• Keine Ergebnisse gefunden

8.Februar2011 wilhelm@math.hu-berlin.de PaulWilhelm ElektronischesGeld

N/A
N/A
Protected

Academic year: 2022

Aktie "8.Februar2011 wilhelm@math.hu-berlin.de PaulWilhelm ElektronischesGeld"

Copied!
109
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Volltext

(1)

Elektronisches Geld

Paul Wilhelm wilhelm@math.hu-berlin.de

Humboldt-Universit¨ at zu Berlin

8. Februar 2011

(2)

1 Kryptographische Primitive Commitment Schema Zero-Knowledge-Protokoll

2 CHL Compact E-Cash-Verfahren CL Signatur

Blinde CL Signatur

Compact E-Cash-Verfahren

Literatur

(3)

Definiton Commitment Schema:

Zwei Phasen Protokoll zwischen Sender und Empf¨ anger:

1

Verbindliches Bekenntnis zu einem geheimen Wert.

2

Offenlegung des Wertes

Sicherheitsziele:

Geheimhaltung

Verbindlichkeit (nur ein g¨ ultiger Wert)

(4)

Definiton Commitment Schema:

Zwei Phasen Protokoll zwischen Sender und Empf¨ anger:

1

Verbindliches Bekenntnis zu einem geheimen Wert.

2

Offenlegung des Wertes

Sicherheitsziele:

Geheimhaltung

Verbindlichkeit (nur ein g¨ ultiger Wert)

(5)

Definiton Commitment Schema:

Zwei Phasen Protokoll zwischen Sender und Empf¨ anger:

1

Verbindliches Bekenntnis zu einem geheimen Wert.

2

Offenlegung des Wertes

Sicherheitsziele:

Geheimhaltung

Verbindlichkeit (nur ein g¨ ultiger Wert)

(6)

Definiton Commitment Schema:

Zwei Phasen Protokoll zwischen Sender und Empf¨ anger:

1

Verbindliches Bekenntnis zu einem geheimen Wert.

2

Offenlegung des Wertes

Sicherheitsziele:

Geheimhaltung

Verbindlichkeit (nur ein g¨ ultiger Wert)

(7)

Definiton Commitment Schema:

Zwei Phasen Protokoll zwischen Sender und Empf¨ anger:

1

Verbindliches Bekenntnis zu einem geheimen Wert.

2

Offenlegung des Wertes

Sicherheitsziele:

Geheimhaltung

Verbindlichkeit (nur ein g¨ ultiger Wert)

(8)

Definiton Commitment Schema:

Zwei Phasen Protokoll zwischen Sender und Empf¨ anger:

1

Verbindliches Bekenntnis zu einem geheimen Wert.

2

Offenlegung des Wertes

Sicherheitsziele:

Geheimhaltung

Verbindlichkeit (nur ein g¨ ultiger Wert)

(9)

Definiton Commitment Schema:

Zwei Phasen Protokoll zwischen Sender und Empf¨ anger:

1

Verbindliches Bekenntnis zu einem geheimen Wert.

2

Offenlegung des Wertes

Sicherheitsziele:

Geheimhaltung

Verbindlichkeit (nur ein g¨ ultiger Wert)

Formalisierbar f¨ ur effiziente Protokolle.

(10)

Definiton Commitment Schema:

Zwei Phasen Protokoll zwischen Sender und Empf¨ anger:

1

Verbindliches Bekenntnis zu einem geheimen Wert.

2

Offenlegung des Wertes

Sicherheitsziele:

Geheimhaltung

Verbindlichkeit (nur ein g¨ ultiger Wert)

Formalisierbar f¨ ur effiziente Protokolle.

(11)

Pedersen Commitment:

Gruppe G , |G | = q ∈ P, < g i >= G ∀0 ≤ i ≤ m Geheimnis: (v 1 , ..., v m ) ∈ Z m q

Sender w¨ ahlt r ∈ R Z q

Commitment: C =PedCom(v 1 , ..., v m ; r ) = g 0 r

m

Q

i=1

g i v

i

(12)

Pedersen Commitment:

Gruppe G , |G | = q ∈ P, < g i >= G ∀0 ≤ i ≤ m Geheimnis: (v 1 , ..., v m ) ∈ Z m q

Sender w¨ ahlt r ∈ R Z q

Commitment: C =PedCom(v 1 , ..., v m ; r ) = g 0 r

m

Q

i=1

g i v

i

(13)

Pedersen Commitment:

Gruppe G , |G | = q ∈ P, < g i >= G ∀0 ≤ i ≤ m Geheimnis: (v 1 , ..., v m ) ∈ Z m q

Sender w¨ ahlt r ∈ R Z q

Commitment: C =PedCom(v 1 , ..., v m ; r ) = g 0 r

m

Q

i=1

g i v

i

(14)

Pedersen Commitment:

Gruppe G , |G | = q ∈ P, < g i >= G ∀0 ≤ i ≤ m Geheimnis: (v 1 , ..., v m ) ∈ Z m q

Sender w¨ ahlt r ∈ R Z q

Commitment: C =PedCom(v 1 , ..., v m ; r ) = g 0 r

m

Q

i=1

g i v

i

(15)

Pedersen Commitment:

Gruppe G , |G | = q ∈ P, < g i >= G ∀0 ≤ i ≤ m Geheimnis: (v 1 , ..., v m ) ∈ Z m q

Sender w¨ ahlt r ∈ R Z q

Commitment: C =PedCom(v 1 , ..., v m ; r ) = g 0 r

m

Q

i=1

g i v

i

(16)

Definition Zero-Knowledge-Proof-of-Knowledge:

Mehrphasen Protokoll zwischen Beweiser P und Verifizierer V

P beweist V , dass er ein Wort x kennt, das in einer formalen Sprache L liegt

Sicherheitsziele:

Vollst¨ andigkeit: x ∈ L ⇒ V akzeptiert immer Zuverl¨ assigkeit: Pr [x 6∈ L und V akzeptiert] ist klein

Zero-Knowledge-Eigenschaft: V erf¨ ahrt nichts ¨ uber x außer x ∈ L

oder x 6∈ L

(17)

Definition Zero-Knowledge-Proof-of-Knowledge:

Mehrphasen Protokoll zwischen Beweiser P und Verifizierer V

P beweist V , dass er ein Wort x kennt, das in einer formalen Sprache L liegt

Sicherheitsziele:

Vollst¨ andigkeit: x ∈ L ⇒ V akzeptiert immer Zuverl¨ assigkeit: Pr [x 6∈ L und V akzeptiert] ist klein

Zero-Knowledge-Eigenschaft: V erf¨ ahrt nichts ¨ uber x außer x ∈ L

oder x 6∈ L

(18)

Definition Zero-Knowledge-Proof-of-Knowledge:

Mehrphasen Protokoll zwischen Beweiser P und Verifizierer V

P beweist V , dass er ein Wort x kennt, das in einer formalen Sprache L liegt

Sicherheitsziele:

Vollst¨ andigkeit: x ∈ L ⇒ V akzeptiert immer Zuverl¨ assigkeit: Pr [x 6∈ L und V akzeptiert] ist klein

Zero-Knowledge-Eigenschaft: V erf¨ ahrt nichts ¨ uber x außer x ∈ L

oder x 6∈ L

(19)

Definition Zero-Knowledge-Proof-of-Knowledge:

Mehrphasen Protokoll zwischen Beweiser P und Verifizierer V

P beweist V , dass er ein Wort x kennt, das in einer formalen Sprache L liegt

Sicherheitsziele:

Vollst¨ andigkeit: x ∈ L ⇒ V akzeptiert immer Zuverl¨ assigkeit: Pr [x 6∈ L und V akzeptiert] ist klein

Zero-Knowledge-Eigenschaft: V erf¨ ahrt nichts ¨ uber x außer x ∈ L

oder x 6∈ L

(20)

Definition Zero-Knowledge-Proof-of-Knowledge:

Mehrphasen Protokoll zwischen Beweiser P und Verifizierer V

P beweist V , dass er ein Wort x kennt, das in einer formalen Sprache L liegt

Sicherheitsziele:

Vollst¨ andigkeit: x ∈ L ⇒ V akzeptiert immer Zuverl¨ assigkeit: Pr [x 6∈ L und V akzeptiert] ist klein

Zero-Knowledge-Eigenschaft: V erf¨ ahrt nichts ¨ uber x außer x ∈ L

oder x 6∈ L

(21)

Definition Zero-Knowledge-Proof-of-Knowledge:

Mehrphasen Protokoll zwischen Beweiser P und Verifizierer V

P beweist V , dass er ein Wort x kennt, das in einer formalen Sprache L liegt

Sicherheitsziele:

Vollst¨ andigkeit: x ∈ L ⇒ V akzeptiert immer Zuverl¨ assigkeit: Pr [x 6∈ L und V akzeptiert] ist klein

Zero-Knowledge-Eigenschaft: V erf¨ ahrt nichts ¨ uber x außer x ∈ L

oder x 6∈ L

(22)

Definition Zero-Knowledge-Proof-of-Knowledge:

Mehrphasen Protokoll zwischen Beweiser P und Verifizierer V

P beweist V , dass er ein Wort x kennt, das in einer formalen Sprache L liegt

Sicherheitsziele:

Vollst¨ andigkeit: x ∈ L ⇒ V akzeptiert immer Zuverl¨ assigkeit: Pr [x 6∈ L und V akzeptiert] ist klein

Zero-Knowledge-Eigenschaft: V erf¨ ahrt nichts ¨ uber x außer x ∈ L

oder x 6∈ L

(23)

Beispiel - interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y = Q m

i=1

g i x

i

, V kennt nur y und g i

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t =

m

Q

i=1

g i v

i

an V (commitment)

2

V sendet c ∈ R {0, 1} an P (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V ¨ uberpr¨ uft ob

m

Q

i=1

g i r

i

· y c = ? t

(24)

Beispiel - interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y = Q m

i=1

g i x

i

, V kennt nur y und g i

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t =

m

Q

i=1

g i v

i

an V (commitment)

2

V sendet c ∈ R {0, 1} an P (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V ¨ uberpr¨ uft ob

m

Q

i=1

g i r

i

· y c = ? t

(25)

Beispiel - interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y = Q m

i=1

g i x

i

, V kennt nur y und g i

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t =

m

Q

i=1

g i v

i

an V (commitment)

2

V sendet c ∈ R {0, 1} an P (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V ¨ uberpr¨ uft ob

m

Q

i=1

g i r

i

· y c = ? t

(26)

Beispiel - interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y = Q m

i=1

g i x

i

, V kennt nur y und g i

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t =

m

Q

i=1

g i v

i

an V (commitment)

2

V sendet c ∈ R {0, 1} an P (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V ¨ uberpr¨ uft ob

m

Q

i=1

g i r

i

· y c = ? t

(27)

Beispiel - interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y = Q m

i=1

g i x

i

, V kennt nur y und g i

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t =

m

Q

i=1

g i v

i

an V (commitment)

2

V sendet c ∈ R {0, 1} an P (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V ¨ uberpr¨ uft ob

m

Q

i=1

g i r

i

· y c = ? t

(28)

Beispiel - interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y = Q m

i=1

g i x

i

, V kennt nur y und g i

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t =

m

Q

i=1

g i v

i

an V (commitment)

2

V sendet c ∈ R {0, 1} an P (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V ¨ uberpr¨ uft ob

m

Q

i=1

g i r

i

· y c = ? t

(29)

Beispiel - interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y = Q m

i=1

g i x

i

, V kennt nur y und g i

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t =

m

Q

i=1

g i v

i

an V (commitment)

2

V sendet c ∈ R {0, 1} an P (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V ¨ uberpr¨ uft ob

m

Q

i=1

g i r

i

· y c = ? t

wiederhole 1-4, w¨ ahle v i und c neu

(30)

Beispiel - nicht interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y =

m

Q

i=1

g i x

i

, V kennt nur y und g i P und V kennen Hash-Funktion H : G m × G × G → Z q

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t = Q m

i=1

g i v

i

an V (commitment)

2

P berechnet c = H(g 1 , ..., g m , y, t ) (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V berechnet c = H(g 1 , ..., g m , y, t) und ¨ uberpr¨ uft ob

m

Q

i=1

g i r

i

· y c = ? t

(31)

Beispiel - nicht interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y =

m

Q

i=1

g i x

i

, V kennt nur y und g i P und V kennen Hash-Funktion H : G m × G × G → Z q

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t = Q m

i=1

g i v

i

an V (commitment)

2

P berechnet c = H(g 1 , ..., g m , y, t ) (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V berechnet c = H(g 1 , ..., g m , y, t) und ¨ uberpr¨ uft ob

m

Q

i=1

g i r

i

· y c = ? t

(32)

Beispiel - nicht interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y =

m

Q

i=1

g i x

i

, V kennt nur y und g i P und V kennen Hash-Funktion H : G m × G × G → Z q

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t = Q m

i=1

g i v

i

an V (commitment)

2

P berechnet c = H(g 1 , ..., g m , y, t ) (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V berechnet c = H(g 1 , ..., g m , y, t) und ¨ uberpr¨ uft ob

m

Q

i=1

g i r

i

· y c = ? t

(33)

Beispiel - nicht interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y =

m

Q

i=1

g i x

i

, V kennt nur y und g i P und V kennen Hash-Funktion H : G m × G × G → Z q

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t = Q m

i=1

g i v

i

an V (commitment)

2

P berechnet c = H(g 1 , ..., g m , y, t ) (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V berechnet c = H(g 1 , ..., g m , y, t) und ¨ uberpr¨ uft ob

m

Q

i=1

g i r

i

· y c = ? t

(34)

Beispiel - nicht interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y =

m

Q

i=1

g i x

i

, V kennt nur y und g i P und V kennen Hash-Funktion H : G m × G × G → Z q

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t = Q m

i=1

g i v

i

an V (commitment)

2

P berechnet c = H(g 1 , ..., g m , y, t ) (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V berechnet c = H(g 1 , ..., g m , y, t) und ¨ uberpr¨ uft ob

m

Q

i=1

g i r

i

· y c = ? t

(35)

Beispiel - nicht interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y =

m

Q

i=1

g i x

i

, V kennt nur y und g i P und V kennen Hash-Funktion H : G m × G × G → Z q

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t = Q m

i=1

g i v

i

an V (commitment)

2

P berechnet c = H(g 1 , ..., g m , y, t ) (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V berechnet c = H(g 1 , ..., g m , y, t) und ¨ uberpr¨ uft ob

m

Q

i=1

g i r

i

· y c = ? t

(36)

Beispiel - nicht interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y =

m

Q

i=1

g i x

i

, V kennt nur y und g i P und V kennen Hash-Funktion H : G m × G × G → Z q

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t = Q m

i=1

g i v

i

an V (commitment)

2

P berechnet c = H(g 1 , ..., g m , y, t ) (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V berechnet c = H(g 1 , ..., g m , y, t) und ¨ uberpr¨ uft ob

m

Q

i=1

g i r

i

· y c = ? t

(37)

Definition ZPK

1 , ..., α m ) : y = Q m

i=1

g i α

i

= {g 1 , ..., g m , y, H, t, r 1 , ..., r m }

(38)

Definition ZPK

1 , ..., α m ) : y = Q m

i=1

g i α

i

= {g 1 , ..., g m , y, H, t, r 1 , ..., r m }

(39)

Seien G =< g > und G t =< g ˆ > Gruppen der Ordnung q ∈ P Es gibt eine Abbildung e : G × G → G t mit:

e(P a , Q b ) = e(P, Q) ab ∀ P , Q ∈ G , a, b ∈ Z q (bilinear)

∃ P , Q ∈ G mit e(P , Q ) 6= 1 ∈ G t (nicht degeneriert) e(., .) ist effizient berechenbar

∀ g mit < g >= G gilt < e (g , g ) >= G t

(40)

Seien G =< g > und G t =< g ˆ > Gruppen der Ordnung q ∈ P Es gibt eine Abbildung e : G × G → G t mit:

e(P a , Q b ) = e(P, Q) ab ∀ P , Q ∈ G , a, b ∈ Z q (bilinear)

∃ P , Q ∈ G mit e(P , Q ) 6= 1 ∈ G t (nicht degeneriert) e(., .) ist effizient berechenbar

∀ g mit < g >= G gilt < e (g , g ) >= G t

(41)

Seien G =< g > und G t =< g ˆ > Gruppen der Ordnung q ∈ P Es gibt eine Abbildung e : G × G → G t mit:

e(P a , Q b ) = e(P, Q) ab ∀ P , Q ∈ G , a, b ∈ Z q (bilinear)

∃ P , Q ∈ G mit e(P , Q ) 6= 1 ∈ G t (nicht degeneriert) e(., .) ist effizient berechenbar

∀ g mit < g >= G gilt < e (g , g ) >= G t

(42)

Seien G =< g > und G t =< g ˆ > Gruppen der Ordnung q ∈ P Es gibt eine Abbildung e : G × G → G t mit:

e(P a , Q b ) = e(P, Q) ab ∀ P , Q ∈ G , a, b ∈ Z q (bilinear)

∃ P , Q ∈ G mit e(P , Q ) 6= 1 ∈ G t (nicht degeneriert) e(., .) ist effizient berechenbar

∀ g mit < g >= G gilt < e (g , g ) >= G t

(43)

Seien G =< g > und G t =< g ˆ > Gruppen der Ordnung q ∈ P Es gibt eine Abbildung e : G × G → G t mit:

e(P a , Q b ) = e(P, Q) ab ∀ P , Q ∈ G , a, b ∈ Z q (bilinear)

∃ P , Q ∈ G mit e(P , Q ) 6= 1 ∈ G t (nicht degeneriert) e(., .) ist effizient berechenbar

∀ g mit < g >= G gilt < e (g , g ) >= G t

(44)

Seien G =< g > und G t =< g ˆ > Gruppen der Ordnung q ∈ P Es gibt eine Abbildung e : G × G → G t mit:

e(P a , Q b ) = e(P, Q) ab ∀ P , Q ∈ G , a, b ∈ Z q (bilinear)

∃ P , Q ∈ G mit e(P , Q ) 6= 1 ∈ G t (nicht degeneriert) e(., .) ist effizient berechenbar

∀ g mit < g >= G gilt < e (g , g ) >= G t

(45)

Seien G =< g > und G t =< g ˆ > Gruppen der Ordnung q ∈ P Es gibt eine Abbildung e : G × G → G t mit:

e(P a , Q b ) = e(P, Q) ab ∀ P , Q ∈ G , a, b ∈ Z q (bilinear)

∃ P , Q ∈ G mit e(P , Q ) 6= 1 ∈ G t (nicht degeneriert) e(., .) ist effizient berechenbar

∀ g mit < g >= G gilt < e (g , g ) >= G t

(46)

Offentlicher Schl¨ ¨ ussel pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}) signieren:

W¨ ahle a ∈ R G , setze Signatur

σ =

a, {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x+xym

(0)

· Q l

i =1

A xym i

(i)

verifizieren:

pr¨ ufe {A i }: e (a, Z i ) = ? e (g , A i )

pr¨ ufe b und {B i }: e (a, Y ) = ? e (g , b) und e(A i , Y ) = ? e(g , B i )

(47)

Offentlicher Schl¨ ¨ ussel pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}) signieren:

W¨ ahle a ∈ R G , setze Signatur

σ =

a, {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x+xym

(0)

· Q l

i =1

A xym i

(i)

verifizieren:

pr¨ ufe {A i }: e (a, Z i ) = ? e (g , A i )

pr¨ ufe b und {B i }: e (a, Y ) = ? e (g , b) und e(A i , Y ) = ? e(g , B i ) pr¨ ufe c : e(X , a) · e(X , b) m

(0)

· Q l

i=1

e (X , B i ) m

(i)

= ? e(g , c)

(48)

Offentlicher Schl¨ ¨ ussel pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}) signieren:

W¨ ahle a ∈ R G , setze Signatur

σ =

a, {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x+xym

(0)

· Q l

i =1

A xym i

(i)

verifizieren:

pr¨ ufe {A i }: e (a, Z i ) = ? e (g , A i )

pr¨ ufe b und {B i }: e (a, Y ) = ? e (g , b) und e(A i , Y ) = ? e(g , B i )

(49)

Offentlicher Schl¨ ¨ ussel pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}) signieren:

W¨ ahle a ∈ R G , setze Signatur

σ =

a, {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x+xym

(0)

· Q l

i =1

A xym i

(i)

verifizieren:

pr¨ ufe {A i }: e (a, Z i ) = ? e (g , A i )

pr¨ ufe b und {B i }: e (a, Y ) = ? e (g , b) und e(A i , Y ) = ? e(g , B i ) pr¨ ufe c : e(X , a) · e(X , b) m

(0)

· Q l

i=1

e (X , B i ) m

(i)

= ? e(g , c)

(50)

Offentlicher Schl¨ ¨ ussel pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}) signieren:

W¨ ahle a ∈ R G , setze Signatur

σ =

a, {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x+xym

(0)

· Q l

i =1

A xym i

(i)

verifizieren:

pr¨ ufe {A i }: e (a, Z i ) = ? e (g , A i )

pr¨ ufe b und {B i }: e (a, Y ) = ? e (g , b) und e(A i , Y ) = ? e(g , B i )

(51)

Offentlicher Schl¨ ¨ ussel pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}) signieren:

W¨ ahle a ∈ R G , setze Signatur

σ =

a, {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x+xym

(0)

· Q l

i=1

A xym i

(i)

verifizieren:

pr¨ ufe {A i }: e (a, Z i ) = ? e (g , A i )

pr¨ ufe b und {B i }: e (a, Y ) = ? e (g , b) und e(A i , Y ) = ? e(g , B i ) pr¨ ufe c : e(X , a) · e(X , b) m

(0)

· Q l

i=1

e (X , B i ) m

(i)

= ? e(g , c)

(52)

Offentlicher Schl¨ ¨ ussel pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}) signieren:

W¨ ahle a ∈ R G , setze Signatur

σ =

a, {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x+xym

(0)

· Q l

i =1

A xym i

(i)

verifizieren:

pr¨ ufe {A i }: e (a, Z i ) = ? e (g , A i )

pr¨ ufe b und {B i }: e (a, Y ) = ? e (g , b) und e(A i , Y ) = ? e(g , B i )

(53)

Offentlicher Schl¨ ¨ ussel pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}) signieren:

W¨ ahle a ∈ R G , setze Signatur

σ =

a, {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x+xym

(0)

· Q l

i =1

A xym i

(i)

verifizieren:

pr¨ ufe {A i }: e (a, Z i ) = ? e (g , A i )

pr¨ ufe b und {B i }: e (a, Y ) = ? e (g , b) und e(A i , Y ) = ? e(g , B i ) pr¨ ufe c : e(X , a) · e(X , b) m

(0)

· Q l

i=1

e (X , B i ) m

(i)

= ? e(g , c)

(54)

Offentlicher Schl¨ ¨ ussel pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}) signieren:

W¨ ahle a ∈ R G , setze Signatur

σ =

a, {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x+xym

(0)

· Q l

i =1

A xym i

(i)

verifizieren:

pr¨ ufe {A i }: e (a, Z i ) = ? e (g , A i )

pr¨ ufe b und {B i }: e (a, Y ) = ? e (g , b) und e(A i , Y ) = ? e(g , B i )

(55)

Offentlicher Schl¨ ¨ ussel pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}) signieren:

W¨ ahle a ∈ R G , setze Signatur

σ =

a, {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x+xym

(0)

· Q l

i =1

A xym i

(i)

verifizieren:

pr¨ ufe {A i }: e (a, Z i ) = ? e (g , A i )

pr¨ ufe b und {B i }: e (a, Y ) = ? e (g , b) und e(A i , Y ) = ? e(g , B i ) pr¨ ufe c : e(X , a) · e(X , b) m

(0)

· Q l

i=1

e (X , B i ) m

(i)

= ? e(g , c)

(56)

Offentlicher Schl¨ ¨ ussel pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}) signieren:

W¨ ahle a ∈ R G , setze Signatur

σ =

a, {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x+xym

(0)

· Q l

i =1

A xym i

(i)

verifizieren:

pr¨ ufe {A i }: e (a, Z i ) = ? e (g , A i )

pr¨ ufe b und {B i }: e (a, Y ) = ? e (g , b) und e(A i , Y ) = ? e(g , B i )

(57)

i =1 i 1 l

Offentlicher Schl¨ ¨ ussel pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}) signieren:

W¨ ahle α ∈ R G , pr¨ ufe ZPK

(0) , ..., µ (l ) ) : M = g µ

(0)

·

l

Q

i =1

Z i µ

(i)

, setze Signatur σ = (a = g α , {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x M αxy )

verifizieren:

pr¨ ufe {A i }: e (a, Z i ) = ? e (g , A i )

pr¨ ufe b und {B i }: e (a, Y ) = ? e (g , b) und e(A i , Y ) = ? e(g , B i ) pr¨ ufe c : e(X , a) · e(X , b) m

(0)

·

l

Q e (X , B ) m

(i)

= ? e(g , c)

(58)

i =1 i 1 l

Offentlicher Schl¨ ¨ ussel pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}) signieren:

W¨ ahle α ∈ R G , pr¨ ufe ZPK

(0) , ..., µ (l ) ) : M = g µ

(0)

·

l

Q

i =1

Z i µ

(i)

, setze Signatur σ = (a = g α , {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x M αxy )

verifizieren:

pr¨ ufe {A i }: e (a, Z i ) = ? e (g , A i )

? ?

(59)

i =1 i 1 l

Offentlicher Schl¨ ¨ ussel pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}) signieren:

W¨ ahle α ∈ R G , pr¨ ufe ZPK

(0) , ..., µ (l ) ) : M = g µ

(0)

·

l

Q

i =1

Z i µ

(i)

, setze Signatur σ = (a = g α , {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x M αxy )

verifizieren:

pr¨ ufe {A i }: e (a, Z i ) = ? e (g , A i )

pr¨ ufe b und {B i }: e (a, Y ) = ? e (g , b) und e(A i , Y ) = ? e(g , B i ) pr¨ ufe c : e(X , a) · e(X , b) m

(0)

·

l

Q e (X , B ) m

(i)

= ? e(g , c)

(60)

i =1 i 1 l

Offentlicher Schl¨ ¨ ussel pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}) signieren:

W¨ ahle α ∈ R G , pr¨ ufe ZPK

(0) , ..., µ (l ) ) : M = g µ

(0)

·

l

Q

i =1

Z i µ

(i)

, setze Signatur σ = (a = g α , {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x M αxy )

verifizieren:

pr¨ ufe {A i }: e (a, Z i ) = ? e (g , A i )

? ?

(61)

i =1 i 1 l

Offentlicher Schl¨ ¨ ussel pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}) signieren:

W¨ ahle α ∈ R G , pr¨ ufe ZPK

(0) , ..., µ (l ) ) : M = g µ

(0)

·

l

Q

i =1

Z i µ

(i)

, setze Signatur σ = (a = g α , {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x M αxy )

verifizieren:

pr¨ ufe {A i }: e (a, Z i ) = ? e (g , A i )

pr¨ ufe b und {B i }: e (a, Y ) = ? e (g , b) und e(A i , Y ) = ? e(g , B i ) pr¨ ufe c : e(X , a) · e(X , b) m

(0)

·

l

Q e (X , B ) m

(i)

= ? e(g , c)

(62)

i =1 i 1 l

Offentlicher Schl¨ ¨ ussel pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}) signieren:

W¨ ahle α ∈ R G , pr¨ ufe ZPK

(0) , ..., µ (l ) ) : M = g µ

(0)

·

l

Q

i =1

Z i µ

(i)

, setze Signatur σ = (a = g α , {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x M αxy )

verifizieren:

pr¨ ufe {A i }: e (a, Z i ) = ? e (g , A i )

? ?

(63)

i =1 i 1 l

Offentlicher Schl¨ ¨ ussel pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}) signieren:

W¨ ahle α ∈ R G , pr¨ ufe ZPK

(0) , ..., µ (l ) ) : M = g µ

(0)

·

l

Q

i =1

Z i µ

(i)

, setze Signatur σ = (a = g α , {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x M αxy )

verifizieren:

pr¨ ufe {A i }: e (a, Z i ) = ? e (g , A i )

pr¨ ufe b und {B i }: e (a, Y ) = ? e (g , b) und e(A i , Y ) = ? e(g , B i ) pr¨ ufe c : e(X , a) · e(X , b) m

(0)

·

l

Q e (X , B ) m

(i)

= ? e(g , c)

(64)

i =1 i 1 l

Offentlicher Schl¨ ¨ ussel pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}) signieren:

W¨ ahle α ∈ R G , pr¨ ufe ZPK

(0) , ..., µ (l ) ) : M = g µ

(0)

·

l

Q

i =1

Z i µ

(i)

, setze Signatur σ = (a = g α , {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x M αxy )

verifizieren:

pr¨ ufe {A i }: e (a, Z i ) = ? e (g , A i )

? ?

(65)

i =1 i 1 l

Offentlicher Schl¨ ¨ ussel pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}) signieren:

W¨ ahle α ∈ R G , pr¨ ufe ZPK

(0) , ..., µ (l ) ) : M = g µ

(0)

·

l

Q

i =1

Z i µ

(i)

, setze Signatur σ = (a = g α , {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x M αxy )

verifizieren:

pr¨ ufe {A i }: e (a, Z i ) = ? e (g , A i )

pr¨ ufe b und {B i }: e (a, Y ) = ? e (g , b) und e(A i , Y ) = ? e(g , B i ) pr¨ ufe c : e(X , a) · e(X , b) m

(0)

·

l

Q e (X , B ) m

(i)

= ? e(g , c)

(66)

i=1 i 1 l

pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}),

σ = (a = g α , {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x M αxy ) Commitment der Signatur: w¨ ahle r , r R Z q , berechne

˜

σ =

˜

a = a r , { A ˜ i = A r i }, ˜ b = b r , { B ˜ i = B i r }, c ˆ = ˜ c r

= c rr

˜

σ von M verifizieren:

pr¨ ufe { A ˜ i }: e (˜ a, Z i ) = ? e (g , A ˜ i )

pr¨ ufe ˜ b und { B ˜ i }: e (˜ a, Y ) = ? e (g , b) und ˜ e(˜ A i , Y ) = ? e(g , B ˜ i ) pr¨ ufe ˆ c : ZPK

(0) , ..., µ (l) , ̺) :

(67)

i=1 i 1 l

pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}),

σ = (a = g α , {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x M αxy ) Commitment der Signatur: w¨ ahle r , r R Z q , berechne

˜

σ =

˜

a = a r , { A ˜ i = A r i }, ˜ b = b r , { B ˜ i = B i r }, c ˆ = ˜ c r

= c rr

˜

σ von M verifizieren:

pr¨ ufe { A ˜ i }: e (˜ a, Z i ) = ? e (g , A ˜ i )

pr¨ ufe ˜ b und { B ˜ i }: e (˜ a, Y ) = ? e (g , b) und ˜ e(˜ A i , Y ) = ? e(g , B ˜ i ) pr¨ ufe ˆ c : ZPK

(0) , ..., µ (l) , ̺) :

e (X ˜ a) · e(X ˜ b) µ

(0)

·

l

Q e (X B ˜ ) µ

(i)

= ? e (g c ˆ ) ̺ und M = g µ

(0)

·

l

Q Z µ

(i)

(68)

i=1 i 1 l

pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}),

σ = (a = g α , {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x M αxy ) Commitment der Signatur: w¨ ahle r , r R Z q , berechne

˜

σ =

˜

a = a r , { A ˜ i = A r i }, ˜ b = b r , { B ˜ i = B i r }, c ˆ = ˜ c r

= c rr

˜

σ von M verifizieren:

pr¨ ufe { A ˜ i }: e (˜ a, Z i ) = ? e (g , A ˜ i )

pr¨ ufe ˜ b und { B ˜ i }: e (˜ a, Y ) = ? e (g , b) und ˜ e(˜ A i , Y ) = ? e(g , B ˜ i ) pr¨ ufe ˆ c : ZPK

(0) , ..., µ (l) , ̺) :

(69)

i=1 i 1 l

pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}),

σ = (a = g α , {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x M αxy ) Commitment der Signatur: w¨ ahle r , r R Z q , berechne

˜

σ =

˜

a = a r , { A ˜ i = A r i }, ˜ b = b r , { B ˜ i = B i r }, c ˆ = ˜ c r

= c rr

˜

σ von M verifizieren:

pr¨ ufe { A ˜ i }: e (˜ a, Z i ) = ? e (g , A ˜ i )

pr¨ ufe ˜ b und { B ˜ i }: e (˜ a, Y ) = ? e (g , b) und ˜ e(˜ A i , Y ) = ? e(g , B ˜ i ) pr¨ ufe ˆ c : ZPK

(0) , ..., µ (l) , ̺) :

e (X ˜ a) · e(X ˜ b) µ

(0)

·

l

Q e (X B ˜ ) µ

(i)

= ? e (g c ˆ ) ̺ und M = g µ

(0)

·

l

Q Z µ

(i)

(70)

i=1 i 1 l

pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}),

σ = (a = g α , {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x M αxy ) Commitment der Signatur: w¨ ahle r , r R Z q , berechne

˜

σ =

˜

a = a r , { A ˜ i = A r i }, ˜ b = b r , { B ˜ i = B i r }, c ˆ = ˜ c r

= c rr

˜

σ von M verifizieren:

pr¨ ufe { A ˜ i }: e (˜ a, Z i ) = ? e (g , A ˜ i )

pr¨ ufe ˜ b und { B ˜ i }: e (˜ a, Y ) = ? e (g , b) und ˜ e(˜ A i , Y ) = ? e(g , B ˜ i ) pr¨ ufe ˆ c : ZPK

(0) , ..., µ (l) , ̺) :

(71)

i=1 i 1 l

pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}),

σ = (a = g α , {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x M αxy ) Commitment der Signatur: w¨ ahle r , r R Z q , berechne

˜

σ =

˜

a = a r , { A ˜ i = A r i }, ˜ b = b r , { B ˜ i = B i r }, c ˆ = ˜ c r

= c rr

˜

σ von M verifizieren:

pr¨ ufe { A ˜ i }: e (˜ a, Z i ) = ? e (g , A ˜ i )

pr¨ ufe ˜ b und { B ˜ i }: e (˜ a, Y ) = ? e (g , b) und ˜ e(˜ A i , Y ) = ? e(g , B ˜ i ) pr¨ ufe ˆ c : ZPK

(0) , ..., µ (l) , ̺) :

e (X ˜ a) · e(X ˜ b) µ

(0)

·

l

Q e (X B ˜ ) µ

(i)

= ? e (g c ˆ ) ̺ und M = g µ

(0)

·

l

Q Z µ

(i)

(72)

i=1 i 1 l

pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}),

σ = (a = g α , {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x M αxy ) Commitment der Signatur: w¨ ahle r , r R Z q , berechne

˜

σ =

˜

a = a r , { A ˜ i = A r i }, ˜ b = b r , { B ˜ i = B i r }, c ˆ = ˜ c r

= c rr

˜

σ von M verifizieren:

pr¨ ufe { A ˜ i }: e (˜ a, Z i ) = ? e (g , A ˜ i )

pr¨ ufe ˜ b und { B ˜ i }: e (˜ a, Y ) = ? e (g , b) und ˜ e(˜ A i , Y ) = ? e(g , B ˜ i ) pr¨ ufe ˆ c : ZPK

(0) , ..., µ (l) , ̺) :

(73)

i=1 i 1 l

pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}),

σ = (a = g α , {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x M αxy ) Commitment der Signatur: w¨ ahle r , r R Z q , berechne

˜

σ =

˜

a = a r , { A ˜ i = A r i }, ˜ b = b r , { B ˜ i = B i r }, c ˆ = ˜ c r

= c rr

˜

σ von M verifizieren:

pr¨ ufe { A ˜ i }: e (˜ a, Z i ) = ? e (g , A ˜ i )

pr¨ ufe ˜ b und { B ˜ i }: e (˜ a, Y ) = ? e (g , b) und ˜ e(˜ A i , Y ) = ? e(g , B ˜ i ) pr¨ ufe ˆ c : ZPK

(0) , ..., µ (l) , ̺) :

e (X ˜ a) · e(X ˜ b) µ

(0)

·

l

Q e (X B ˜ ) µ

(i)

= ? e (g c ˆ ) ̺ und M = g µ

(0)

·

l

Q Z µ

(i)

(74)

i=1 i 1 l

pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}),

σ = (a = g α , {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x M αxy ) Commitment der Signatur: w¨ ahle r , r R Z q , berechne

˜

σ =

˜

a = a r , { A ˜ i = A r i }, ˜ b = b r , { B ˜ i = B i r }, c ˆ = ˜ c r

= c rr

˜

σ von M verifizieren:

pr¨ ufe { A ˜ i }: e (˜ a, Z i ) = ? e (g , A ˜ i )

pr¨ ufe ˜ b und { B ˜ i }: e (˜ a, Y ) = ? e (g , b) und ˜ e(˜ A i , Y ) = ? e(g , B ˜ i ) pr¨ ufe ˆ c : ZPK

(0) , ..., µ (l) , ̺) :

(75)

i=1 i 1 l

pk = (X = g x , Y = g y , {Z i = g z

i

}, {W i = Y z

i

}),

σ = (a = g α , {A i = a z

i

}, b = a y , {B i = (A i ) y }, c = a x M αxy ) Commitment der Signatur: w¨ ahle r , r R Z q , berechne

˜

σ =

˜

a = a r , { A ˜ i = A r i }, ˜ b = b r , { B ˜ i = B i r }, c ˆ = ˜ c r

= c rr

˜

σ von M verifizieren:

pr¨ ufe { A ˜ i }: e (˜ a, Z i ) = ? e (g , A ˜ i )

pr¨ ufe ˜ b und { B ˜ i }: e (˜ a, Y ) = ? e (g , b) und ˜ e(˜ A i , Y ) = ? e(g , B ˜ i ) pr¨ ufe ˆ c : ZPK

(0) , ..., µ (l) , ̺) :

e (X ˜ a) · e(X ˜ b) µ

(0)

·

l

Q e (X B ˜ ) µ

(i)

= ? e (g c ˆ ) ̺ und M = g µ

(0)

·

l

Q Z µ

(i)

(76)

H¨ andlerM

einl¨ osen

BankB

abheben bezahlen

drei Parteien Protokoll mit Bank B, Nutzer U und H¨ andler M, mit jeweils ¨ offentlichen Schl¨ ussel pk (.) und privaten Schl¨ ussel sk (.) Bezahlung soll ohne Interaktion mit der Bank stattfinden (’offline E-cash’) es werden mehrere M¨ unzen auf einmal abgehoben (’compact’)

es muss passend gezahlt werden

Geld kann nicht an andere Nutzer

(77)

H¨ andlerM

einl¨ osen

BankB

abheben

NutzerU

bezahlen

drei Parteien Protokoll mit Bank B, Nutzer U und H¨ andler M, mit jeweils ¨ offentlichen Schl¨ ussel pk (.) und privaten Schl¨ ussel sk (.) Bezahlung soll ohne Interaktion mit der Bank stattfinden (’offline E-cash’) es werden mehrere M¨ unzen auf einmal abgehoben (’compact’)

es muss passend gezahlt werden

Geld kann nicht an andere Nutzer

transferiert werden (’non transferable’)

(78)

H¨ andlerM

einl¨ osen

BankB

abheben bezahlen

drei Parteien Protokoll mit Bank B, Nutzer U und H¨ andler M, mit jeweils ¨ offentlichen Schl¨ ussel pk (.) und privaten Schl¨ ussel sk (.) Bezahlung soll ohne Interaktion mit der Bank stattfinden (’offline E-cash’) es werden mehrere M¨ unzen auf einmal abgehoben (’compact’)

es muss passend gezahlt werden

Geld kann nicht an andere Nutzer

(79)

H¨ andlerM

einl¨ osen

BankB

abheben

NutzerU

bezahlen

drei Parteien Protokoll mit Bank B, Nutzer U und H¨ andler M, mit jeweils ¨ offentlichen Schl¨ ussel pk (.) und privaten Schl¨ ussel sk (.) Bezahlung soll ohne Interaktion mit der Bank stattfinden (’offline E-cash’) es werden mehrere M¨ unzen auf einmal abgehoben (’compact’)

es muss passend gezahlt werden

Geld kann nicht an andere Nutzer

transferiert werden (’non transferable’)

(80)

H¨ andlerM

einl¨ osen

BankB

abheben bezahlen

drei Parteien Protokoll mit Bank B, Nutzer U und H¨ andler M, mit jeweils ¨ offentlichen Schl¨ ussel pk (.) und privaten Schl¨ ussel sk (.) Bezahlung soll ohne Interaktion mit der Bank stattfinden (’offline E-cash’) es werden mehrere M¨ unzen auf einmal abgehoben (’compact’)

es muss passend gezahlt werden

Geld kann nicht an andere Nutzer

(81)

H¨ andlerM

einl¨ osen

BankB

abheben

NutzerU

bezahlen

drei Parteien Protokoll mit Bank B, Nutzer U und H¨ andler M, mit jeweils ¨ offentlichen Schl¨ ussel pk (.) und privaten Schl¨ ussel sk (.) Bezahlung soll ohne Interaktion mit der Bank stattfinden (’offline E-cash’) es werden mehrere M¨ unzen auf einmal abgehoben (’compact’)

es muss passend gezahlt werden

Geld kann nicht an andere Nutzer

transferiert werden (’non transferable’)

(82)

Sicherheitsziele

M¨ unzen sind personen gebunden (gebunden an

¨

offentlichen-/privaten-Schl¨ ussel, diebstahlsicher)

kein Zusammenschluss von zwei Parteien soll die dritte betr¨ ugen k¨onnen

Nutzer kann die G¨ultigkeit der abgehobenen M¨ unze pr¨ ufen und nachweisen

Mehrfachausgabe/-einl¨ osen von M¨ unzen muss f¨ ur die Bank nachweisbar sein

Falschbeschuldigungen sind nicht m¨ oglich, Bank hat die

Nachweispflicht

(83)

Sicherheitsziele

M¨ unzen sind personen gebunden (gebunden an

¨

offentlichen-/privaten-Schl¨ ussel, diebstahlsicher)

kein Zusammenschluss von zwei Parteien soll die dritte betr¨ ugen k¨onnen

Nutzer kann die G¨ultigkeit der abgehobenen M¨ unze pr¨ ufen und nachweisen

Mehrfachausgabe/-einl¨ osen von M¨ unzen muss f¨ ur die Bank nachweisbar sein

Falschbeschuldigungen sind nicht m¨ oglich, Bank hat die Nachweispflicht

Zahlungen des Nutzers sind anonym

(84)

Sicherheitsziele

M¨ unzen sind personen gebunden (gebunden an

¨

offentlichen-/privaten-Schl¨ ussel, diebstahlsicher)

kein Zusammenschluss von zwei Parteien soll die dritte betr¨ ugen k¨onnen

Nutzer kann die G¨ultigkeit der abgehobenen M¨ unze pr¨ ufen und nachweisen

Mehrfachausgabe/-einl¨ osen von M¨ unzen muss f¨ ur die Bank nachweisbar sein

Falschbeschuldigungen sind nicht m¨ oglich, Bank hat die

Nachweispflicht

(85)

Sicherheitsziele

M¨ unzen sind personen gebunden (gebunden an

¨

offentlichen-/privaten-Schl¨ ussel, diebstahlsicher)

kein Zusammenschluss von zwei Parteien soll die dritte betr¨ ugen k¨onnen

Nutzer kann die G¨ultigkeit der abgehobenen M¨ unze pr¨ ufen und nachweisen

Mehrfachausgabe/-einl¨ osen von M¨ unzen muss f¨ ur die Bank nachweisbar sein

Falschbeschuldigungen sind nicht m¨ oglich, Bank hat die Nachweispflicht

Zahlungen des Nutzers sind anonym

(86)

Sicherheitsziele

M¨ unzen sind personen gebunden (gebunden an

¨

offentlichen-/privaten-Schl¨ ussel, diebstahlsicher)

kein Zusammenschluss von zwei Parteien soll die dritte betr¨ ugen k¨onnen

Nutzer kann die G¨ultigkeit der abgehobenen M¨ unze pr¨ ufen und nachweisen

Mehrfachausgabe/-einl¨ osen von M¨ unzen muss f¨ ur die Bank nachweisbar sein

Falschbeschuldigungen sind nicht m¨ oglich, Bank hat die

Nachweispflicht

(87)

Sicherheitsziele

M¨ unzen sind personen gebunden (gebunden an

¨

offentlichen-/privaten-Schl¨ ussel, diebstahlsicher)

kein Zusammenschluss von zwei Parteien soll die dritte betr¨ ugen k¨onnen

Nutzer kann die G¨ultigkeit der abgehobenen M¨ unze pr¨ ufen und nachweisen

Mehrfachausgabe/-einl¨ osen von M¨ unzen muss f¨ ur die Bank nachweisbar sein

Falschbeschuldigungen sind nicht m¨ oglich, Bank hat die Nachweispflicht

Zahlungen des Nutzers sind anonym

(88)

Sicherheitsziele

M¨ unzen sind personen gebunden (gebunden an

¨

offentlichen-/privaten-Schl¨ ussel, diebstahlsicher)

kein Zusammenschluss von zwei Parteien soll die dritte betr¨ ugen k¨onnen

Nutzer kann die G¨ultigkeit der abgehobenen M¨ unze pr¨ ufen und nachweisen

Mehrfachausgabe/-einl¨ osen von M¨ unzen muss f¨ ur die Bank nachweisbar sein

Falschbeschuldigungen sind nicht m¨ oglich, Bank hat die

Nachweispflicht

(89)

U sendet der Bank Σ w = ZPK {(µ) : pk U = g µ }

U w¨ ahlt s , t ∈ Z q , sendet A = PedCom(sk U , s , t; r ) an die Bank B sendet r R Z q an den Nutzer

Beide berechnen

A = g r

· A = PedCom(sk U , s + r , t; r) = PedCom(sk U , s, t ; r) da s = s + r gilt, haben beide Zufall zur Seriennummer beigetragen Bank signiert das Commitment und sendet σ = sig cl (sk U , s , t) an den Nutzer

U speichert Geldb¨ orse W = (sk U , s, t , σ, J) (J l -bit-Z¨ ahler)

Bank zieht Nutzer 2 l Geldeinheiten vom Konto ab

(90)

U sendet der Bank Σ w = ZPK {(µ) : pk U = g µ }

U w¨ ahlt s , t ∈ Z q , sendet A = PedCom(sk U , s , t; r ) an die Bank B sendet r R Z q an den Nutzer

Beide berechnen

A = g r

· A = PedCom(sk U , s + r , t; r) = PedCom(sk U , s, t ; r) da s = s + r gilt, haben beide Zufall zur Seriennummer beigetragen Bank signiert das Commitment und sendet σ = sig cl (sk U , s , t) an den Nutzer

U speichert Geldb¨ orse W = (sk U , s, t , σ, J) (J l -bit-Z¨ ahler)

Bank zieht Nutzer 2 l Geldeinheiten vom Konto ab

(91)

U sendet der Bank Σ w = ZPK {(µ) : pk U = g µ }

U w¨ ahlt s , t ∈ Z q , sendet A = PedCom(sk U , s , t; r ) an die Bank B sendet r R Z q an den Nutzer

Beide berechnen

A = g r

· A = PedCom(sk U , s + r , t; r) = PedCom(sk U , s, t ; r) da s = s + r gilt, haben beide Zufall zur Seriennummer beigetragen Bank signiert das Commitment und sendet σ = sig cl (sk U , s , t) an den Nutzer

U speichert Geldb¨ orse W = (sk U , s, t , σ, J) (J l -bit-Z¨ ahler)

Bank zieht Nutzer 2 l Geldeinheiten vom Konto ab

Referenzen

ÄHNLICHE DOKUMENTE

Problem: Es entstehen prim¨ are H¨ aufungen (primary clustering) um diejenigen Schl¨ ussel herum, die beim Einf¨ ugen eine Kollision hervorgerufen haben. EADS 4.2 Methoden

In einem AVL-Baum mit n Schl¨ usseln kann in Zeit O(log n) festgestellt werden, ob sich ein gegebener Schl¨ ussel in der Schl¨ usselmenge befindet oder

2 In jedem von H’s Binomialb¨ aumen ist ein kleinster Schl¨ ussel an der Wurzel gespeichert; verlinkt man daher die Wurzeln aller Binomialb¨ aume von H in einer zirkul¨ aren Liste,

(a) Bestimmen Sie die Struktur der elliptischen Kurven (als Gruppen), die durch die Glei- chungen y 2 = x 3 + ax f¨ ur a = 1, 2, 3 ¨ uber F 17 gegeben sind (dazu ist die Software

Implementieren Sie auch die anderen notwen- digen Rotationsarten und erg¨anzen Sie die Methode zum Einf¨ugen um die entsprechenden Methoden- aufrufe f¨ur Rotationen.. Schreiben

Da sie Angst haben, dass ihre Nachrichten mitgelesen werden, kreieren sie dazu einen geheimen Schl ¨ussel mithilfe des Diffie-Hellman Schl ¨usselaustausches.. Sei G = (Z/77, +)

Testen Sie mithilfe des Miller-Rabin-Tests, ob die Zahl 577 mit 75% Wahrscheinlichkeit eine Primzahl ist oder nicht.. 3. RC4