Algorithmische Kryptographie Kapitel 16 Elektronisches Geld

(1)

Algorithmische Kryptographie Kapitel 16

Elektronisches Geld

Walter Unger

Lehrstuhl f¨ur Informatik 1

30. Januar 2009

(2)

Einleitung Anforderungen

Einfaches Protokoll (Shimon Even 1978) Sicherheitsaspekte zum einfachen Protokoll Einfaches Protokoll mit Steuersatz

Grundlagen

Idee: Schnorrs Identifikation

Schnorrs Identifikation (nicht-interaktive Version) Aufbau einer Blinden Unterschrift

Aufbau

Faires Elektronisches Geld (Systemaufbau) Online System

M¨unze von der Bank abheben Zahlungsverkehr

Sicherheitsaspekte Zusammenfassung Offline System

M¨unze von der Bank abheben Bezahlung im Gesch¨aft Einzahlung bei der Bank

Sicherheitsaspekte und zugrundeliegende Probleme

(3)

Einleitung Grundlagen Aufbau Online System Offline System

Anforderungen (16:1) Walter Unger Z

Anforderungen an Elektronisches Geld

1. Soll mindestens so sicher sein wie eine normale Brieftasche.

2. Sollte denselben Freiheitsgrad wie beim Umgang mit Geld liefern.

3. Sollte anonymen Zahlungsverkehr erm¨ oglichen. 4. Sollte keine hohen Zusatzkosten ben¨ otigen.

Die ersten beiden Forderungen wurden bereits 1978 durch ein

Protokoll von Shimon Even realisiert.

(4)

Anforderungen an Elektronisches Geld

1. Soll mindestens so sicher sein wie eine normale Brieftasche.

2. Sollte denselben Freiheitsgrad wie beim Umgang mit Geld liefern.

3. Sollte anonymen Zahlungsverkehr erm¨ oglichen. 4. Sollte keine hohen Zusatzkosten ben¨ otigen.

Die ersten beiden Forderungen wurden bereits 1978 durch ein

Protokoll von Shimon Even realisiert.

(5)

Anforderungen an Elektronisches Geld

1. Soll mindestens so sicher sein wie eine normale Brieftasche.

2. Sollte denselben Freiheitsgrad wie beim Umgang mit Geld liefern.

3. Sollte anonymen Zahlungsverkehr erm¨ oglichen.

4. Sollte keine hohen Zusatzkosten ben¨ otigen.

Die ersten beiden Forderungen wurden bereits 1978 durch ein

Protokoll von Shimon Even realisiert.

(6)

Anforderungen an Elektronisches Geld

1. Soll mindestens so sicher sein wie eine normale Brieftasche.

2. Sollte denselben Freiheitsgrad wie beim Umgang mit Geld liefern.

3. Sollte anonymen Zahlungsverkehr erm¨ oglichen.

4. Sollte keine hohen Zusatzkosten ben¨ otigen.

Die ersten beiden Forderungen wurden bereits 1978 durch ein

Protokoll von Shimon Even realisiert.

(7)

Anforderungen an Elektronisches Geld

1. Soll mindestens so sicher sein wie eine normale Brieftasche.

2. Sollte denselben Freiheitsgrad wie beim Umgang mit Geld liefern.

3. Sollte anonymen Zahlungsverkehr erm¨ oglichen.

4. Sollte keine hohen Zusatzkosten ben¨ otigen.

Die ersten beiden Forderungen wurden bereits 1978 durch ein

Protokoll von Shimon Even realisiert.

(8)

Anforderungen an Elektronisches Geld

1. Soll mindestens so sicher sein wie eine normale Brieftasche.

2. Sollte denselben Freiheitsgrad wie beim Umgang mit Geld liefern.

3. Sollte anonymen Zahlungsverkehr erm¨ oglichen.

4. Sollte keine hohen Zusatzkosten ben¨ otigen.

Die ersten beiden Forderungen wurden bereits 1978 durch ein

Protokoll von Shimon Even realisiert.

(9)

Einfaches Protokoll (Shimon Even 1978) (16:2) Walter Unger Z

Idee

Bank:

Kunde A: Kunde B:

Konto A: 2300

−1500 = 800

Konto B: 12000

+1500 = 13500

SigA(A zahlt1500an B)

SigB(A zahlt1500an B)

? 1

SigBank(A ist Kunde)

? 2

SigBank(B ist Kunde) -

³

SigB(A zahlt1500an B) SigA(A zahlt1500an B) 6 4 6

5

(10)

Idee

Bank:

Kunde A: Kunde B:

Konto A: 2300

−1500 = 800 Konto B: 12000

+1500 = 13500

SigA(A zahlt1500an B)

? 1

? 2

³

5

(11)

Idee

Bank:

Kunde A: Kunde B:

Konto A: 2300

−1500 = 800

Konto B: 12000

+1500 = 13500 SigA(A zahlt1500an B)

? 1

? 2

SigBank(B ist Kunde)

- ³

5

(12)

Idee

Bank:

Kunde A: Kunde B:

Konto A: 2300

−1500 = 800

Konto B: 12000

+1500 = 13500 SigA(A zahlt1500an B)

? 1

? 2

³

SigB(A zahlt1500an B) SigA(A zahlt1500an B)

6 4 6

5

(13)

Idee

Bank:

Kunde A: Kunde B:

Konto A: 2300−1500 = 800 Konto B: 12000+1500 = 13500 SigA(A zahlt1500an B)

? 1

? 2

³

SigB(A zahlt1500an B) SigA(A zahlt1500an B) 6 4

6 5

(14)

Idee

Bank:

Kunde A: Kunde B:

Konto A: 2300−1500 = 800 Konto B: 12000+1500 = 13500

SigA(A zahlt1500an B)SigB(A zahlt1500an B)

? 1

? 2

³

5

(15)

Einleitung

I Direkte Anwendung von Public-Keys.

I Basierte auf dem Austausch von Quittungen und Unterschriften. I Benutzt Taschencomputer mit Infrarotkommunikationsschnittstelle. I Ger¨at sollte gegen gewaltsames ¨Offnen gesichert sein.

I Ein automatischer Einzug von Steuern w¨urde m¨oglich.

I Rechner wird von Bank mit Geld gefüllt, d.h. erhält ein von der Bank verschlüsseltes Public-Key-Verfahren für den Nutzer und den öffentlichen Schlüssel der Bank.

I Damit k¨onnen nun Quittungen und unterschriebene Rechnungen ausgetauscht werden.

I Diese k¨onnen sp¨ater bei der Bank zum Kontoausgleich vorgelegt werden. I Der Kassenstand der elektronischen Brieftasche wird durch diese

verwaltet.

(16)

Einleitung

I Basierte auf dem Austausch von Quittungen und Unterschriften.

I Benutzt Taschencomputer mit Infrarotkommunikationsschnittstelle. I Ger¨at sollte gegen gewaltsames ¨Offnen gesichert sein.

verwaltet.

(17)

Einleitung

I Benutzt Taschencomputer mit Infrarotkommunikationsschnittstelle.

I Gerät sollte gegen gewaltsames Öffnen gesichert sein. I Ein automatischer Einzug von Steuern würde möglich.

verwaltet.

(18)

Einleitung

I Ger¨at sollte gegen gewaltsames ¨Offnen gesichert sein.

verwaltet.

(19)

Einleitung

verwaltet.

(20)

Einleitung

verwaltet.

(21)

Einleitung

verwaltet.

(22)

Einleitung

I Diese k¨onnen sp¨ater bei der Bank zum Kontoausgleich vorgelegt werden.

I Der Kassenstand der elektronischen Brieftasche wird durch diese verwaltet.

(23)

Einleitung

I Diese k¨onnen sp¨ater bei der Bank zum Kontoausgleich vorgelegt werden.

I Der Kassenstand der elektronischen Brieftasche wird durch diese verwaltet.

(24)

Systemaufbau

I Beteiligte Partner sind A,B (Privatpersonen) und X (Bank).

I Die Bank kennt dabeiDX,EX,DA,EA,DB,EB und die Kontost¨ande.

A: X:DX,EX

Bestimmt:EA,DA

IA:=DX(EA)

n=zu ¨ubertragender Geldwert t=aktuelle Zeit

EX,DA,EA,IA

t,npriv.Kom.

B: X:DX,EX

Bestimmt:EB,DB

IB:=DX(EB)

n=zu ¨ubertragender Geldwert EX,DB,EB,IB

t,npriv.Kom.

^t=aktuelle Zeit

(25)

Systemaufbau

A: X:DX,EX

Bestimmt:EA,DA

IA:=DX(EA)

EX,DA,EA,IA

t,npriv.Kom.

B: X:DX,EX

Bestimmt:EB,DB

IB:=DX(EB)

t,npriv.Kom.

^t=aktuelle Zeit

(26)

Systemaufbau

A: X:DX,EX

Bestimmt:EA,DA

IA:=DX(EA)

EX,DA,EA,IA

t,npriv.Kom.

B: X:DX,EX

Bestimmt:EB,DB

IB:=DX(EB)

t,npriv.Kom.

^t=aktuelle Zeit

(27)

Systemaufbau

A: X:DX,EX

Bestimmt:EA,DA

IA:=DX(EA)

n=zu ¨ubertragender Geldwert

t=aktuelle Zeit EX,DA,EA,IA

t,npriv.Kom.

B: X:DX,EX

Bestimmt:EB,DB

IB:=DX(EB)

t,npriv.Kom.

^t=aktuelle Zeit

(28)

Systemaufbau

A: X:DX,EX

Bestimmt:EA,DA

IA:=DX(EA)

EX,DA,EA,IA

t,npriv.Kom.

B: X:DX,EX

Bestimmt:EB,DB

IB:=DX(EB)

t,npriv.Kom.

^t=aktuelle Zeit

(29)

Systemaufbau

A: X:DX,EX

Bestimmt:EA,DA

IA:=DX(EA)

EX,DA,EA,IA

t,npriv.Kom.

B: X:DX,EX

Bestimmt:EB,DB

IB:=DX(EB)

t,npriv.Kom.

^t=aktuelle Zeit

(30)

Systemaufbau

A: X:DX,EX

Bestimmt:EA,DA

IA:=DX(EA)

EX,DA,EA,IA

t,npriv.Kom.

B: X:DX,EX

Bestimmt:EB,DB

IB :=DX(EB)

t,npriv.Kom.

^t=aktuelle Zeit

(31)

Ubertragung von Geld zwischen A und B ¨

A:DA,EA,EX,DX(EA),nA,tA, B:DB,EB,EX,DX(EB),nB,tB

zA (zu sendender Betrag) zB (zu empfangender Betrag)

A,zA

DX(EA)-

testet:zB

=! zA

B,zB,tB,r DX(EB)

^r:= Zufallszahl

testet:zB

=! zA

|tA−tB|< εSekunden testet:nA>zA

nA:=nA−zA A

DA(zAtAr)-

zAtAr=^! EA(DA(zAtAr))

−zAtBr=^! EB(DB(−zAtBr)) B

DB(−zAtBr) ⁿ^B^:=ⁿ^B⁺^z^B

(32)

Ubertragung von Geld zwischen A und B ¨

zA (zu sendender Betrag) zB (zu empfangender Betrag) A,zA

DX(EA)-

testet:zB

=! zA

B,zB,tB,r DX(EB)

^r:= Zufallszahl

testet:zB

=! zA

nA:=nA−zA A

DA(zAtAr)-

(33)

Ubertragung von Geld zwischen A und B ¨

DX(EA)-

testet:zB

=! zA

B,zB,tB,r DX(EB)

^r:= Zufallszahl

testet:zB

=! zA

nA:=nA−zA A

DA(zAtAr)-

(34)

Ubertragung von Geld zwischen A und B ¨

DX(EA)-

testet:zB

=! zA

B,zB,tB,r DX(EB)

^r:= Zufallszahl

testet:zB

=! zA

nA:=nA−zA A

DA(zAtAr)-

(35)

Ubertragung von Geld zwischen A und B ¨

DX(EA)-

testet:zB

=! zA

B,zB,tB,r DX(EB)

^r:= Zufallszahl

testet:zB

=! zA

nA:=nA−zA A

DA(zAtAr)-

(36)

Sicherheitsaspekte zum einfachen Protokoll (16:6) Walter Unger Z

Sicherheitsaspekte

A:D_A,E_A,E_X,D_X(E_A),n_A,t_A, B:D_B,E_B,E_X,D_X(E_B),n_B,t_B z_A(zu sendender Betrag) z_B(zu empfangender Betrag)

A,z_A,D_X(E_A)

- ^testet:^zB !

=z_A testet:z_B=^!z_A B,z_B,t_B,r,D_X(E_B)

^r:= Zufallszahl

|t_A−t_B|< εSekunden testet:n_A>z_A

n_A:=n_A−z_A A,D_A(z_At_Ar)

- ^z^A^t^A^r

=!E_A(D_A(z_At_Ar))

−z_At_Br=^!E_B(D_B(−z_At_Br)) B,D_B(−z_At_Br)

ⁿ^B^:=ⁿ^B⁺^z^B

1. Verfahren ist so sicher wie die unterliegenden Verfahren.

2. Jeder Zahlungsverkehr ist durch die Bank direkt nachvollziehbar. 3. Ein Vorteil ist, dass man bei jedem Zahlungsverkehr Steuern erheben

kann.

4. Dann w¨urde ein Steuersatz unter 3% alle anderen Steuern ersetzen. 5. F¨ur das Erheben der Steuern entstehen fast keine Zusatzkosten.

(37)

Sicherheitsaspekte

A,z_A,D_X(E_A)

- ^testet:^zB !

^r:= Zufallszahl

- ^z^A^t^A^r

=!E_A(D_A(z_At_Ar))

2. Jeder Zahlungsverkehr ist durch die Bank direkt nachvollziehbar.

3. Ein Vorteil ist, dass man bei jedem Zahlungsverkehr Steuern erheben kann.

(38)

Sicherheitsaspekte

A,z_A,D_X(E_A)

- ^testet:^zB !

^r:= Zufallszahl

- ^z^A^t^A^r

=!E_A(D_A(z_At_Ar))

(39)

Sicherheitsaspekte

A,z_A,D_X(E_A)

- ^testet:^zB !

^r:= Zufallszahl

- ^z^A^t^A^r

=!E_A(D_A(z_At_Ar))

4. Dann w¨urde ein Steuersatz unter 3% alle anderen Steuern ersetzen.

5. F¨ur das Erheben der Steuern entstehen fast keine Zusatzkosten.

(40)

Sicherheitsaspekte

A,z_A,D_X(E_A)

- ^testet:^zB !

^r:= Zufallszahl

- ^z^A^t^A^r

=!E_A(D_A(z_At_Ar))

4. Dann w¨urde ein Steuersatz unter 3% alle anderen Steuern ersetzen.

5. F¨ur das Erheben der Steuern entstehen fast keine Zusatzkosten.

(41)

Einfaches Protokoll mit Steuersatz (16:7) Walter Unger Z

Ubertragung zwischen A und B mit Steuersatz ¨

DX(EA)-

testet:zB

=! zA

B,zB,tB,r DX(EB)

^r:= Zufallszahl

testet:zB

=! zA

nA:=nA−zA A

DA(zAtAr)-

(42)

Einfaches Protokoll mit Steuersatz (16:7) Walter Unger Z

Ubertragung zwischen A und B mit Steuersatz ¨

DX(EA)-

testet:zB

=! zA·(1−δ) B,zB,tB,r

DX(EB)

^r:= Zufallszahl

testet:zB

=! zA·(1−δ)

nA:=nA−zA A

DA(zAtAr)-

(43)

(16:8) Walter Unger Z

Einleitung

1. Heute will man aber faire Systeme.

2. Also Systeme, die den Zahlungsverkehr nicht der Bank offen legen.

3. Ein Nachverfolgen des Zahlungsverkehrs sollte nur ¨ uber eine autorisierte Stelle (Staat) m¨ oglich sein.

4. Idee zur Anonymisierung des Zahlungsverkehrs ist eine blinde digitale Unterschrift der Bank unter einer M¨ unze.

5. Nur der Staat kann die Unterschrift ggf. lesen.

(44)

Einleitung

1. Heute will man aber faire Systeme.

2. Also Systeme, die den Zahlungsverkehr nicht der Bank offen legen.

3. Ein Nachverfolgen des Zahlungsverkehrs sollte nur ¨ uber eine autorisierte Stelle (Staat) m¨ oglich sein.

4. Idee zur Anonymisierung des Zahlungsverkehrs ist eine blinde digitale Unterschrift der Bank unter einer M¨ unze.

5. Nur der Staat kann die Unterschrift ggf. lesen.

(45)

Einleitung

1. Heute will man aber faire Systeme.

2. Also Systeme, die den Zahlungsverkehr nicht der Bank offen legen.

3. Ein Nachverfolgen des Zahlungsverkehrs sollte nur ¨ uber eine autorisierte Stelle (Staat) m¨ oglich sein.

4. Idee zur Anonymisierung des Zahlungsverkehrs ist eine blinde digitale Unterschrift der Bank unter einer M¨ unze.

5. Nur der Staat kann die Unterschrift ggf. lesen.

(46)

Einleitung

1. Heute will man aber faire Systeme.

2. Also Systeme, die den Zahlungsverkehr nicht der Bank offen legen.

3. Ein Nachverfolgen des Zahlungsverkehrs sollte nur ¨ uber eine autorisierte Stelle (Staat) m¨ oglich sein.

4. Idee zur Anonymisierung des Zahlungsverkehrs ist eine blinde digitale Unterschrift der Bank unter einer M¨ unze.

5. Nur der Staat kann die Unterschrift ggf. lesen.

(47)