i ) = ^? e (g , A _i )

pr¨ ufe b und {B i }: e (a, Y ) = ^? e (g , b) und e(A i , Y ) = ^? e(g , B _i ) pr¨ ufe c : e(X , a) · e(X , b) ^m

·

l

Q e (X , B ) ^m

= ^? e(g , c)

i =1 i 1 l

Offentlicher Schl¨ ¨ ussel pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}) signieren:

W¨ ahle α ∈ R G , pr¨ ufe ZPK

(µ ⁽⁰⁾ , ..., µ ^{(l )} ) : M = g ^µ

·

l

Q

i =1

Z _i ^µ

, setze Signatur σ = (a = g ^α , {A _i = a ^z

}, b = a ^y , {B _i = (A _i ) ^y }, c = a ^x M ^αxy )

verifizieren:

pr¨ ufe {A i }: e (a, Z _i ) = ^? e (g , A _i )

? ?

i =1 i 1 l

Offentlicher Schl¨ ¨ ussel pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}) signieren:

W¨ ahle α ∈ R G , pr¨ ufe ZPK

(µ ⁽⁰⁾ , ..., µ ^{(l )} ) : M = g ^µ

·

l

Q

i =1

Z _i ^µ

, setze Signatur σ = (a = g ^α , {A _i = a ^z

}, b = a ^y , {B _i = (A _i ) ^y }, c = a ^x M ^αxy )

verifizieren:

pr¨ ufe {A i }: e (a, Z _i ) = ^? e (g , A _i )

pr¨ ufe b und {B i }: e (a, Y ) = ^? e (g , b) und e(A i , Y ) = ^? e(g , B _i ) pr¨ ufe c : e(X , a) · e(X , b) ^m

·

l

Q e (X , B ) ^m

= ^? e(g , c)

i =1 i 1 l

Offentlicher Schl¨ ¨ ussel pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}) signieren:

W¨ ahle α ∈ R G , pr¨ ufe ZPK

(µ ⁽⁰⁾ , ..., µ ^{(l )} ) : M = g ^µ

·

l

Q

i =1

Z _i ^µ

, setze Signatur σ = (a = g ^α , {A _i = a ^z

}, b = a ^y , {B _i = (A _i ) ^y }, c = a ^x M ^αxy )

verifizieren:

pr¨ ufe {A i }: e (a, Z _i ) = ^? e (g , A _i )

? ?

i =1 i 1 l

Offentlicher Schl¨ ¨ ussel pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}) signieren:

W¨ ahle α ∈ R G , pr¨ ufe ZPK

(µ ⁽⁰⁾ , ..., µ ^{(l )} ) : M = g ^µ

·

l

Q

i =1

Z _i ^µ

, setze Signatur σ = (a = g ^α , {A _i = a ^z

}, b = a ^y , {B _i = (A _i ) ^y }, c = a ^x M ^αxy )

verifizieren:

pr¨ ufe {A i }: e (a, Z _i ) = ^? e (g , A _i )

pr¨ ufe b und {B i }: e (a, Y ) = ^? e (g , b) und e(A i , Y ) = ^? e(g , B _i ) pr¨ ufe c : e(X , a) · e(X , b) ^m

·

l

Q e (X , B ) ^m

= ^? e(g , c)

i=1 i 1 l

pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}),

σ = (a = g ^α , {A i = a ^z

}, b = a ^y , {B i = (A i ) ^y }, c = a ^x M ^αxy ) Commitment der Signatur: w¨ ahle r , r ^′ ∈ _R Z q , berechne

˜

σ =

˜

a = a ^r , { A ˜ _i = A ^r _i }, ˜ b = b ^r , { B ˜ _i = B _i ^r }, c ˆ = ˜ c ^r

= c ^rr

˜

σ von M verifizieren:

pr¨ ufe { A ˜ _i }: e (˜ a, Z _i ) = ^? e (g , A ˜ _i )

pr¨ ufe ˜ b und { B ˜ _i }: e (˜ a, Y ) = ^? e (g , b) und ˜ e(˜ A _i , Y ) = ^? e(g , B ˜ _i ) pr¨ ufe ˆ c : ZPK

(µ ⁽⁰⁾ , ..., µ ^(l) , ̺) :

i=1 i 1 l

pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}),

σ = (a = g ^α , {A i = a ^z

}, b = a ^y , {B i = (A i ) ^y }, c = a ^x M ^αxy ) Commitment der Signatur: w¨ ahle r , r ^′ ∈ _R Z q , berechne

˜

σ =

˜

a = a ^r , { A ˜ _i = A ^r _i }, ˜ b = b ^r , { B ˜ _i = B _i ^r }, c ˆ = ˜ c ^r

= c ^rr

˜

σ von M verifizieren:

pr¨ ufe { A ˜ _i }: e (˜ a, Z _i ) = ^? e (g , A ˜ _i )

pr¨ ufe ˜ b und { B ˜ _i }: e (˜ a, Y ) = ^? e (g , b) und ˜ e(˜ A _i , Y ) = ^? e(g , B ˜ _i ) pr¨ ufe ˆ c : ZPK

(µ ⁽⁰⁾ , ..., µ ^(l) , ̺) :

e (X ˜ a) · e(X ˜ b) ^µ

·

l

Q e (X B ˜ ) ^µ

= ^? e (g c ˆ ) ^̺ und M = g ^µ

·

l

Q Z ^µ

i=1 i 1 l

pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}),

σ = (a = g ^α , {A i = a ^z

}, b = a ^y , {B i = (A i ) ^y }, c = a ^x M ^αxy ) Commitment der Signatur: w¨ ahle r , r ^′ ∈ _R Z q , berechne

˜

σ =

˜

a = a ^r , { A ˜ _i = A ^r _i }, ˜ b = b ^r , { B ˜ _i = B _i ^r }, c ˆ = ˜ c ^r

= c ^rr

˜

σ von M verifizieren:

pr¨ ufe { A ˜ _i }: e (˜ a, Z _i ) = ^? e (g , A ˜ _i )

pr¨ ufe ˜ b und { B ˜ _i }: e (˜ a, Y ) = ^? e (g , b) und ˜ e(˜ A _i , Y ) = ^? e(g , B ˜ _i ) pr¨ ufe ˆ c : ZPK

(µ ⁽⁰⁾ , ..., µ ^(l) , ̺) :

i=1 i 1 l

pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}),

σ = (a = g ^α , {A i = a ^z

}, b = a ^y , {B i = (A i ) ^y }, c = a ^x M ^αxy ) Commitment der Signatur: w¨ ahle r , r ^′ ∈ _R Z q , berechne

˜

σ =

˜

a = a ^r , { A ˜ _i = A ^r _i }, ˜ b = b ^r , { B ˜ _i = B _i ^r }, c ˆ = ˜ c ^r

= c ^rr

˜

σ von M verifizieren:

pr¨ ufe { A ˜ _i }: e (˜ a, Z _i ) = ^? e (g , A ˜ _i )

pr¨ ufe ˜ b und { B ˜ _i }: e (˜ a, Y ) = ^? e (g , b) und ˜ e(˜ A _i , Y ) = ^? e(g , B ˜ _i ) pr¨ ufe ˆ c : ZPK

(µ ⁽⁰⁾ , ..., µ ^(l) , ̺) :

e (X ˜ a) · e(X ˜ b) ^µ

·

l

Q e (X B ˜ ) ^µ

= ^? e (g c ˆ ) ^̺ und M = g ^µ

·

l

Q Z ^µ

i=1 i 1 l

pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}),

σ = (a = g ^α , {A i = a ^z

}, b = a ^y , {B i = (A i ) ^y }, c = a ^x M ^αxy ) Commitment der Signatur: w¨ ahle r , r ^′ ∈ _R Z q , berechne

˜

σ =

˜

a = a ^r , { A ˜ _i = A ^r _i }, ˜ b = b ^r , { B ˜ _i = B _i ^r }, c ˆ = ˜ c ^r

= c ^rr

˜

σ von M verifizieren:

pr¨ ufe { A ˜ _i }: e (˜ a, Z _i ) = ^? e (g , A ˜ _i )

pr¨ ufe ˜ b und { B ˜ _i }: e (˜ a, Y ) = ^? e (g , b) und ˜ e(˜ A _i , Y ) = ^? e(g , B ˜ _i ) pr¨ ufe ˆ c : ZPK

(µ ⁽⁰⁾ , ..., µ ^(l) , ̺) :

i=1 i 1 l

pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}),

σ = (a = g ^α , {A i = a ^z

}, b = a ^y , {B i = (A i ) ^y }, c = a ^x M ^αxy ) Commitment der Signatur: w¨ ahle r , r ^′ ∈ _R Z q , berechne

˜

σ =

˜

a = a ^r , { A ˜ _i = A ^r _i }, ˜ b = b ^r , { B ˜ _i = B _i ^r }, c ˆ = ˜ c ^r

= c ^rr

˜

σ von M verifizieren:

pr¨ ufe { A ˜ _i }: e (˜ a, Z _i ) = ^? e (g , A ˜ _i )

pr¨ ufe ˜ b und { B ˜ _i }: e (˜ a, Y ) = ^? e (g , b) und ˜ e(˜ A _i , Y ) = ^? e(g , B ˜ _i ) pr¨ ufe ˆ c : ZPK

(µ ⁽⁰⁾ , ..., µ ^(l) , ̺) :

e (X ˜ a) · e(X ˜ b) ^µ

·

l

Q e (X B ˜ ) ^µ

= ^? e (g c ˆ ) ^̺ und M = g ^µ

·

l

Q Z ^µ

i=1 i 1 l

pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}),

σ = (a = g ^α , {A i = a ^z

}, b = a ^y , {B i = (A i ) ^y }, c = a ^x M ^αxy ) Commitment der Signatur: w¨ ahle r , r ^′ ∈ _R Z q , berechne

˜

σ =

˜

a = a ^r , { A ˜ _i = A ^r _i }, ˜ b = b ^r , { B ˜ _i = B _i ^r }, c ˆ = ˜ c ^r

= c ^rr

˜

σ von M verifizieren:

pr¨ ufe { A ˜ _i }: e (˜ a, Z _i ) = ^? e (g , A ˜ _i )

pr¨ ufe ˜ b und { B ˜ _i }: e (˜ a, Y ) = ^? e (g , b) und ˜ e(˜ A _i , Y ) = ^? e(g , B ˜ _i ) pr¨ ufe ˆ c : ZPK

(µ ⁽⁰⁾ , ..., µ ^(l) , ̺) :

i=1 i 1 l

pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}),

σ = (a = g ^α , {A i = a ^z

}, b = a ^y , {B i = (A i ) ^y }, c = a ^x M ^αxy ) Commitment der Signatur: w¨ ahle r , r ^′ ∈ _R Z q , berechne

˜

σ =

˜

a = a ^r , { A ˜ _i = A ^r _i }, ˜ b = b ^r , { B ˜ _i = B _i ^r }, c ˆ = ˜ c ^r

= c ^rr

˜

σ von M verifizieren:

pr¨ ufe { A ˜ _i }: e (˜ a, Z _i ) = ^? e (g , A ˜ _i )

pr¨ ufe ˜ b und { B ˜ _i }: e (˜ a, Y ) = ^? e (g , b) und ˜ e(˜ A _i , Y ) = ^? e(g , B ˜ _i ) pr¨ ufe ˆ c : ZPK

(µ ⁽⁰⁾ , ..., µ ^(l) , ̺) :

e (X ˜ a) · e(X ˜ b) ^µ

·

l

Q e (X B ˜ ) ^µ

= ^? e (g c ˆ ) ^̺ und M = g ^µ

·

l

Q Z ^µ

i=1 i 1 l

pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}),

σ = (a = g ^α , {A i = a ^z

}, b = a ^y , {B i = (A i ) ^y }, c = a ^x M ^αxy ) Commitment der Signatur: w¨ ahle r , r ^′ ∈ _R Z q , berechne

˜

σ =

˜

a = a ^r , { A ˜ _i = A ^r _i }, ˜ b = b ^r , { B ˜ _i = B _i ^r }, c ˆ = ˜ c ^r

= c ^rr

˜

σ von M verifizieren:

pr¨ ufe { A ˜ _i }: e (˜ a, Z _i ) = ^? e (g , A ˜ _i )

pr¨ ufe ˜ b und { B ˜ _i }: e (˜ a, Y ) = ^? e (g , b) und ˜ e(˜ A _i , Y ) = ^? e(g , B ˜ _i ) pr¨ ufe ˆ c : ZPK

(µ ⁽⁰⁾ , ..., µ ^(l) , ̺) :

i=1 i 1 l

pk = (X = g ^x , Y = g ^y , {Z i = g ^z

}, {W i = Y ^z

}),

σ = (a = g ^α , {A i = a ^z

}, b = a ^y , {B i = (A i ) ^y }, c = a ^x M ^αxy ) Commitment der Signatur: w¨ ahle r , r ^′ ∈ _R Z q , berechne

˜

σ =

˜

a = a ^r , { A ˜ _i = A ^r _i }, ˜ b = b ^r , { B ˜ _i = B _i ^r }, c ˆ = ˜ c ^r

= c ^rr

˜

σ von M verifizieren:

pr¨ ufe { A ˜ _i }: e (˜ a, Z _i ) = ^? e (g , A ˜ _i )

pr¨ ufe ˜ b und { B ˜ _i }: e (˜ a, Y ) = ^? e (g , b) und ˜ e(˜ A _i , Y ) = ^? e(g , B ˜ _i ) pr¨ ufe ˆ c : ZPK

(µ ⁽⁰⁾ , ..., µ ^(l) , ̺) :

e (X ˜ a) · e(X ˜ b) ^µ

·

l

Q e (X B ˜ ) ^µ

= ^? e (g c ˆ ) ^̺ und M = g ^µ

·

l

Q Z ^µ

H¨ andlerM

einl¨ osen

BankB

abheben bezahlen

drei Parteien Protokoll mit Bank B, Nutzer U und H¨ andler M, mit jeweils ¨ offentlichen Schl¨ ussel pk _(.) und privaten Schl¨ ussel sk _(.) Bezahlung soll ohne Interaktion mit der Bank stattfinden (’offline E-cash’) es werden mehrere M¨ unzen auf einmal abgehoben (’compact’)

es muss passend gezahlt werden

Geld kann nicht an andere Nutzer

H¨ andlerM

einl¨ osen

BankB

abheben

NutzerU

bezahlen

drei Parteien Protokoll mit Bank B, Nutzer U und H¨ andler M, mit jeweils ¨ offentlichen Schl¨ ussel pk _(.) und privaten Schl¨ ussel sk _(.) Bezahlung soll ohne Interaktion mit der Bank stattfinden (’offline E-cash’) es werden mehrere M¨ unzen auf einmal abgehoben (’compact’)

es muss passend gezahlt werden

Geld kann nicht an andere Nutzer

transferiert werden (’non transferable’)

H¨ andlerM

einl¨ osen

BankB

abheben bezahlen

drei Parteien Protokoll mit Bank B, Nutzer U und H¨ andler M, mit jeweils ¨ offentlichen Schl¨ ussel pk _(.) und privaten Schl¨ ussel sk _(.) Bezahlung soll ohne Interaktion mit der Bank stattfinden (’offline E-cash’) es werden mehrere M¨ unzen auf einmal abgehoben (’compact’)

es muss passend gezahlt werden

Geld kann nicht an andere Nutzer

H¨ andlerM

einl¨ osen

BankB

abheben

NutzerU

bezahlen

drei Parteien Protokoll mit Bank B, Nutzer U und H¨ andler M, mit jeweils ¨ offentlichen Schl¨ ussel pk _(.) und privaten Schl¨ ussel sk _(.) Bezahlung soll ohne Interaktion mit der Bank stattfinden (’offline E-cash’) es werden mehrere M¨ unzen auf einmal abgehoben (’compact’)

es muss passend gezahlt werden

Geld kann nicht an andere Nutzer

transferiert werden (’non transferable’)

H¨ andlerM

einl¨ osen

BankB

abheben bezahlen

drei Parteien Protokoll mit Bank B, Nutzer U und H¨ andler M, mit jeweils ¨ offentlichen Schl¨ ussel pk _(.) und privaten Schl¨ ussel sk _(.) Bezahlung soll ohne Interaktion mit der Bank stattfinden (’offline E-cash’) es werden mehrere M¨ unzen auf einmal abgehoben (’compact’)

es muss passend gezahlt werden

Geld kann nicht an andere Nutzer

H¨ andlerM

einl¨ osen

BankB

abheben

NutzerU

bezahlen

drei Parteien Protokoll mit Bank B, Nutzer U und H¨ andler M, mit jeweils ¨ offentlichen Schl¨ ussel pk _(.) und privaten Schl¨ ussel sk _(.) Bezahlung soll ohne Interaktion mit der Bank stattfinden (’offline E-cash’) es werden mehrere M¨ unzen auf einmal abgehoben (’compact’)

es muss passend gezahlt werden

Geld kann nicht an andere Nutzer

transferiert werden (’non transferable’)

Sicherheitsziele

M¨ unzen sind personen gebunden (gebunden an

¨

offentlichen-/privaten-Schl¨ ussel, diebstahlsicher)

kein Zusammenschluss von zwei Parteien soll die dritte betr¨ ugen k¨onnen

Nutzer kann die G¨ultigkeit der abgehobenen M¨ unze pr¨ ufen und nachweisen

Mehrfachausgabe/-einl¨ osen von M¨ unzen muss f¨ ur die Bank nachweisbar sein

Falschbeschuldigungen sind nicht m¨ oglich, Bank hat die

Nachweispflicht

Sicherheitsziele

M¨ unzen sind personen gebunden (gebunden an

¨

offentlichen-/privaten-Schl¨ ussel, diebstahlsicher)

kein Zusammenschluss von zwei Parteien soll die dritte betr¨ ugen k¨onnen

Nutzer kann die G¨ultigkeit der abgehobenen M¨ unze pr¨ ufen und nachweisen

Mehrfachausgabe/-einl¨ osen von M¨ unzen muss f¨ ur die Bank nachweisbar sein

Falschbeschuldigungen sind nicht m¨ oglich, Bank hat die Nachweispflicht

Zahlungen des Nutzers sind anonym

Sicherheitsziele

M¨ unzen sind personen gebunden (gebunden an

¨

offentlichen-/privaten-Schl¨ ussel, diebstahlsicher)

kein Zusammenschluss von zwei Parteien soll die dritte betr¨ ugen k¨onnen

Nutzer kann die G¨ultigkeit der abgehobenen M¨ unze pr¨ ufen und nachweisen

Mehrfachausgabe/-einl¨ osen von M¨ unzen muss f¨ ur die Bank nachweisbar sein

Falschbeschuldigungen sind nicht m¨ oglich, Bank hat die

Nachweispflicht

Sicherheitsziele

M¨ unzen sind personen gebunden (gebunden an

¨

offentlichen-/privaten-Schl¨ ussel, diebstahlsicher)

kein Zusammenschluss von zwei Parteien soll die dritte betr¨ ugen k¨onnen

Nutzer kann die G¨ultigkeit der abgehobenen M¨ unze pr¨ ufen und nachweisen

Mehrfachausgabe/-einl¨ osen von M¨ unzen muss f¨ ur die Bank nachweisbar sein

Falschbeschuldigungen sind nicht m¨ oglich, Bank hat die Nachweispflicht

Zahlungen des Nutzers sind anonym

Sicherheitsziele

M¨ unzen sind personen gebunden (gebunden an

¨

offentlichen-/privaten-Schl¨ ussel, diebstahlsicher)

kein Zusammenschluss von zwei Parteien soll die dritte betr¨ ugen k¨onnen

Nutzer kann die G¨ultigkeit der abgehobenen M¨ unze pr¨ ufen und nachweisen

Mehrfachausgabe/-einl¨ osen von M¨ unzen muss f¨ ur die Bank nachweisbar sein

Falschbeschuldigungen sind nicht m¨ oglich, Bank hat die

Nachweispflicht

Sicherheitsziele

M¨ unzen sind personen gebunden (gebunden an

¨

offentlichen-/privaten-Schl¨ ussel, diebstahlsicher)

kein Zusammenschluss von zwei Parteien soll die dritte betr¨ ugen k¨onnen

Nutzer kann die G¨ultigkeit der abgehobenen M¨ unze pr¨ ufen und nachweisen

Mehrfachausgabe/-einl¨ osen von M¨ unzen muss f¨ ur die Bank nachweisbar sein

Falschbeschuldigungen sind nicht m¨ oglich, Bank hat die Nachweispflicht

Zahlungen des Nutzers sind anonym

Sicherheitsziele

M¨ unzen sind personen gebunden (gebunden an

¨

offentlichen-/privaten-Schl¨ ussel, diebstahlsicher)

kein Zusammenschluss von zwei Parteien soll die dritte betr¨ ugen k¨onnen

Nutzer kann die G¨ultigkeit der abgehobenen M¨ unze pr¨ ufen und nachweisen

Mehrfachausgabe/-einl¨ osen von M¨ unzen muss f¨ ur die Bank nachweisbar sein

Falschbeschuldigungen sind nicht m¨ oglich, Bank hat die

Nachweispflicht

U sendet der Bank Σ w = ZPK {(µ) : pk _U = g ^µ }

U w¨ ahlt s ^′ , t ∈ Z q , sendet A ^′ = PedCom(sk _U , s ^′ , t; r ) an die Bank B sendet r ^′ ∈ _R Z q an den Nutzer

Beide berechnen

A = g ^r

· A ^′ = PedCom(sk _U , s ^′ + r ^′ , t; r) = PedCom(sk _U , s, t ; r) da s = s ^′ + r ^′ gilt, haben beide Zufall zur Seriennummer beigetragen Bank signiert das Commitment und sendet σ = sig _cl (sk _U , s , t) an den Nutzer

U speichert Geldb¨ orse W = (sk _U , s, t , σ, J) (J l -bit-Z¨ ahler)

Bank zieht Nutzer 2 ^l Geldeinheiten vom Konto ab

U sendet der Bank Σ w = ZPK {(µ) : pk _U = g ^µ }

U w¨ ahlt s ^′ , t ∈ Z q , sendet A ^′ = PedCom(sk _U , s ^′ , t; r ) an die Bank B sendet r ^′ ∈ _R Z q an den Nutzer

Beide berechnen

A = g ^r

· A ^′ = PedCom(sk _U , s ^′ + r ^′ , t; r) = PedCom(sk _U , s, t ; r) da s = s ^′ + r ^′ gilt, haben beide Zufall zur Seriennummer beigetragen Bank signiert das Commitment und sendet σ = sig _cl (sk _U , s , t) an den Nutzer

U speichert Geldb¨ orse W = (sk _U , s, t , σ, J) (J l -bit-Z¨ ahler)

Bank zieht Nutzer 2 ^l Geldeinheiten vom Konto ab

U sendet der Bank Σ w = ZPK {(µ) : pk _U = g ^µ }

U w¨ ahlt s ^′ , t ∈ Z q , sendet A ^′ = PedCom(sk _U , s ^′ , t; r ) an die Bank B sendet r ^′ ∈ _R Z q an den Nutzer

Beide berechnen

A = g ^r

· A ^′ = PedCom(sk _U , s ^′ + r ^′ , t; r) = PedCom(sk _U , s, t ; r) da s = s ^′ + r ^′ gilt, haben beide Zufall zur Seriennummer beigetragen Bank signiert das Commitment und sendet σ = sig _cl (sk _U , s , t) an den Nutzer

U speichert Geldb¨ orse W = (sk _U , s, t , σ, J) (J l -bit-Z¨ ahler)

Bank zieht Nutzer 2 ^l Geldeinheiten vom Konto ab