Algorithmische Kryptographie Kapitel 16 Elektronisches Geld

(1)

Algorithmische Kryptographie Kapitel 16

Elektronisches Geld

Walter Unger

Lehrstuhl f¨ur Informatik 1

30. Januar 2009

(2)

Einleitung Anforderungen

Einfaches Protokoll (Shimon Even 1978) Sicherheitsaspekte zum einfachen Protokoll Einfaches Protokoll mit Steuersatz

Grundlagen

Idee: Schnorrs Identifikation

Schnorrs Identifikation (nicht-interaktive Version) Aufbau einer Blinden Unterschrift

Aufbau

Faires Elektronisches Geld (Systemaufbau) Online System

M¨unze von der Bank abheben Zahlungsverkehr

Sicherheitsaspekte Zusammenfassung Offline System

M¨unze von der Bank abheben Bezahlung im Gesch¨aft Einzahlung bei der Bank

Sicherheitsaspekte und zugrundeliegende Probleme

(3)

Einleitung Grundlagen Aufbau Online System Offline System

Anforderungen (16:1) Walter Unger Z

Anforderungen an Elektronisches Geld

1. Soll mindestens so sicher sein wie eine normale Brieftasche.

2. Sollte denselben Freiheitsgrad wie beim Umgang mit Geld liefern.

3. Sollte anonymen Zahlungsverkehr erm¨ oglichen.

4. Sollte keine hohen Zusatzkosten ben¨ otigen.

Die ersten beiden Forderungen wurden bereits 1978 durch ein

Protokoll von Shimon Even realisiert.

(4)

Einfaches Protokoll (Shimon Even 1978) (16:2) Walter Unger Z

Idee

Bank:

Kunde A: Kunde B:

Konto A: 2300−1500 = 800 Konto B: 12000+1500 = 13500

SigA(A zahlt1500an B)SigB(A zahlt1500an B)

? 1

SigBank(A ist Kunde)

? 2

SigBank(B ist Kunde) -

³

SigB(A zahlt1500an B) SigA(A zahlt1500an B) 6 4 6

5

(5)

Einleitung

I Direkte Anwendung von Public-Keys.

I Basierte auf dem Austausch von Quittungen und Unterschriften.

I Benutzt Taschencomputer mit Infrarotkommunikationsschnittstelle.

I Ger¨at sollte gegen gewaltsames ¨Offnen gesichert sein.

I Ein automatischer Einzug von Steuern w¨urde m¨oglich.

I Rechner wird von Bank mit Geld gefüllt, d.h. erhält ein von der Bank verschlüsseltes Public-Key-Verfahren für den Nutzer und den öffentlichen Schlüssel der Bank.

I Damit k¨onnen nun Quittungen und unterschriebene Rechnungen ausgetauscht werden.

I Diese k¨onnen sp¨ater bei der Bank zum Kontoausgleich vorgelegt werden.

I Der Kassenstand der elektronischen Brieftasche wird durch diese verwaltet.

(6)

Systemaufbau

I Beteiligte Partner sind A,B (Privatpersonen) und X (Bank).

I Die Bank kennt dabeiDX,EX,DA,EA,DB,EB und die Kontost¨ande.

A: X:DX,EX

Bestimmt:EA,DA

IA:=DX(EA)

n=zu ¨ubertragender Geldwert t=aktuelle Zeit

EX,DA,EA,IA

t,npriv.Kom.

B: X:DX,EX

Bestimmt:EB,DB

IB :=DX(EB)

n=zu ¨ubertragender Geldwert EX,DB,EB,IB

t,npriv.Kom.

^t=aktuelle Zeit

(7)

Ubertragung von Geld zwischen A und B ¨

A:DA,EA,EX,DX(EA),nA,tA, B:DB,EB,EX,DX(EB),nB,tB

zA (zu sendender Betrag) zB (zu empfangender Betrag) A,zA

DX(EA)-

testet:zB

=! zA

B,zB,tB,r DX(EB)

^r:= Zufallszahl

testet:zB

=! zA

|tA−tB|< εSekunden testet:nA>zA

nA:=nA−zA A

DA(zAtAr)-

zAtAr=^! EA(DA(zAtAr))

−zAtBr=^! EB(DB(−zAtBr)) B

DB(−zAtBr) ⁿ^B^:=ⁿ^B⁺^z^B

(8)

Sicherheitsaspekte zum einfachen Protokoll (16:6) Walter Unger Z

Sicherheitsaspekte

A:D_A,E_A,E_X,D_X(E_A),n_A,t_A, B:D_B,E_B,E_X,D_X(E_B),n_B,t_B z_A(zu sendender Betrag) z_B(zu empfangender Betrag)

A,z_A,D_X(E_A)

- ^testet:^zB !

=z_A testet:z_B=^!z_A B,z_B,t_B,r,D_X(E_B)

^r:= Zufallszahl

|t_A−t_B|< εSekunden testet:n_A>z_A

n_A:=n_A−z_A A,D_A(z_At_Ar)

- ^z^A^t^A^r

=!E_A(D_A(z_At_Ar))

−z_At_Br=^!E_B(D_B(−z_At_Br)) B,D_B(−z_At_Br)

ⁿ^B^:=ⁿ^B⁺^z^B

1. Verfahren ist so sicher wie die unterliegenden Verfahren.

2. Jeder Zahlungsverkehr ist durch die Bank direkt nachvollziehbar.

3. Ein Vorteil ist, dass man bei jedem Zahlungsverkehr Steuern erheben kann.

4. Dann w¨urde ein Steuersatz unter 3% alle anderen Steuern ersetzen.

5. F¨ur das Erheben der Steuern entstehen fast keine Zusatzkosten.

(9)

Einfaches Protokoll mit Steuersatz (16:7) Walter Unger Z

Ubertragung zwischen A und B mit Steuersatz ¨

A:DA,EA,EX,DX(EA),nA,tA, B:DB,EB,EX,DX(EB),nB,tB

zA (zu sendender Betrag) zB (zu empfangender Betrag) A,zA

DX(EA)-

testet:zB

=! zA·(1−δ) B,zB,tB,r

DX(EB)

^r:= Zufallszahl

testet:zB

=! zA·(1−δ)

|tA−tB|< εSekunden testet:nA>zA

nA:=nA−zA A

DA(zAtAr)-

zAtAr=^! EA(DA(zAtAr))

−zAtBr=^! EB(DB(−zAtBr)) B

DB(−zAtBr) ⁿ^B^:=ⁿ^B⁺^z^B

(10)

(16:8) Walter Unger Z

Einleitung

1. Heute will man aber faire Systeme.

2. Also Systeme, die den Zahlungsverkehr nicht der Bank offen legen.

3. Ein Nachverfolgen des Zahlungsverkehrs sollte nur ¨ uber eine autorisierte Stelle (Staat) m¨ oglich sein.

4. Idee zur Anonymisierung des Zahlungsverkehrs ist eine blinde digitale Unterschrift der Bank unter einer M¨ unze.

5. Nur der Staat kann die Unterschrift ggf. lesen.

(11)

Situation (Basis)

Bank:

u u u u u u uu u u uu u u

u

1 Kunde:

?

u

2

_-

Gesch¨ aft:

u

3

2

1

Gesch¨ aft:

u

3

Problematisch nur im Offline Fall

(17)

Situation (R¨ uckverfolgung nur durch Staat)

Bank:

u u

1

?

1

Kunde:

u

2

_-

Titelh¨ andler:

u

3

1

_-

◦ ←→ ◦

Staat:

(18)

Einleitung

1. Heute will man aber faire Systeme.

2. Also Systeme, die den Zahlungsverkehr nicht der Bank offen legen.

3. Ein Nachverfolgen des Zahlungsverkehrs sollte nur ¨ uber eine autorisierte Stelle (Staat) m¨ oglich sein.

4. Idee zur Anonymisierung des Zahlungsverkehrs ist eine blinde digitale Unterschrift der Bank unter einer M¨ unze.

5. Nur der Staat kann die Unterschrift ggf. lesen.

(19)

Idee: Schnorrs Identifikation (16:17) Walter Unger Z

Voraussetzungen

1. p,qPrimzahlen mitqteiltp−1.

2. G Untergruppe der Ordnungqin ZZ^∗_p. 3. g Generator inG.

4. h:{0,1}^∗→ZZp kollisionssichere Hashfunktion.

5. Der geheime Schl¨ussel ist dannx∈ {0, . . . ,q−1}.

6. Und der ¨offentliche Schl¨ussel (p,q,g,y) mity =g^x. 7. Damit wird Schnorrs Identifikations-Protokoll aufgebaut.

(20)

Idee: Schnorrs Identifikation (16:18) Walter Unger Z

Protokoll ProofLog (g , y )

GUntergruppe der Ordnungqin ZZ^∗_p gGenerator inG h:{0,1}^∗→ZZp y=g^x

P:x,y,g,p,q V:y,g,p,q

r∈ {0, . . . ,q−1}zuf¨allig

a:=g^r a -

c ^c∈ {0, . . . ,q−1}zuf¨allig

b:=r−cx b - ^teste:^a

≡? g^by^c

I Dieses Protokoll kann mit der Hashfunktionheinfach in eine nicht-interaktive Version ¨ubertragen werden.

I Dabei wird ggf. gleichzeitig eine Nachrichtmunterschrieben.

(21)

Schnorrs Identifikation (nicht-interaktive Version) (16:19) Walter Unger Z

Protokoll σ(m) = (c , b) = ProofLog

_h

(m, g , y )

GUntergruppe der Ordnungqin ZZ^∗_p gGenerator inG h:{0,1}^∗→ZZp y=g^x ProofLog(g,y)

P:x,y,g,p,q V:y,g,p,q

r∈ {0, . . . ,q−1}zuf¨allig

a:=g^r a

- ^c∈ {0, . . . ,q−1}zuf¨allig

b:=r−cx c

b - ^Teste:^a

≡?g^by^c

P:x,y,g,p,q,h V:y,g,p,q,h r∈ {0, . . . ,q−1}zuf¨allig

a:=g^r c:=h(m◦a)

b:=r−cx (c,b),m

- ^Teste:^c

=? h(m◦g^by^c)

Fallsm=schreiben wir (c,b) =ProofLogh(g,y).

Dann ist dies ein nicht-interaktiver Beweis der Kenntnis von log_g(y).

(22)

Schnorrs Identifikation (nicht-interaktive Version) (16:20) Walter Unger Z

Sicherheitsaspekte

GUntergruppe der Ordnungqin ZZ^∗_p gGenerator inG h:{0,1}^∗→ZZp y=g^x ProofLog(g,y) σ(m) = (c,b) =ProofLog_h(m,g,y) ProofLog_h(g,y)

P:x,y,g,p,q,h V:y,g,p,q,h

r∈ {0, . . . ,q−1}zuf¨allig a:=g^r

c:=h(m◦a)

b:=r−cx (c,b),m

- ^Teste:^c

=?h(m◦g^by^c)

1. Die Sicherheit ergibt sich aus der Schwierigkeit, den diskreten Logarithmus log

_g

(y ) zu bestimmen.

2. Falls das Gleiche r f¨ ur zwei verschiedenen Nachrichten m

1

, m

2

verwendet wird, so ist das Verfahren unsicher.

3. Sei σ(m

_i

) = (c

_i

, b

_i

) f¨ ur i ∈ {0, 1}.

4. Dann gilt: g

^r

= g

^b¹

y

^c¹

= g

^b²

y

^c²

.

5. Weiter gilt g

^b¹^+xc¹

= g

^b²^+xc²

und damit x =

^b1−b2_c

2−c1

.

(23)

Aufbau einer Blinden Unterschrift (16:21) Walter Unger Z

Einleitung

ProofLog(g,y) σ(m) = (c,b) =ProofLog_h(m,g,y) ProofLog_h(g,y)

1. Aus diesem Protokoll machen wir nun eine blinde Unterschrift.

2. Dazu wird der Kunde von der Bank eine blinde Unterschrift anfordern.

3. Aber er wird nicht dem Gesch¨aft gegen¨uber diese Unterschrift vorlegen, sondern eine von dem Kunden transformierte Unterschrift.

4. Damit ist es dann der Bank nicht mehr m¨oglich, durch Speichern aller Kommunikationen, auf den auf Verbleib der ausgegebenen M¨unzen zu schließen.

5. F¨ur dieses Protokoll und die notwendige Transformation der Unterschrift bauen wir zuerst die Idee auf:

(24)

Idee einer Blinden Unterschrift

P:x,y,g,p,q,h V:y,g,p,q,h

r∈ {0, . . . ,q−1}zuf¨allig a:=g^r

c:=h(m◦a)

b:=r−cx (c,b),m

- ^teste:^c

=?h(m◦g^by^c)

P:x,y,g,p,q V:y,g,p,q,m r∈ {0, . . . ,q−1}zuf¨allig

a:=g^r a -

c ^c⁼h(m, . . .)

b:=r−cx b - ^Teste:^a

≡? g^by^c

(25)

Idee einer Blinden Unterschrift (Teil 2)

P:x,y,g,p,q V:y,g,p,q,m

r∈ {0, . . . ,q−1}zuf¨allig

a:=g^r a

- ^c⁼h(m, . . .)

b:=r−cx c

b - ^teste:^a

≡?g^by^c

1. Die Bank k¨onnte dieses Transcriptτ = (a,c,b) speichern.

2. Dann kann sie sp¨ater auf die Herkunft einer eingezahlten M¨unze schließen.

3. Daher formt der Kunde das Transcriptτ= (a,c,b) in ein neues Transcriptτ = (a,c,b) um.

4. Dieses neue Transcriptτ = (a,c,b) soll aber auch eine g¨ultige Unterschrift der Bank sein.

5. Dieses neue Transcript kann nur mit Hilfe vonτ erzeugt werden.

6. Ein weiteres Transcript kann vom Kunden nicht erzeugt werden.

7. Die Transformation erfolgt durch eine Funktionβ(u,v,w).

(26)

Idee einer Blinden Unterschrift (Teil 2)

r∈ {0, . . . ,q−1}zuf¨allig

a:=g^r a

- ^c⁼h(m, . . .)

b:=r−cx c

b - ^teste:^a

≡?g^by^c

β(u,v,w): G×ZZ²_q→G×ZZ²_q mit: a=aûg^vy^w (a,c,b)7→(a,c,b) c =uc+w b=ub+v I Es gilt:a=aûg^vy^w= (g^by^c)ûg^vy^w=gûb+vyûc+w=g^by^c.

I Damit istτ= (a,c,b) auch ein korrektes Transcript einer Unterschrift.

(27)

Sicherheit des Kunden

ProofLog(g,y) σ(m) = (c,b) =ProofLog_h(m,g,y) ProofLog_h(g,y) β_(u,v,w): G×ZZ²_q→G×ZZ²_q mit: a=a^ug^vy^w

(a,c,b)7→(a,c,b) c=uc+w b=ub+v a=aûg^vy^w= (g^by^c)ûg^vy^w=gûb+vyûc+w=g^by^c

Lemma

Eine Unterscheidung der Transcripte durch die Bank ist nicht m¨oglich.

Beweis.

Untersuche die Verteilung der Transcripte.

(28)

Sicherheit des Kunden (Beweis)

I Fallsu,v,w zufällig gewählt werden, so sindτ undτ unabhängig.

I F¨urτ= (a,c,b) gibt es jedes (a,c,b) genauq-mal inβ_(u,v,w)(a,c,b) mit (u,v,w)∈ZZ³q (siehe n¨achste Folie).

I Damit ist die Wahrscheinlichkeit, dassτ= (a,c,b) eine Transformation vonτ = (a,c,b) ist

|{(u,v,w)∈ZZ³q|β(u,v,w)(a,c,b) = (a,c,b)}|

|ZZ³q| =q⁻² gleich der eines zuf¨allig gew¨ahlten Transcriptsτ = (a,c,b).

I Damit ist eine (statistische) Unterscheidung durch die Bank nicht m¨oglich.

(29)

Sicherheit des Kunden (Beweisschritt)

(30)

Sicherheit der Bank

Lemma

Die oben beschriebene Transformation ist die einzig m¨ ogliche.

Beweis.

Das wird in zwei Schritten gezeigt:

1. Zeige a := a

^u

g

^v

y

^w

muss so gesetzt werden.

2. Falls τ = (a, c , b) korrektes Transcript ist, so sind c und b

auch so zu setzen.

(31)

Sicherheit der Bank (1. Teil)

I Zeigea:=a^ug^vy^w muss so gesetzt werden.

I Annahmea:=a^ug^vy^wg⁰, dann gilt:

a=aûg^vy^wg⁰= (g^by^c)ûg^vy^wg⁰=gûb+vyûc+wg⁰=g^by^c. I Die letzte Gleichung muss gelten, daτ = (a,c,b) korrektes Transcript

sein muss.

I Damit gilt:gb−(ub+v)+x(c−(uc+w))

=g⁰.

I Damit k¨onnen der Kunde und die Bank den diskreten Logarithmus log_g(g⁰) bestimmen.

I Dag⁰zuf¨allig gew¨ahlt worden ist, kann dies nicht sein.

(32)

Sicherheit der Bank (2. Teil)

I Fallsτ= (a,c,b) korrektes Transcript ist, so sindc undbwie oben zu setzen.

I Aus

g^by^c =a=aûg^vy^w= (g^by^c)ûg^vy^w=gûb+vyûc+w I folgtg^(ub+v^)−b=y^c−uc+w.

I Damit gilt nunb=ub+v undc=uc+w, denn sonst k¨onntex bestimmt werden.

(33)

Protokoll BlindLogSig

_h

(m)

r∈ {0, . . . ,q−1}zuf¨allig

a:=g^r a

- ^c⁼h(m, . . .)

b:=r−cx c

b - ^teste:^a

≡?g^by^c

β_(u,v,w): G×ZZ²_q→G×ZZ²_q mit: a=aûg^vy^w (a,c,b)7→(a,c,b) c=uc+w b=ub+v a=aûg^vy^w= (g^by^c)ûg^vy^w=gûb+vyûc+w=g^by^c

P:x,y,g,p,q V:y,g,p,q,m r∈ {0, . . . ,q−1}

a:=g^r a- û,^v,^w ∈ {0, . . . ,q−1},v 6= 0 zufällig a:=aûg^vy^w undc:=h(m◦a) b:=r−cx c ^c^{:= (c}⁻^w^)u

−1

b- ^Teste:^a

≡? g^by^c

b:=ub+v undσ(m) := (c,b)

Ein Test dieser Unterschrift erfolgt durchc=^? h(m◦g^by^c).

(34)

Bemerkungen

ProofLog(g,y) σ(m) = (c,b) =ProofLog_h(m,g,y) ProofLog_h(g,y) (c,b) =BlindLogSig_h(m) P:x,y,g,p,q V:y,g,p,q,m

r∈ {0, . . . ,q−1}

a:=g^r a

- û,^v^,^w∈ {0, . . . ,q−1},v6= 0 zufällig a:=aûg^vy^wundc:=h(m◦a)

b:=r−cx c

^c^{:= (c}⁻^w)u⁻¹

b- ^Teste:^a

≡? g^by^c

b:=ub+vundσ(m) := (c,b)

1. Es ist nur eine Unterschrift (M¨unze) m¨oglich, dennhist kollisionssicher.

2. Durch obige Überlegung kann V nur einakennen mitaûg^vy^w und zugehörigen korrekten Werten (c,b).

3. Eine Erweiterung, das Okamoto-Schnorr Protokoll, ist sicher unter der Annahme, dass der Diskrete Logarithmus nicht effizient berechenbar ist.

4. Schreibweise: (c,b) =BlindLogSigh(m).

(35)

Erinnerung:

ProofLog(g,y) σ(m) = (c,b) =ProofLog_h(m,g,y) ProofLog_h(g,y) (c,b) =BlindLogSig_h(m)

P:g,p,q V:y1,y2g,p,q

r∈ {0, . . . ,q−1}zuf¨allig

a:= (a1,a2) := (g₁^r,g₂^r) a - ^c∈ {0, . . . ,q−1}zuf¨allig

b:=r−cx c

b - ^Teste:^a¹

≡? g₁^by₁^c Teste:a2

≡? g₂^by₂^c

Analog kann ein Protokoll, dass zwei Logarithmen gleich sind, mit blinder Unterschrift aus dem obigen Protokoll aufgebaut werden.

(36)

Protokoll BlindLogSigEq

_h

(g, y , m) (Vorbereitung)

P:x,y,g,g1,p,q V:y,g,g1,p,q,m r∈ {0, . . . ,q−1}zuf¨allig

a:= (a1,a2) := (g^r,g1r) a-

u,v,w ∈ {0, . . . ,q−1},v6= 0 zuf¨allig a1:=a^u₁g^vy^w

a2:=a^u1g1v

y^w z:=z^sy^t

c:=h(m◦z◦a1◦a2) c ^c^{:= (c}⁻^w^)u

−1

b:=r−cx b

- ^teste:^a¹

≡? g^by^c teste:a1

≡? g1by^c Ergebnis: (z,c,b)

Nun ersetzen wirg1und die Berechnung vona2.

(37)

Protokoll BlindLogSigEq

_h

(g, y , m)

s,t∈ {0, . . . ,q−1}zuf¨allig,s6= 0 m ^m^:=^m

1/sg^−t r∈ {0, . . . ,q−1}zuf¨allig

z:=m^x

a:= (a1,a2) := (g^r,m^r) a,z -

u,v,w ∈ {0, . . . ,q−1},v6= 0 zuf¨allig a1:=a^u₁g^vy^w

a2:= (a^u2m^vz^w)^s(a^u1g^vy^w)^t z:=z^sy^t

c:=h(m◦z◦a1◦a2) c ^c^{:= (c}⁻^w^)u

−1

b:=r−cx b- ^teste:^a¹

≡? m^bz^c Ergebnis: (z,c,b)

(38)

Protokoll BlindLogSigEq

_h

(g, y , m)

s,t∈ {0, . . . ,q−1}zuf¨allig,s6= 0 r∈ {0, . . . ,q−1}zuf¨allig m

^m^:=^m^1/s^g^−t

z:=m^x

a:= (a1,a2) := (g^r,m^r) a,z

- û,^v,^w∈ {0, . . . ,q−1},v6= 0 zufällig a₁:=aû₁g^vy^w

a₂:= (a^u₂m^vz^w)^s(a^u₁g^vy^w)^t z:=z^sy^t

c:=h(m◦z◦a₁◦a₂)

b:=r−cx c

^c^{:= (c}⁻^w)u⁻¹

b- ^teste:^a1

≡? m^bz^c Ergebnis: (z,c,b)

I Es wird folgende Schreibweise (z,c,b) =BlindLogSigEqh(g,y,m) verwendet.

I Test der erzeugten Blinden Unterschrift:c=^? h(m◦z◦g^by^c◦m^bz^c) I Weiterhin kann noch eine weitere NachrichtMvon Punterschrieben

werden, indemM als zus¨atzlicher Parameter zuhhinzugenommen wird, d.h.h(M◦m◦z◦a1◦a2) bestimmt wird.

(39)

Faires Elektronisches Geld (Systemaufbau) (16:37) Walter Unger Z

Einleitung

ProofLog(g,y) σ(m) = (c,b) =ProofLog_h(m,g,y) ProofLog_h(g,y) (c,b) =BlindLogSig_h(m) (z,c,b) =BlindLogSigEq_h(g,y,m)

I Im Folgenden entspricht Geld einer einzelnen Münze. D.h. wir zeigen wie eine Münze fair übertragen wird.

I Eine Erweiterung auf mehrere M¨unzen oder auf M¨unzen von verschiedenem Wert ist einfach.

I Aufbau:p,qPrimzahlen mitqteiltp−1, I G Untergruppe der Ordnungqin ZZ^∗p, I g,g1,g2Generatoren inG und

I h:{0,1}^∗→ZZp kollisionssichere Hashfunktion.

I Es ist wichtig, dass der diskrete Logarithmus zwischen den Generatoren g,g1,g2unbekannt ist.

(40)

Aufbau des Systems

Bank: Offentlichkeit:¨

wähltx∈ {1, . . .q−1}geheimer Schlüssel y:=g^x öffentlicher Schlüssel y

- ^y

Staat: Offentlichkeit:¨

wähltxT∈ {1, . . .q−1}geheimer Schlüssel yT:=g₂^x^T öffentlicher Schlüssel yT

- ^y^T

Kunde: Offentlichkeit:¨

wähltxC ∈ {1, . . .q−1}geheimer Schlüssel yC :=g₁^x^C öffentlicher Schlüssel yC

- ^y^C

(41)

Aufbau des Systems

Bank: Offentlichkeit:¨

wähltx∈ {1, . . .q−1}geheimer Schlüssel y:=g^xöffentlicher Schlüssel y

- ^y

Staat: Offentlichkeit:¨

wähltx_T∈ {1, . . .q−1}geheimer Schlüssel y_T:=g₂^xT öffentlicher Schlüssel y_T

- ^y^T

Kunde: Offentlichkeit:¨

wähltx_C∈ {1, . . .q−1}geheimer Schlüssel y_C:=g₁^xCöffentlicher Schlüssel y_C

- ^y^C

Gesch¨aft: Offentlichkeit:¨

wähltxS ∈ {1, . . .q−1}geheimer Schlüssel yS :=g₁^x^S öffentlicher Schlüssel yS

- ^y^S

Kunde belegt seine Identit¨at mitProofLog(g1,yC).

(42)

Einleitung

I Im Folgenden werden wir zuerst ein on-line System betrachten,

I d.h. bei dem Abheben der Münze und beim Bezahlen im Laden wird eine Kommunikation mit der Bank bzw. Staat durchgeführt, um die Münze zu verifizieren.

I Dann ist das Kopieren einer Münze nicht möglich, da die Bank eine Liste der eingezahlten Münzen vorhält.

I Das Abheben einer M¨unze von der Bank geschieht mit einem Protokoll analog zum ProtokollBlindLogSigh mit einer leeren Nachrichtm.

r∈ {0, . . . ,q−1}

a:=g^r a

- û,^v^,^w∈ {0, . . . ,q−1},v6= 0 zufällig a:=aûg^vy^wundc:=h(m◦a)

b:=r−cx c

^c^{:= (c}⁻^w)u⁻¹

b- ^Teste:^a

≡? g^by^c

(43)

Situation (Geld abheben)

Bank:

τ= (a,c,b) EStaat(u,v,w)

Kunde:

β(u,v,w)(τ) =τ= (a,c,b) EStaat(u,v,w)

M¨unze: (c,b)

Gesch¨aft:

Staat:

X=a,c,EStaat(u,v,w) Speichert:

(a,c,b)7→(a,c) 1:a

?

2:c,EStaat(u,v,w) 6

3:X- 4:ok)

5:c

?

M¨ unze durch blinde Unterschrift

(44)

M¨unze von der Bank abheben (16:42) Walter Unger Z

M¨ unze von der Bank abheben (1.Teil)

r∈ {0, . . . ,q−1}zuf¨allig

a:=g^r a

- û,^v,^w∈ {0, . . . ,q−1},v6= 0 zufällig a:=aûg^vy^w

c:=h(m◦a)

b:=r−cx c

^c^{:= (c}⁻^w)u⁻¹

b- ^teste:^a

≡?g^by^c

Bank:g,g1,g2,x,y,yC,p,q Kunde:g,g1,g2,xC,yC,y,p,q r∈ {0, . . . ,q−1}

a:=g^r a -

u,v,w ∈ {0, . . . ,q−1},v 6= 0 a:=a^ug^vy^w

c:=h(a) c,Ey_T(u,v,w)

^c^{:= (c}⁻^w^)u

−1