DE102021000570A1

DE102021000570A1 - METHOD OF PROVIDING AN EVIDENCE DATASET; PROCEDURE FOR EXAMINING AN EVIDENCE RECORD; A COIN REGISTER; A SUBSCRIBER UNIT AND A COMPUTER PROGRAM PRODUCT

Info

Publication number: DE102021000570A1
Application number: DE102021000570.8A
Authority: DE
Inventors: Florian Gawlas; Tilo Fritzhanns
Original assignee: Giesecke and Devrient Advance52 GmbH
Current assignee: Giesecke and Devrient Advance52 GmbH
Priority date: 2021-02-04
Filing date: 2021-02-04
Publication date: 2022-08-04

Abstract

Die Erfindung ein Verfahren zum Bereitstellen eines Nachweisdatensatzes betreffend einen elektronischen Münzdatensatz durch eine Teilnehmereinheit eines elektronischen Bezahlsystems, wobei der elektronische Münzdatensatz einen monetären Betrag und einen Verschleierungsbetrag aufweist. Die Erfindung betrifft zudem ein Verfahren zum Prüfen eines Nachweises für einen elektronischen Münzdatensatz durch eine zweite Teilnehmereinheit oder ein Münzregister eines elektronischen Bezahlsystems. Die Erfindung betrifft zudem ein Münzregister, ein Bezahlsystem, eine Teilnehmereinheit und ein Computerprogrammprodukt.The invention relates to a method for providing a verification data set relating to an electronic coin data set by a subscriber unit of an electronic payment system, the electronic coin data set having a monetary amount and an obfuscation amount. The invention also relates to a method for checking proof of an electronic coin data set by a second subscriber unit or a coin register of an electronic payment system. The invention also relates to a coin register, a payment system, a subscriber unit and a computer program product.

Description

TECHNISCHES GEBIET DER ERFINDUNGTECHNICAL FIELD OF THE INVENTION

TECHNISCHER HINTERGRUND DER ERFINDUNGTECHNICAL BACKGROUND OF THE INVENTION

Schutz der Privatsphäre ist ein wichtiger Wert für die Gesellschaft, besonders wenn sehr sensible Daten, wie Zahlungsinformationen, betroffen sind. Sicherheit von Bezahltransaktionen und den dazugehörigen Bezahltransaktionsdaten bedeutet sowohl Schutz der Vertraulichkeit der ausgetauschten Daten; als auch Schutz der Integrität der ausgetauschten Daten; als auch Schutz der Verfügbarkeit der ausgetauschten Daten.Protection of privacy is an important value for society, especially when very sensitive data, such as payment information, is involved. Security of payment transactions and the associated payment transaction data means protecting the confidentiality of the data exchanged; as well as protection of the integrity of the exchanged data; as well as protection of the availability of the exchanged data.

Für elektronische Münzdatensätze müssen dabei grundlegende Kontrollfunktionen, insbesondere (1) das Erkennen von Mehrfachausgabe-Verfahren, auch Double-Spending genannt, und (2) das Erkennen von ungedeckten Zahlungen nachgewiesen werden können. Im Fall (1) versucht jemand denselben Münzdatensatz mehrfach auszugeben und im Fall (2) versucht jemand einen Münzdatensatz auszugeben, obwohl er kein Guthaben (mehr) besitzt.For electronic coin datasets, it must be possible to demonstrate basic control functions, in particular (1) the detection of multiple issuance procedures, also known as double spending, and (2) the detection of uncovered payments. In case (1) someone tries to spend the same coin data set several times and in case (2) someone tries to spend a coin data set although he/she has no credit (anymore).

In der WO 2016/200885 A1 ist ein Verfahren zur Verschlüsselung eines in einem Blockchain-Ledger getätigten geldwerten Betrags beschrieben, wobei die Verifizierbarkeit der Transaktion erhalten bleibt. Dabei wird ein Verschleierungsbetrag zu einem Eingangswert addiert. Dann wird ein Ausgangswert erzeugt und verschlüsselt. Sowohl der Eingangswert als auch der Ausgangswert liegen innerhalb eines Wertebereichs, wobei eine Summe von zwei beliebigen Werten innerhalb des Bereichs einen Schwellenwert nicht überschreitet. Die Summe aus dem verschlüsselten Eingangswert und dem verschlüsselten Ausgangswert kann gleich Null sein. Bereichsprüfungen, sogenannte Range-Proofs, sind jedem der Eingangswerte und dem Ausgangswert zugeordnet. Diese Bereichsprüfungen beweisen, dass der Eingangswert und der Ausgangswert in den Wertebereich fallen. In diesem Verfahren ist eine Blockchain-Technologie notwendig, die nach Erhalt eines Münzdatensatzes angerufen werden muss, um den Münzdatensatz zu validieren.In the WO 2016/200885 A1 describes a method for encrypting a monetary amount transacted in a blockchain ledger, whereby the verifiability of the transaction is retained. A concealment amount is added to an input value. Then an output value is generated and encrypted. Both the input value and the output value are within a range of values, with a sum of any two values within the range not exceeding a threshold. The sum of the encrypted input value and the encrypted output value can be equal to zero. Range checks, called range proofs, are associated with each of the input values and the output value. These range checks prove that the input value and the output value fall within the range of values. In this procedure, a blockchain technology is necessary, which, after receiving a coin record, must be called in order to validate the coin record.

Ein anderes beispielhaftes Bezahlsystem ist in den Patentanmeldungen WO 2020/21337 A1 und WO 2020/212331 A1 beschrieben. Dort werden elektronische Münzdatensätze maskiert und in einem Münzregister anonym registriert, um es jedem Teilnehmer am Bezahlsystem zu ermöglichen, die Gültigkeit eines elektronischen Münzdatensatzes zu prüfen. Mit der Registrierung eines maskierten elektronischen Münzdatensatzes werden auch Bereichsnachweise durchgeführt, um nachzuweisen, dass kein neues Geld generiert wurde und auch um den Besitz zu beweisen.Another example payment system is in the patent applications WO 2020/21337 A1 and WO 2020/212331 A1 described. There, electronic coin data records are masked and registered anonymously in a coin register in order to enable every participant in the payment system to check the validity of an electronic coin data record. With the registration of a masked electronic coin record, area verifications are also performed to prove that no new money has been generated and also to prove ownership.

In diesem beispielhaften Bezahlsystem von WO 2020/21337 A1 und WO 2020/212331 A1 werden „Zero-Knowledge-Proofs“ als Bereichsnachweis verwendet, um zu prüfen, dass (1) der monetäre Betrag eines elektronischen Münzdatensatzes nicht negativ ist, dass (2) der elektronische Münzdatensatz gültig erstellt wurde und/ oder dass (3) der monetäre Betrag und der Verschleierungsbetrag des elektronischen Münzdatensatzes dem Ersteller des Bereichsnachweises bekannt sind.In this exemplary payment system from WO 2020/21337 A1 and WO 2020/212331 A1 Zero-knowledge proofs are used as area proofs to verify that (1) the monetary amount of an electronic coin record is not negative, that (2) the electronic coin record was validly generated, and/or that (3) the monetary amount and the amount of obfuscation of the electronic coin record is known to the area evidencing preparer.

Diese bekannten Bereichsnachweise umfassen komplexe Berechnungen und das Übertragen von großen Datenmengen und damit Verzögerungen beim Bezahlvorgang. Insbesondere bei der Verwendung von ressourcenbeschränkten Sicherheitselementen, wie Smart Cards oder eUICC, als Teilnehmereinheiten wird die Leistungsfähigkeit des Bezahlsystems erheblich beeinträchtigt.These well-known area proofs involve complex calculations and the transmission of large amounts of data and thus delays in the payment process. In particular, when using resource-restricted security elements such as smart cards or eUICC as subscriber units, the performance of the payment system is significantly impaired.

Es ist daher die Aufgabe der vorliegenden Erfindung, ein Verfahren und ein Bezahlsystem zu schaffen, in denen eine Bezahltransaktion zwischen Teilnehmern eines öffentlichen Bezahlsystems einfacher auszugestalten, das dennoch sicher und flexibel ist. Dabei soll insbesondere eine direkte und anonyme Bezahlung zwischen den Teilnehmern des Bezahlsystems geschaffen werden. Die ausgetauschten elektronischen Münzdatensätze sollen vertraulich gegenüber anderen Systemteilnehmern sein, aber jedem Systemteilnehmer erlauben, grundlegende Prüfungen an dem elektronischen Münzdatensatz durchzuführen, nämlich das Erkennen von Mehrfach-Ausgabe-Versuchen; das Erkennen von Versuchen mit nicht vorhandenen monetären Beträgen zu zahlen; und das Anzeigen des Besitzes durch den Ersteller des Besitznachweises. Die dazu notwendigen Bereichsnachweise sollen einfach sein und nur eine geringe Datenmenge, der dazu zu übertragenden Daten benötigen, ohne den (unmaskierten) elektronischen Münzdatensatz ganz oder teilweise offenbaren zu müssen.It is therefore the object of the present invention to create a method and a payment system in which a payment transaction between participants in a public payment system can be configured more easily, which is nevertheless secure and flexible. In particular, direct and anonymous payment should be created between the participants in the payment system. The exchanged electronic coin data sets should be confidential to other system participants, but each system participant allow mer to perform basic checks on the electronic coin record, namely the detection of multiple dispensing attempts; detecting attempts to pay with non-existent monetary amounts; and displaying ownership by the creator of the proof of ownership. The area verifications required for this should be simple and only require a small amount of data to be transmitted without having to disclose the (unmasked) electronic coin data set in whole or in part.

ZUSAMMENFASSUNG DER ERFINDUNGSUMMARY OF THE INVENTION

Die gestellten Aufgaben werden mit den Merkmalen der unabhängigen Patentansprüche gelöst. Weitere vorteilhafte Ausgestaltungen sind in den abhängigen Patentansprüchen beschrieben.The tasks are solved with the features of the independent patent claims. Further advantageous configurations are described in the dependent patent claims.

Die Aufgabe wird mit einem Verfahren zum Bereitstellen eines Nachweisdatensatzes betreffend einen elektronischen Münzdatensatz durch eine Teilnehmereinheit eines elektronischen Bezahlsystems gelöst, wobei der elektronische Münzdatensatz einen monetären Betrag und einen Verschleierungsbetrag aufweist. Das Verfahren umfasst die folgenden Verfahrensschritte: Erzeugen einer ersten Zufallszahl und einer zweiten Zufallszahl; Berechnen, durch die Teilnehmereinheit, eines Streuwerts durch Anwenden einer Streuwertfunktion unter Verwenden der ersten Zufallszahl und der zweiten Zufallszahl; Berechnen, durch die Teilnehmereinheit, eines ersten Nachweisparameters unter Verwenden der ersten Zufallszahl und des monetären Betrags des elektronischen Münzdatensatzes; Berechnen, durch die Teilnehmereinheit, eines zweiten Nachweisparameters unter Verwenden der zweiten Zufallszahl und des Verschleierungsbetrags des elektronischen Münzdatensatzes; und Versenden, durch die Teilnehmereinheit, des Nachweisdatensatzes betreffend den elektronischen Münzdatensatz, wobei der Nachweisdatensatz den Streuwert, den ersten Nachweisparameter und den zweiten Nachweisparameter umfasst. Dieses Nachweis-Verfahren wird auch vereinfachter Nullwissen-Nachweis, englisch Zero-Knowledge-Proof, genannt.The object is achieved with a method for providing a verification data set relating to an electronic coin data set by a subscriber unit of an electronic payment system, the electronic coin data set having a monetary amount and an obfuscation amount. The method comprises the following method steps: generating a first random number and a second random number; calculating, by the subscriber unit, a hash by applying a hash function using the first random number and the second random number; calculating, by the subscriber unit, a first verification parameter using the first random number and the monetary amount of the electronic coin record; calculating, by the subscriber unit, a second verification parameter using the second random number and the amount of obfuscation of the electronic coin record; and sending, by the subscriber unit, the verification data set relating to the electronic coin data set, the verification data set comprising the scatter value, the first verification parameter and the second verification parameter. This verification procedure is also called simplified zero-knowledge proof.

Ein Nachweisdatensatz ist ein Datensatz beinhaltend Nachweisdatensatz-Datenelemente. Der Nachweisdatensatz ermöglicht es, den Besitz des elektronischen Münzdatensatzes bei einem anderen Teilnehmer des elektronischen Bezahlsystems anzuzeigen, ohne dabei ein Datenelement des elektronischen Münzdatensatzes offenzulegen. Dieser Nachweisdatensatz erhöht das Vertrauen während eines Bezahlvorgangs mit elektronischen Münzdatensätzen.An Evidence Record is a record containing Evidence Record data elements. The verification data record makes it possible to indicate the possession of the electronic coin data record by another participant in the electronic payment system without revealing a data element of the electronic coin data record. This verification record increases confidence during a payment transaction with electronic coin records.

Der Nachweisdatensatz wird bevorzugt auf direkte Anfrage bereitgestellt. Dazu empfängt die Teilnehmereinheit eine Aufforderung, einen Nachweisdatensatz zu einem elektronischen Münzdatensatz bereitzustellen. Bevorzugt erfolgt diese Aufforderung nach dem Übertragen des elektronischen Münzdatensatzes an die auffordernde Instanz, beispielsweise eine andere Teilnehmereinheit oder ein Münzregister. Damit wird nicht mit jeder Übertragung ein Nachweisdatensatz erzeugt, wodurch Rechenressourcen und Datenmengen bei der Übertragung pro Bezahltransaktion reduziert werden können.The verification data set is preferably provided upon direct request. To this end, the subscriber unit receives a request to provide a verification data record for an electronic coin data record. This request is preferably made after the electronic coin data record has been transmitted to the requesting entity, for example another subscriber unit or a coin register. This means that a proof data record is not generated with each transmission, which means that computing resources and data volumes can be reduced in the transmission per payment transaction.

Alternativ wird mit jedem Übertragen eines elektronischen Münzdatensatzes bzw. mit jeder Modifikation an einem elektronischem Münzdatensatz automatisch ein Nachweisdatensatz erzeugt und dem Bezahlsystem (beispielsweise dem Münzregister) bereitgestellt. Das Übertragen des elektronischen Münzdatensatzes an eine andere Teilnehmereinheit kann dann auch das Versenden des Nachweisdatensatzes an das Münzregister und/oder auch (insbesondere vorab) an diese Teilnehmereinheit umfassen. Damit wird die Sicherheit des Bezahlsystems erhöht, denn jeder Empfänger des Nachweisdatensatzes kann prompt die Gültigkeit des elektronischen Münzdatensatzes prüfen (lassen).Alternatively, with each transmission of an electronic coin data set or with each modification to an electronic coin data set, a verification data set is automatically generated and made available to the payment system (for example the coin register). The transmission of the electronic coin data record to another subscriber unit can then also include the sending of the verification data record to the coin register and/or also (in particular in advance) to this subscriber unit. This increases the security of the payment system, because each recipient of the proof data record can promptly check the validity of the electronic coin data record (or have it checked).

Mit diesem Nachweisdatensatz beweist die den Nachweisdatensatz bereitstellende Teilnehmereinheit insbesondere, dass sie im Besitz des monetären Betrags des elektronischen Münzdatensatzes und des Verschleierungsbetrags des elektronischen Münzdatensatzes ist. Zur Bestätigung des Nachweises kann ein Empfänger des Nachweisdatensatzes einen zum elektronischen Münzdatensatz korrespondierenden maskierten elektronischen Münzdatensatz verwenden. Der maskierte elektronische Münzdatensatz kann von einem Münzregister bereitgestellt worden sein oder wird von einer Teilnehmereinheit zum Prüfen der Gültigkeit des elektronischen Münzdatensatzes selbst generiert.With this verification data record, the subscriber unit providing the verification data record proves in particular that it is in possession of the monetary amount of the electronic coin data record and the concealed amount of the electronic coin data record. To confirm the verification, a recipient of the verification data set can use a masked electronic coin data set that corresponds to the electronic coin data set. The masked electronic coin record may have been provided by a coin register or may be self-generated by a subscriber unit for checking the validity of the electronic coin record.

In einer bevorzugten Ausgestaltung erfolgt durch die Teilnehmereinheit auch ein Maskieren des elektronischen Münzdatensatzes durch Anwenden einer homomorphen Einwegfunktion auf den elektronischen Münzdatensatz zum Erhalten eines maskierten erzeugten elektronischen Münzdatensatzes und ein Hinzufügen des maskierten elektronischen Münzdatensatzes zum Nachweisdatensatz vor dem Versenden-Schritt. Das Maskieren ist in den Patentanmeldungen WO 2020/21337 A1 und WO 2020/212331 A1 ausreichend beschrieben und es wird darauf Bezug genommen. Durch das Maskieren wird ein Registerdatensatz erhalten, der insbesondere aus dem maskierten Münzdatensatz und nun ggf. auch dem Nachweisdatensatz besteht. Der Registerdatensatz wird im Münzregister registriert. Ein Teil dieses Registrierens ist ein Prüfen des Nachweisdatensatzes.In a preferred embodiment, the subscriber unit also masks the electronic coin record by applying a homomorphic one-way function to the electronic coin record to obtain a masked generated electronic coin record and adding the masked electronic coin record to the verification record prior to the sending step. Masking is in the patent applications WO 2020/21337 A1 and WO 2020/212331 A1 sufficient described and referenced. By masking, a register data set is obtained, which consists in particular of the masked coin data set and now possibly also the verification data set. The register record is registered in the coin register. Part of this registration is checking the evidence record.

Die Zufallszahlen werden mittels eines oder mehrerer Zufallsgeneratoren erzeugt. Die Zufallszahlen sind bevorzugt echte Zufallszahlen (und keine Pseudozufallszahlen), um das Bezahl-Verfahren ausreichend abzusichern und eine Vorhersagewahrscheinlichkeit deutlich zu reduzieren.The random numbers are generated by one or more random number generators. The random numbers are preferably real random numbers (and not pseudo-random numbers) in order to sufficiently secure the payment method and to significantly reduce the probability of a prediction.

In einer Ausgestaltung werden die Zufallszahlen durch die Teilnehmereinheit selbst erzeugt, sodann weist die Teilnehmereinheit einen Zufallsgenerator auf.In one embodiment, the random numbers are generated by the subscriber unit itself, and then the subscriber unit has a random number generator.

Alternativ werden die Zufallszahlen von einer externen Einheit erzeugt und der Teilnehmereinheit gesichert zur Verfügung gestellt. Diese externe Einheit kann ein Münzregister oder eine andere vertrauenswürdige Instanz des elektronischen Bezahlsystems sein.Alternatively, the random numbers are generated by an external unit and made available securely to the subscriber unit. This external entity can be a coin register or another trusted entity of the electronic payment system.

Bevorzugt ist die erste Zufallszahl von der zweiten Zufallszahl verschieden.The first random number is preferably different from the second random number.

Die Teilnehmereinheit berechnet nun einen Streuwert unter Verwenden einer Streuwertfunktion. Eine Streuwertfunktion ist eine Abbildungsvorschrift, die eine große Eingabemenge (hier die beiden Zufallszahlen oder eine Maskierung derer) auf eine kleinere Zielmenge (den Streuwert) abbildet. Eine Streuwertfunktion ist nicht injektiv. Die Eingabemenge kann Elemente unterschiedlicher Längen enthalten, die Elemente der Zielmenge können eine feste Länge aufweisen. Bevorzugt wird eine Streuwertfunktion verwendet, die bezahlsystemweit bekannt ist bzw. festgelegt ist. Die Streuwertfunktion kann eine Hashfunktion sein, beispielsweise ein sha-256 Algorithmus. Andere Streuwertfunktionen können verwendet werden, nur beispielsweise SHA2, SHA3, RIPEMD .... Bevorzugt wird eine Streuwertfunktion verwendet, die mit geringem Rechenaufwand einen Streuwert berechnen kann Der Streuwert soll eine geringe Datenmenge aufweisen. Vorliegend wird durch die Streuwertfunktion jedoch insbesondere nicht die Datenmenge verringert (die Länge der Eingangsdaten ist kleiner als die Länge des Streuwerts).The subscriber unit now calculates a hash using a hash function. A scatter function is a mapping rule that maps a large input quantity (here the two random numbers or a masking of them) to a smaller target quantity (the scatter value). A hash function is not injective. The input set can contain elements of different lengths, the elements of the target set can have a fixed length. A spread value function that is known or defined throughout the payment system is preferably used. The hash function can be a hash function, for example a sha-256 algorithm. Other spread value functions can be used, just for example SHA2, SHA3, RIPEMD.... A spread value function is preferably used, which can calculate a spread value with little computing effort. The spread value should have a small amount of data. In the present case, however, the amount of data is not reduced in particular by the scatter value function (the length of the input data is smaller than the length of the scatter value).

Vor dem Berechnen des Streuwerts kann eine homomorphe Einwegfunktion auf die erste Zufallszahl und die zweite Zufallszahl zum Erhalten einer maskierten Zufallszahl angewendet werden. Sodann wird die maskierte Zufallszahl anstelle der ersten Zufallszahl und der zweiten Zufallszahl zum Berechnen des Streuwerts verwendet. Die hierbei verwendete homomorphe Einwegfunktion ist die gleiche homomorphe Einwegfunktion, die auch für das Maskieren des elektronischen Münzdatensatzes zum Erzeugen eines Registerdatensatzes verwendet wird.Before calculating the scatter value, a homomorphic one-way function can be applied to the first random number and the second random number to obtain a masked random number. Then, the masked random number is used in place of the first random number and the second random number to calculate the scatter value. The one-way homomorphic function used here is the same one-way homomorphic function used to mask the electronic coin record to create a register record.

Die Teilnehmereinheit berechnet nun einen ersten Nachweisparameter unter Verwenden der ersten Zufallszahl und des monetären Betrags des elektronischen Münzdatensatzes. Beispielsweise wird der erste Nachweisparameter aus einer Addition der ersten Zufallszahl mit einem Produkt aus dem zuvor berechneten Streuwert und dem monetären Betrag gebildet. Andere Bildungsvorschriften zum Berechnen des ersten Nachweisparameters sind möglich.The subscriber unit now calculates a first verification parameter using the first random number and the monetary amount of the electronic coin record. For example, the first detection parameter is formed by adding the first random number to a product of the previously calculated scatter value and the monetary amount. Other formation rules for calculating the first detection parameter are possible.

Die Teilnehmereinheit berechnet nun einen zweiten Nachweisparameter unter Verwenden der zweiten Zufallszahl und des Verschleierungsbetrags des elektronischen Münzdatensatzes. Beispielsweise wird der zweite Nachweisparameter aus einer Addition der zweiten Zufallszahl mit einem Produkt aus dem zuvor berechneten Streuwert und dem Verschleierungsbetrag gebildet. Andere Bildungsvorschriften zum Berechnen des zweiten Nachweisparameters sind möglich.The subscriber unit now calculates a second verification parameter using the second random number and the amount of obfuscation of the electronic coin record. For example, the second detection parameter is formed by adding the second random number to a product of the previously calculated scatter value and the amount of concealment. Other formation rules for calculating the second detection parameter are possible.

Die Nachweisparameter sind Datenelemente des Nachweisdatensatzes. Diese Nachweisparameter werden von der empfangenden Instanz verwendet, um den elektronischen Münzdatensatz auf Gültigkeit zu prüfen.The verification parameters are data elements of the verification data set. These verification parameters are used by the receiving entity to validate the electronic coin record.

Der berechnete Streuwert wird zusammen mit dem berechneten ersten Nachweisparameter und dem berechneten zweiten Nachweisparameter zu dem Nachweisdatensatz zusammengefügt. Diese mindestens drei Datenelemente bilden sodann den Nachweisdatensatz.The calculated scatter value is combined with the calculated first detection parameter and the calculated second detection parameter to form the detection data record. These at least three data elements then form the verification data record.

Nach dem Zusammenfügen wird dieser Nachweisdatensatz dann über geeignete elektronische Kommunikationswege versendet.After merging, this record of evidence is then sent via suitable electronic communication channels.

Der Empfänger des Nachweisdatensatzes kann eine andere Teilnehmereinheit sein. Dieser anderen Teilnehmereinheit wird mit dem Übertragen des elektronischen Münzdatensatzes oder auf dessen Anforderung der Nachweisdatensatz bereitgestellt. Die elektronische Bezahltransaktion gilt bevorzugt erst dann abgeschlossen, wenn die andere Teilnehmereinheit die Echtheit des elektronischen Münzdatensatzes durch Prüfen des Nachweisdatensatzes und die Korrektheit des Nachweises angezeigt hat.The recipient of the credential record may be another subscriber unit. This other subscriber unit is provided with the verification data set with the transmission of the electronic coin data set or at its request. The electronic payment transaction is preferably only concluded when the other subscriber unit has indicated the authenticity of the electronic coin data record by checking the verification data record and the correctness of the verification.

Der Empfänger des Nachweisdatensatzes kann ein Münzregister sein. Diesem Münzregister wird mit dem Anfragen einer Registrierung des elektronischen Münzdatensatzes, beispielsweise einer Modifikation am elektronischen Münzdatensatz, automatisch oder nach dessen Anforderung der Nachweisdatensatz bereitgestellt. Die Modifikation am elektronischen Münzdatensatz gilt bevorzugt erst dann als gültig, wenn das Münzregister die Echtheit des elektronischen Münzdatensatzes durch Prüfen des Nachweisdatensatzes und die Korrektheit des Nachweises angezeigt hat.The recipient of the verification data record can be a coin register. The verification data record is made available to this coin register automatically or after a request for registration of the electronic coin data record, for example a modification to the electronic coin data record. The modification to the electronic coin data record is preferably only considered valid when the coin register has indicated the authenticity of the electronic coin data record by checking the verification data record and the correctness of the verification.

Das Versenden des Nachweisdatensatzes kann Teil des Sendens einer Registrierungsaufforderung für einen maskierten elektronischen Münzdatensatz von der Teilnehmereinheit an das Münzregister sein. Die Registrierungsaufforderung kann Teil einer Umschalt-Modifikation (Switch), einer Aufteil-Modifikation (Split) und/oder einer Kombinier-Modifikation (Merge) sein. Diese verschiedenen Modifikationen sind in den Patentanmeldungen WO 2020/21337 A1 und WO 2020/212331 A1 ausreichend beschrieben und es wird darauf Bezug genommen.Sending the evidencing record may be part of sending a registration request for a masked electronic coin record from the subscriber unit to the coin register. The registration request may be part of a switching modification (switch), a splitting modification (split) and/or a combining modification (merge). These various modifications are in the patent applications WO 2020/21337 A1 and WO 2020/212331 A1 adequately described and referenced.

In einer bevorzugten Ausgestaltung wird das hier verwendete Verfahren zum Bereitstellen eines Nachweises für einen ersten elektronischen Münzdatensatzes und einen zweiten elektronischen Münzdatensatzes durch die Teilnehmereinheit vorgesehen, wobei jeder elektronische Münzdatensatz einen monetären Betrag und einen Verschleierungsbetrag aufweist. Das Verfahren basiert auf dem Verfahren der bisherigen Ausführungen und umfasst weiter: Erzeugen einer dritten Zufallszahl; Berechnen, durch die erste Teilnehmereinheit, des Streuwerts durch Anwenden der Streuwertfunktion unter Verwendung der ersten Zufallszahl, der zweiten Zufallszahl und der dritten Zufallszahl; Berechnen, durch die erste Teilnehmereinheit, des zweiten Nachweisparameters unter Verwendung der zweiten Zufallszahl und des Verschleierungsbetrags des ersten elektronischen Münzdatensatzes; Berechnen, durch die erste Teilnehmereinheit, eines dritten Nachweisparameters unter Verwendung der dritten Zufallszahl und des Verschleierungsbetrags des zweiten elektronischen Münzdatensatzes; und Versenden, durch die erste Teilnehmereinheit, des Nachweisdatensatzes betreffend den ersten elektronischen Münzdatensatz und den zweiten elektronischen Münzdatensatz, wobei der Nachweisdatensatz den Streuwert, den ersten Nachweisparameter, den zweiten Nachweisparameter und den dritten Nachweisparameter umfasst. Dieses Nachweis-Verfahren wird auch Gleichwertigkeitsnachweis, englisch „Equal Value Proof, kurz EVP“, genannt.In a preferred embodiment, the method used herein is provided by the subscriber unit for providing evidence of a first electronic coin record and a second electronic coin record, each electronic coin record having a monetary amount and an obfuscation amount. The method is based on the method of the previous statements and further comprises: generating a third random number; calculating, by the first subscriber unit, the hash by applying the hash function using the first random number, the second random number and the third random number; calculating, by the first subscriber unit, the second verification parameter using the second random number and the amount of obfuscation of the first electronic coin record; calculating, by the first subscriber unit, a third verification parameter using the third random number and the amount of obfuscation of the second electronic coin record; and sending, by the first subscriber unit, the verification data set relating to the first electronic coin data set and the second electronic coin data set, the verification data set comprising the scatter value, the first verification parameter, the second verification parameter and the third verification parameter. This proof procedure is also called proof of equivalence, English "Equal Value Proof, EVP for short".

Dieser Gleichwertigkeitsnachweis dient im elektronischen Bezahlverfahren ebenfalls dazu, den Besitz des elektronischen Münzdatensatzes zu beweisen, Zudem dient der Gleichwertigkeitsnachweis dazu, dass der Nachweis-Ersteller (hier die Teilnehmereinheit) beweisen kann, dass in dem, den Nachweisdatensatz betreffenden zwei elektronischen Münzdatensätzen jeweils der gleiche geldwerte Betrag enthalten ist, also kein neues Geld generiert wurde.This proof of equivalence is also used in the electronic payment process to prove ownership of the electronic coin data record. In addition, the proof of equivalence serves to ensure that the person who created the proof (here the subscriber unit) can prove that the two electronic coin data records relating to the proof data record each have the same monetary value Amount is included, i.e. no new money was generated.

Die oben genannten Ausführungen zum Erzeugen von Zufallszahlen gelten auch für das Erzeugen der dritten Zufallszahl für diesen Gleichwertigkeitsnachweis.The statements made above regarding the generation of random numbers also apply to the generation of the third random number for this proof of equivalence.

Die oben genannten Ausführungen zum Berechnen des Streuwerts gelten auch für das Berechnen des Streuwerts für diesen Gleichwertigkeitsnachweis.The explanations above for calculating the scatter value also apply to the calculation of the scatter value for this proof of equivalency.

Die oben genannten Ausführungen zum Berechnen der Nachweisparameter gelten auch für das Berechnen der drei Nachweisparameter für diesen Gleichwertigkeitsnachweis. Die Berechnung des zweiten Nachweisparameters wird dahingehend konkretisiert, dass dazu der Verschleierungsbetrag des ersten elektronischen Münzdatensatzes verwendet wird.The statements above regarding the calculation of the verification parameters also apply to the calculation of the three verification parameters for this verification of equivalence. The calculation of the second verification parameter is specified in such a way that the obfuscation amount of the first electronic coin data record is used for this purpose.

Die oben genannten Ausführungen zum Versenden des Nachweisdatensatzes gelten auch für das zum Versenden des Nachweisdatensatzes für diesen Gleichwertigkeitsnachweis.The above statements on sending the verification data set also apply to sending the verification data set for this proof of equivalence.

Bevorzugt wird für den Gleichwertigkeitsnachweis eine (die) homomorphe Einwegfunktion auf die erste Zufallszahl und die zweite Zufallszahl zum Erhalten einer ersten maskierten Zufallszahl angewendet. Zudem wird die homomorphe Einwegfunktion auf die erste Zufallszahl und die dritte Zufallszahl zum Erhalten einer zweiten maskierten Zufallszahl angewendet. Die erste maskierte Zufallszahl wird mit der zweiten maskierten Zufallszahl verknüpft, nur vorzugsweise verkettet (= Konkatenation). Die Verkettung ist eine Verknüpfung von zwei Mengen (hier erste maskierte Zufallszahl und zweite maskierte Zufallszahl) zu einer neuen Menge (verkettete maskierte Zufallszahl). Die verknüpfte Menge besteht dabei aus allen Kombinationen der Elemente beider Mengen unter Verwendung einer normalerweise nicht-kommutativen Operation. Als Operation wird in aller Regel die Konkatenation der Elemente verwendet.For the proof of equivalence, a (the) homomorphic one-way function is preferably applied to the first random number and the second random number to obtain a first masked random number. In addition, the homomorphic one-way function is applied to the first random number and the third random number to obtain a second masked random number. The first masked random number is matched with the second mas linked random number, only preferably concatenated (= concatenation). Concatenation is a combination of two sets (here first masked random number and second masked random number) to form a new set (concatenated masked random number). The linked set consists of all combinations of the elements of both sets using a normally non-commutative operation. As a rule, the concatenation of the elements is used as an operation.

Das Bereitstellen des Nachweises erfolgt insbesondere im Rahmen einer Umschalte-Modifikation (Switch) des ersten elektronischen Münzdatensatzes auf den zweiten elektronischen Münzdatensatz, um dem Münzregister anzuzeigen, dass mit dem umzuschaltenden zweiten Münzdatensatz kein neuer geldwerter Betrag generiert wurde. Mit der Umschalte-Modifikation wird der erste elektronische Münzdatensatz auf den zweiten elektronischen Münzdatensatz umgeschaltet, wobei die geldwerten Beträge beider elektronischen Münzdatensätze identisch sind. Das Umschalten ist notwendig, um den empfangenen ersten elektronischen Münzdatensatz im Bezahlsystem ungültig zu machen und damit eine Doppelausgabe (double Spending) zu vermeiden. Solange keine Umschalte-Modifikation erfolgt ist, könnte der Sender des ersten elektronischen Münzdatensatzes diesen immer noch an eine andere Teilnehmereinheit erneut ausgeben. Die Umschalte-Modifikation ist in den Patentanmeldungen WO 2020/21337 A1 und WO 2020/212331 A1 ausreichend beschrieben und es wird darauf Bezug genommen.The proof is provided in particular as part of a switching modification (switch) of the first electronic coin data set to the second electronic coin data set in order to indicate to the coin register that no new monetary value was generated with the second coin data set to be switched. With the changeover modification, the first electronic coin data set is switched over to the second electronic coin data set, with the monetary amounts of both electronic coin data sets being identical. Switching is necessary in order to invalidate the first electronic coin data record received in the payment system and thus avoid double spending. As long as no toggle modification has occurred, the sender of the first electronic coin record could still reissue it to another subscriber unit. The toggle modification is in the patent applications WO 2020/21337 A1 and WO 2020/212331 A1 adequately described and referenced.

In einer Ausgestaltung ist der geldwerte Betrag des zweiten elektronischen Münzdatensatzes ein Teil des geldwerten Betrags des ersten elektronischen Münzdatensatzes. Dies wird beispielsweise in einer Aufteilen-Modifikation durch die Teilnehmereinheit erreicht, bevorzugt ohne Registrierung und Prüfung im Münzregister. Die Aufteilen-Modifikation ist in den Patentanmeldungen WO 2020/21337 A1 und WO 2020/212331 A1 ausreichend beschrieben und es wird darauf Bezug genommen.In one embodiment, the monetary amount of the second electronic coin dataset is part of the monetary amount of the first electronic coin dataset. This is achieved, for example, in a splitting modification by the subscriber unit, preferably without registration and checking in the coin register. The split modification is in the patent applications WO 2020/21337 A1 and WO 2020/212331 A1 adequately described and referenced.

Für das Berechnen des Streuwerts durch die Teilnehmereinheit wird dann beim Anwenden der Streuwertfunktion unter Verwendung der ersten Zufallszahl, der zweiten Zufallszahl und der dritten Zufallszahl auch ein Teilungsfaktor der geldwerten Beträge verwendet. Dieser Teilungsfaktor als zusätzlicher Parameter des Nachweisdatensatzes ermöglicht eine schnelle Prüfung, dass mit dem Aufteilen kein neuer geldwerter Betrag erzeugt wurde.For the calculation of the scatter value by the subscriber unit, a division factor of the monetary amounts is then also used when applying the scatter value function using the first random number, the second random number and the third random number. This division factor, as an additional parameter of the verification data record, enables a quick check to be made that no new sum of money was generated with the division.

Dazu ist bevorzugt der geldwerte Restbetrag aus der Subtraktion des geldwerten Betrags des ersten elektronischen Münzdatensatzes und dem geldwerten Betrag des zweiten elektronischen Münzdatensatzes größer null.For this purpose, the remaining monetary amount from the subtraction of the monetary amount of the first electronic coin dataset and the monetary amount of the second electronic coin dataset is preferably greater than zero.

In einem weiteren Aspekt der Erfindung wird ein Verfahren zum Prüfen eines Nachweises für einen elektronischen Münzdatensatz durch eine zweite Teilnehmereinheit oder ein Münzregister eines Bezahlsystems vorgeschlagen. Dieses Prüfen-Verfahren umfasst die folgenden Verfahrensschritte: Empfangen, von einer ersten Teilnehmereinheit, eines Nachweisdatensatzes des Bezahlsystems, wobei der Nachweisdatensatz einen Streuwert, einen ersten Nachweisparameter und einen zweiten Nachweisparameter umfasst; Berechnen, durch die zweite Teilnehmereinheit, eines Streuwerts durch Anwenden einer Streuwertfunktion unter Verwendung des ersten Nachweisparameters und des zweiten Nachweisparameters; Vergleichen des empfangenen Streuwerts aus dem Nachweisdatensatz mit dem berechneten Streuwert; Anzeigen der Korrektheit des Nachweises an die erste Teilnehmereinheit, wenn der Vergleichen-Schritt ergibt, dass der empfangene Streuwert aus dem Nachweisdatensatz mit dem berechneten Streuwert übereinstimmt.A further aspect of the invention proposes a method for checking proof of an electronic coin data set by a second subscriber unit or a coin register of a payment system. This checking method comprises the following method steps: receiving, from a first subscriber unit, a verification data record of the payment system, the verification data record including a scatter value, a first verification parameter and a second verification parameter; calculating, by the second subscriber unit, a hash value by applying a hash function using the first detection parameter and the second detection parameter; comparing the received scatter value from the detection data set with the calculated scatter value; indicating the correctness of the evidence to the first subscriber unit if the comparing step determines that the received hash value from the evidence record matches the calculated hash value.

Dieser berechnete Streuwert zum Prüfen des Streuwerts des Nachweisdatensatzes wird mit der gleichen Streuwertfunktion berechnet, mit der Streuwert des Nachweisdatensatzes berechnet wurde.This calculated scatter value for checking the scatter value of the detection data set is calculated using the same scatter value function that was used to calculate the scatter value of the detection data set.

Das Anzeigen wird als eine signierte Antwort auf den empfangenen Nachweisdatensatz an die erste Teilnehmereinheit gesendet. Die Signatur des Münzregisters erhöht die Echtheit des Anzeigens und erhöht das Vertrauen in die Bezahltransaktion.The notification is sent to the first subscriber unit as a signed response to the received credential record. The signature of the coin register increases the authenticity of the display and increases confidence in the payment transaction.

Bei angezeigter Korrektheit des Nachweises kann der elektronische Münzdatensatz im Münzregister des elektronischen Bezahlsystems registriert werden. Dabei kann ein vorhandener Registerdatensatz um den empfangenen Nachweisdatensatz erweitert werden. Eine Prüfung des elektronischen Münzdatensatzes ist dann auch zu einem späteren Zeitpunkt erneut möglich.If the proof is correct, the electronic coin data record can be registered in the coin register of the electronic payment system. An existing register data set can be expanded to include the received verification data set. It is then also possible to check the electronic coin data record again at a later point in time.

In einer Ausgestaltung des Verfahrens wird der elektronische Münzdatensatz von einer Herausgeberinstanz und/oder einer anderen Teilnehmereinheit empfangen und ein Registerdatensatz zu dem empfangenen elektronischen Münzdatensatz bei dem Münzregister abgefragt.In one embodiment of the method, the electronic coin data record is received by an issuer entity and/or another subscriber unit and a register data record relating to the received electronic coin data record is queried from the coin register.

Bevorzugt wird das zuvor beschriebene Verfahren erst durchgeführt, wenn ein Registerdatensatz zu diesem elektronischen Münzdatensatz im Münzregister vorhanden ist.The method described above is preferably only carried out when a register data record for this electronic coin data record is present in the coin register.

Die genannten Verfahrensschritte, die in einer Teilnehmereinheit durchgeführt werden, werden bevorzugt in einer gesicherten Laufzeitumgebung, beispielsweise einem Sicherheitselement der jeweiligen Teilnehmereinheit durchgeführt.The method steps mentioned, which are carried out in a subscriber unit, are preferably carried out in a secure runtime environment, for example a security element of the respective subscriber unit.

In einem weiteren Aspekt der Erfindung ist ein Münzregister zum Registrieren von Registerdatensätzen, insbesondere maskierten elektronischen Münzdatensätzen, in einem elektronischen Bezahlsystem vorgesehen. Das Münzregister umfasst eine Datenschnittstelle, die eingerichtet ist zum Empfangen von Nachweisdatensätzen und zum Anzeigen der Korrektheit des Nachweises gemäß der vorhergehend beschriebenen Art.A further aspect of the invention provides a coin register for registering register data records, in particular masked electronic coin data records, in an electronic payment system. The coin register includes a data interface that is set up to receive verification data records and to display the correctness of the verification according to the type described above.

Das Münzregister kann dazu eingerichtet sein die Streuwertfunktion zum Erzeugen des Streuwerts anzuwenden; den erzeugten Streuwerts mit dem empfangenen Streuwert des Nachweisdatensatzes zu vergleichen; und einen Registerdatensatz in dem Münzregister zu registrieren. Damit stellt die Teilnehmereinheit sicher, dass der zu übertragende Münzdatensatz vorhanden und gültig ist.The coin register may be configured to apply the spread value function to generate the spread value; compare the generated scatter value with the received scatter value of the evidence data set; and register a register record in the coin register. The subscriber unit thus ensures that the coin data set to be transmitted is available and valid.

Bevorzugt umfasst das Münzregister eine Prüfeinheit zum Prüfen des Nachweisdatensatzes gemäß dem Verfahren der vorhergehend beschriebenen Art. Die Prüfeinheit kann auch zum Prüfen der Gültigkeit von den Registerdatensätzen entsprechenden elektronischen Münzdatensätzen eingerichtet sein.The coin register preferably includes a checking unit for checking the verification data set according to the method of the type described above. The checking unit can also be set up to check the validity of the electronic coin data sets corresponding to the register data sets.

Bevorzugt registriert das Münzregister jeden maskierten elektronischen Münzdatensatz als einen Registerdatensatz zusammen mit dem Nachweisdatensatz oder zumindest unter Verwendung des Nachweisdatensatzes.Preferably, the coin register registers each masked electronic coin record as a record record along with the evidencing record or at least using the evidencing record.

In einem weiteren Aspekt der Erfindung ist ein Bezahlsystem zum Bezahlen mit elektronischen Münzdatensätzen vorgesehen. Das Bezahlsystem umfasst ein Münzregister, eingerichtet zum Prüfen eines Nachweisdatensatzes und zum Registrieren der elektronischen Münzdatensätze; und Teilnehmereinheiten, die eingerichtet sind zum Ausführen von Bezahltransaktionen durch Übertragen der elektronischen Münzdatensätze und zum Bereitstellen von Nachweisdatensätzen betreffend die elektronischen Münzdatensätze gemäß dem Verfahren der vorhergehend beschriebenen Art.In a further aspect of the invention, a payment system for paying with electronic coin data records is provided. The payment system comprises a coin register set up to check a verification data set and to register the electronic coin data sets; and subscriber units which are set up to carry out payment transactions by transmitting the electronic coin data records and to provide verification data records relating to the electronic coin data records according to the method of the type described above.

In einem weiteren Aspekt der Erfindung ist eine Teilnehmereinheit eingerichtet zum direkten Übertragen von elektronischen Münzdatensätzen an eine andere Teilnehmereinheit in einem elektronischen Bezahlsystem und eingerichtet zum Ausführen von Bezahltransaktionen durch Übertragen von elektronischen Münzdatensätzen und zum Bereitstellen von Nachweisdatensätzen betreffend die elektronischen Münzdatensätze an eine andere Teilnehmereinheit oder ein Münzregister des Bezahlsystems gemäß dem Verfahren der vorhergehend beschriebenen Art mit einem Mittel zum Zugreifen auf einen Datenspeicher, wobei im Datenspeicher zumindest ein elektronischer Münzdatensatz abgelegt ist; einer Schnittstelle zum Ausgeben des zumindest einen elektronischen Münzdatensatzes an die andere Teilnehmereinheit und zum Senden und Empfangen von Nachweisdatensätzen betreffend die elektronischen Münzdatensätzen; und einer Recheneinheit, die eingerichtet ist zum Ausführen der Verfahrensschritte gemäß dem Verfahren der vorhergehend beschriebenen Art.In a further aspect of the invention, a subscriber unit is set up for directly transmitting electronic coin data records to another subscriber unit in an electronic payment system and set up for executing payment transactions by transmitting electronic coin data records and for providing verification data records relating to the electronic coin data records to another subscriber unit or a Coin register of the payment system according to the method of the type described above with a means for accessing a data memory, wherein at least one electronic coin data set is stored in the data memory; an interface for issuing the at least one electronic coin record to the other subscriber unit and for sending and receiving verification records related to the electronic coin records; and a computing unit that is set up to carry out the method steps according to the method of the type described above.

Die Teilnehmereinheit kann den elektronischen Münzdatensatz direkt an eine zweite Teilnehmereinheit übertragen. Die Teilnehmereinheit oder die zweite Teilnehmereinheit senden eine Registrierungsaufforderung und erhalten eine Registrierungsbestätigung von dem Münzregister als Anzeige der Korrektheit des Nachweisdatensatzes. Mit der Registrierungsbestätigung zeigt das Münzregister der jeweiligen Teilnehmereinheit an, dass eine Verifizierung der Registrierungsaufforderung erfolgreich war, insbesondere, dass der elektronische Münzdatensatz echt ist und die Teilnehmereinheit diesen elektronischen Münzdatensatz besitzt.The subscriber unit can transmit the electronic coin record directly to a second subscriber unit. The subscriber unit or the second subscriber unit sends a registration request and receives a registration confirmation from the coin register as an indication of the correctness of the credential record. With the registration confirmation, the coin register indicates to the respective subscriber unit that a verification of the registration request was successful, in particular that the electronic coin data record is genuine and the subscriber unit possesses this electronic coin data record.

In einem weiteren Aspekt der Erfindung ist ein Computerprogramprodukt ausführbar installiert in einer Teilnehmereinheit oder einem Münzregister eines Bezahlsystems und weist Mittel zum Ausführen der Verfahrensschritte gemäß dem Verfahren der vorhergehend beschriebenen Art auf.In a further aspect of the invention, a computer program product is executably installed in a subscriber unit or a coin register of a payment system and has means for carrying out the method steps according to the method of the type described above.

Ein elektronischer Münzdatensatz ist insbesondere ein elektronischer Datensatz, der einen geldwerten (=monetären) Betrag repräsentiert und umgangssprachlich auch als „digitale Münze“ oder „elektronische Münze“, englisch „digital/electronic coin“ bezeichnet wird. Vorzugsweise liegt ein elektronischer Münzdatensatz einer Zentralbankwährung oder „central bank digital currency, CBDC“ vor. Dieser geldwerte Betrag kann bei dem Verfahren von einem ersten Endgerät zu einem anderen Endgerät wechseln. Als ein geldwerter Betrag (Vermögenwert) wird im Folgenden ein digitaler Betrag verstanden, der z.B. auf einem Konto eines Geldinstituts gutgeschrieben werden kann, oder gegen ein anderes Zahlungsmittel getauscht werden kann. Ein elektronischer Münzdatensatz repräsentiert also Bargeld in elektronischer Form.An electronic coin data record is in particular an electronic data record that represents a monetary (=monetary) amount and is colloquially referred to as a “digital coin” or “electronic coin”. Preferably lies an electronic coin data prefix of a central bank currency or "central bank digital currency, CBDC". In the method, this monetary amount can change from a first terminal to another terminal. A monetary amount (asset) is understood below to mean a digital amount that can be credited to an account at a financial institution, for example, or can be exchanged for another means of payment. An electronic coin record thus represents cash in electronic form.

Ein elektronischer Münzdatensatz zum Übertragen von geldwerten Beträgen unterscheidet sich wesentlich von dem elektronischen Datensatz zum Datenaustausch oder Datentransfer, beispielsweise einem Registerdatensatz, da eine klassische Datentransaktion auf Basis eines Frage-Antwort-Prinzips bzw. auf einer Interkommunikation zwischen den Datentransferpartnern, beispielsweise der Teilnehmereinheit und einem Münzregister (auch als Überwachungsinstanz, Überwachungsregister, Transaktionsregister, Verifier bezeichnet) stattfindet. Dabei können im Rahmen von Authentifizierungen, Identifizierungs- bzw. Kennungsdaten ausgetauscht werden, die Rückschlüsse auf eine Teilnehmerkennung und/oder eine Identifizierungsnummer einer natürlichen Person als Nutzer (Teilnehmer) des Bezahlsystems liefern können. Damit ist ein anonymes Bezahlen nicht möglich. Ein elektronischer Münzdatensatz ist dementgegen anonym, einmalig, eindeutig und steht im Kontext eines Sicherheitskonzepts. In einem elektronischen Münzdatensatz sind prinzipiell alle Datenelemente enthalten, die für eine empfangende Instanz benötigt werden, um den zu übertragenden geldwerten Betrag zu erhalten. Im Unterschied zum Kopieren von elektronischen Datensätzen, also der Vervielfältigung digitaler Daten, darf ein gültiger elektronischer Münzdatensatz nur ein einziges Mal im Bezahlsystem existieren. Diese Systemvoraussetzung ist insbesondere beim Übertragen von elektronischen Münzdatensätzen zu beachten.An electronic coin data record for transferring amounts of money differs significantly from the electronic data record for data exchange or data transfer, for example a register data record, since a classic data transaction based on a question-answer principle or on an intercommunication between the data transfer partners, for example the subscriber unit and a Coin register (also referred to as the supervisory authority, monitoring register, transaction register, verifier) takes place. Within the framework of authentication, identification or identification data can be exchanged, which can provide conclusions about a subscriber ID and/or an identification number of a natural person as a user (participant) of the payment system. This means that anonymous payment is not possible. An electronic coin data set, on the other hand, is anonymous, unique, unambiguous and is part of a security concept. In principle, an electronic coin data record contains all data elements that are required for a receiving entity in order to receive the amount of money to be transmitted. In contrast to copying electronic data records, i.e. duplicating digital data, a valid electronic coin data record may only exist once in the payment system. This system requirement must be observed in particular when transferring electronic coin data records.

Ein elektronischer Münzdatensatz kann dabei in einer Vielzahl von unterschiedlichen Erscheinungsformen vorliegen und damit über verschiedene Kommunikationskanäle, Kommunikationsprotokolle, Kommunikationsschichten nachfolgend als Schnittstellen zusammengefasst, ausgetauscht werden. Ein sehr flexibler Austausch von elektronischen Münzdatensätzen ist damit geschaffen.An electronic coin data set can be present in a large number of different forms and can thus be exchanged via different communication channels, communication protocols, communication layers, summarized below as interfaces. This creates a very flexible exchange of electronic coin data sets.

Der elektronische Münzdatensatz ist beispielsweise in Form einer Datei darstellbar. Eine Datei besteht dabei aus inhaltlich zusammengehörigen Daten, die auf einem Datenträger, Datenspeicher oder Speichermedium gespeichert sind. Jede Datei ist zunächst eine eindimensionale Aneinanderreihung von Bits, die normalerweise in Byte-Blöcken zusammengefasst interpretiert werden. Ein Anwendungsprogramm (Applikation) oder ein Betriebssystem eines Sicherheitselements und/oder einer Teilnehmereinheit interpretiert diese Bit- oder Bytefolge beispielsweise als einen Text, ein Bild oder eine Tonaufzeichnung. Das dabei verwendete Dateiformat kann unterschiedlich sein, beispielsweise kann es eine reine Textdatei sein, die den elektronischen Münzdatensatz repräsentiert. Dabei werden insbesondere der monetäre Betrag und eine blinde Signatur als Datei abgebildet.The electronic coin data set can be presented in the form of a file, for example. A file consists of data that is related in terms of content and is stored on a data carrier, data storage device or storage medium. Each file is initially a one-dimensional sequence of bits, which are usually interpreted in groups of bytes. An application program or an operating system of a security element and/or a subscriber unit interprets this bit or byte sequence as text, an image or a sound recording, for example. The file format used can be different, for example it can be a pure text file that represents the electronic coin data record. In particular, the monetary amount and a blind signature are displayed as a file.

Der elektronische Münzdatensatz ist beispielsweise eine Folge von American Standard Code for Information Interchange, kurz ASCII, Zeichen. Dabei werden insbesondere der monetäre Betrag und eine blinde Signatur als diese Folge abgebildet.The electronic coin data record is, for example, a sequence of American Standard Code for Information Interchange, or ASCII for short, characters. In particular, the monetary amount and a blind signature are shown as this sequence.

Der elektronische Münzdatensatz kann in einer Teilnehmereinheit auch von einer Darstellungsform in eine andere Darstellungsform umgewandelt werden. So kann beispielsweise der elektronische Münzdatensatz als QR-Code in einer Teilnehmereinheit erfasst werden und als Datei oder Zeichenfolge von der Teilnehmereinheit ausgegeben werden.The electronic coin record can also be converted from one representation form to another representation form in a subscriber unit. For example, the electronic coin data record can be recorded as a QR code in a subscriber unit and output by the subscriber unit as a file or character string.

In besonders bevorzugten Ausgestaltungen werden elektronische Münzdatensätze nur direkt zwischen gesicherten Laufzeitumgebungen der Teilnehmereinheiten ausgetauscht, also insbesondere zwischen Sicherheitselementen (wie Chipkarten, Sicherheitsmodulen, SIM-Modulen, TPMs, NFC-Modulen oder eUICCs) ausgetauscht.In particularly preferred refinements, electronic coin data records are only exchanged directly between secure runtime environments of the subscriber units, ie in particular between security elements (such as chip cards, security modules, SIM modules, TPMs, NFC modules or eUICCs).

Diese unterschiedlichen Darstellungsformen von ein und demselben elektronischen Münzdatensatz ermöglichen einen sehr flexiblen Austausch zwischen Teilnehmereinheiten bzw. Sicherheitselementen unterschiedlicher technischer Ausrüstung unter Verwendung unterschiedlicher Übertragungsmedien (Luft, Papier, drahtgebunden) und unter Berücksichtigung technischer Ausgestaltung von Teilnehmereinheit(en). Die Wahl der Darstellungsform der elektronischen Münzdatensätze erfolgt bevorzugt automatisch, beispielsweise aufgrund erkannter oder ausgehandelter Übertragungsmedien und Gerätekomponenten. Zusätzlich kann auch ein Benutzer einer Teilnehmereinheit die Darstellungsform zum Austausch (=Übertragen) eines elektronischen Münzdatensatzes wählen.These different forms of representation of one and the same electronic coin data record enable a very flexible exchange between subscriber units or security elements of different technical equipment using different transmission media (air, paper, wire) and taking into account the technical design of subscriber unit(s). The selection of the form of representation of the electronic coin data records is preferably made automatically, for example on the basis of recognized or negotiated transmission media and device components. In addition, a user of a subscriber unit can also select the form of representation for exchanging (=transmitting) an electronic coin data set.

In einer vorteilhaften Ausgestaltung weist der elektronische Münzdatensatz als Datenelement einen monetären Betrag, also ein Datum, das einen Geldwert des elektronischen Münzdatensatzes darstellt, und als Datenelement einen Verschleierungsbetrag, beispielsweise eine Zufallszahl, auf. Der Verschleierungsbetrag ist dem Münzregister nicht bekannt. Der Verschleierungsbetrag ist - außer in der ersten Schicht (Direkttransaktionsschicht) - ein geheimes Datenelement. Ein elektronischer Münzdatensatz wird durch diese wenigstens zwei Datenelemente (monetärer Betrag, Verschleierungsbetrag) eindeutig repräsentiert. Jeder, der Zugriff auf diese Datenelemente eines elektronischen Münzdatensatzes hat, kann diesen elektronischen Münzdatensatz zum Bezahlen in einer Bezahltransaktion verwenden. Die Kenntnis dieser zwei Datenelemente (monetärer Betrag, Verschleierungsbetrag) ist also gleichbedeutend mit dem Besitz des digitalen Geldes. Dieser elektronische Münzdatensatz kann zwischen zwei Teilnehmereinheiten direkt übertragen werden. Zum Austausch von digitalem Geld (=Bezahltransaktion) ist nur die Übertragung des monetären Betrags und des Verschleierungsbetrags notwendig.In an advantageous embodiment, the electronic coin data record has a monetary amount as a data element, ie a date that represents a monetary value of the electronic coin data record, and an obfuscation amount, for example a random number, as a data element. The amount of concealment is not known to the coin register. The obfuscation amount is - except in the first layer (direct transaction layer) - a secret data element. An electronic coin data set is uniquely represented by these at least two data elements (monetary amount, concealment amount). Anyone who has access to these data elements of an electronic coin record can use this electronic coin record to pay in a payment transaction. Knowledge of these two data elements (monetary amount, concealment amount) is therefore equivalent to possession of the digital money. This electronic coin record can be directly transmitted between two subscriber units. To exchange digital money (= payment transaction), only the transfer of the monetary amount and the concealment amount is necessary.

Darüber hinaus kann der elektronische Münzdatensatz weitere Datenelemente aufweisen, beispielsweise welche Währung der monetäre Betrag repräsentiert, von welcher Herausgeberinstanz er erzeugt wurde und/oder eine Signatur einer Herausgeberinstanz.In addition, the electronic coin data record can have further data elements, for example which currency the monetary amount represents, by which issuing authority it was generated and/or a signature of an issuing authority.

Eine Teilnehmereinheit des Bezahlsystems kann beispielsweise ein mobiles Endgerät, wie z.B. ein Smartphone, ein Tablet-Computer, ein Computer, ein Server oder eine Maschine sein.A subscriber unit of the payment system can be, for example, a mobile terminal such as a smartphone, a tablet computer, a computer, a server or a machine.

Alternativ oder zusätzlich kann die Teilnehmereinheit auch ein Gerät, wie Wearable, Smartcard, Maschine, Werkzeug, Automat oder auch Behälter bzw. Fahrzeug sein. Eine Teilnehmereinheit ist somit entweder stationär oder mobil. Die Teilnehmereinheit ist vorzugsweise ausgebildet, das Internet und/ oder andere öffentliche oder private Netze zu nutzen, um elektronische Münzdatensätze und/oder Registerdatensätze bzw. Anfragen diesbezüglich zu übertragen. Dazu verwendet die Teilnehmereinheit eine geeignete Verbindungstechnologie, beispielsweise Bluetooth, LoRa, NFC und/ oder WiFi und weist wenigstens eine entsprechende Schnittstelle auf. Die Teilnehmereinheit kann auch ausgebildet sein, mittels Zugangs zu einem Mobilfunknetz mit dem Internet und/ oder anderen Netzen verbunden zu werden.Alternatively or additionally, the subscriber unit can also be a device such as a wearable, smart card, machine, tool, vending machine or even a container or vehicle. A subscriber unit is thus either stationary or mobile. The subscriber unit is preferably designed to use the Internet and/or other public or private networks in order to transmit electronic coin data records and/or register data records or queries relating thereto. For this purpose, the subscriber unit uses a suitable connection technology, for example Bluetooth, LoRa, NFC and/or WiFi, and has at least one corresponding interface. The subscriber unit can also be designed to be connected to the Internet and/or other networks by means of access to a mobile radio network.

Eine auf der Teilnehmereinheit betriebsbereit eingebrachte Applikation (installiert) kann eine Übertragung eines Münzdatensatzes zu einer anderen Teilnehmereinheit durch Nutzung von Eingabe- und/oder Ausgabemittel der jeweiligen Teilnehmereinheit initiieren und steuern. Beispielsweise kann mittels der Applikation Beträge von elektronischen Münzdatensätzen angezeigt werden und das Übertragungsverfahren überwacht werden. Diese oder eine weitere betriebsbereit eingebrachte Applikation kann eine Übertragung eines Registerdatensatzes zu einem Münzregister des Bezahlsystems durch Nutzung von Eingabe- und/oder Ausgabemittel der jeweiligen Teilnehmereinheit initiieren und steuern. Beispielsweise kann mittels der Applikation die Überprüfung von elektronischen Münzdatensätzen initiiert werden, beispielsweise durch Erzeugen von Registerdatensätzen und/oder dem Versenden von Prüf-Anfragen an das Münzregister.An application brought ready for operation (installed) on the subscriber unit can initiate and control a transmission of a coin data set to another subscriber unit by using input and/or output means of the respective subscriber unit. For example, amounts of electronic coin data records can be displayed and the transmission process can be monitored using the application. This or another ready-to-operate application can initiate and control the transmission of a register data record to a coin register of the payment system by using input and/or output means of the respective subscriber unit. For example, the checking of electronic coin data sets can be initiated by means of the application, for example by generating register data sets and/or sending check requests to the coin register.

In einer bevorzugten Ausgestaltung weist die Teilnehmereinheit eine Schnittstelle zum Ausgeben von elektronischen Münzdatensätzen auf.In a preferred embodiment, the subscriber unit has an interface for issuing electronic coin data sets.

Eine Schnittstelle zum Ausgeben (=Senden) des zumindest einen elektronischen Münzdatensatzes ist beispielsweise eine Protokollschnittstelle zum drahtlosen Senden des elektronischen Münzdatensatzes an das andere Sicherheitselement über eine Teilnehmereinheit mittels eines Kommunikationsprotokolls für Drahtloskommunikation. Dabei ist insbesondere eine Nahfeldkommunikation, beispielsweise mittels Bluetooth-Protokoll oder NFC-Protokoll oder IR-Protokoll vorgesehen, alternativ oder zusätzlich sind WLAN-Verbindungen oder Mobilfunkverbindungen denkbar. Der elektronische Münzdatensatz wird dann gemäß den Protokolleigenschaften angepasst oder in das Protokoll integriert und übertragen.An interface for issuing (=sending) the at least one electronic coin data set is, for example, a protocol interface for wirelessly sending the electronic coin data set to the other security element via a subscriber unit using a communication protocol for wireless communication. In particular, near-field communication is provided, for example by means of a Bluetooth protocol or NFC protocol or IR protocol; WLAN connections or mobile radio connections are conceivable as an alternative or in addition. The electronic coin data set is then adapted according to the protocol properties or integrated into the protocol and transmitted.

Eine Schnittstelle zum Ausgeben des zumindest einen elektronischen Münzdatensatzes ist beispielsweise eine Datenschnittstelle zum Bereitstellen des elektronischen Münzdatensatzes an die andere Teilnehmereinheit mittels einer Applikation. Im Unterschied zur Protokollschnittstelle wird hier der elektronische Münzdatensatz mittels einer Applikation übertragen. Diese Applikation überträgt sodann den elektronischen Münzdatensatz in einem entsprechenden Dateiformat. Es kann ein für elektronische Münzdatensätze sodann ein spezifisches Dateiformat verwendet werden, beispielsweise eine ASCII-Zeichenfolge oder eine Textnachricht, beispielsweise SMS, MMS, Instant-Messenger-Nachricht, besonders bevorzugt eine APDU-Zeichenfolge. Alternativ oder zusätzlich erfolgt das Übertragen über die zuvor erwähnte Applikation der Teilnehmereinheit und/oder des Sicherheitselements.An interface for outputting the at least one electronic coin data record is, for example, a data interface for providing the electronic coin data record to the other subscriber unit using an application. In contrast to the protocol interface, the electronic coin data set is transmitted here using an application. This application then transfers the electronic coin data record in an appropriate file format. A specific file format for electronic coin data records can then be used, for example an ASCII character string or a text message, for example SMS, MMS, instant messenger message, particularly preferably an APDU character string. Alternatively or additionally, the transmission takes place via the previously mentioned application of the subscriber unit and/or the security element.

In einer bevorzugten Ausgestaltung weist die Teilnehmereinheit weiter eine Schnittstelle zum Empfangen von elektronischen Münzdatensätzen auf.In a preferred embodiment, the subscriber unit also has an interface for receiving electronic coin data records.

In einer bevorzugten Ausgestaltung ist die Schnittstelle zum Empfangen des zumindest einen elektronischen Münzdatensatzes ein elektronisches Erfassungsmodul des Sicherheitselements bzw. des Endgeräts, eingerichtet zum Erfassen eines, in visueller Form dargestellten elektronischen Münzdatensatzes. Das Erfassungsmodul ist dann beispielsweise eine Kamera oder ein Barcode bzw. QR-Code Scanner.In a preferred embodiment, the interface for receiving the at least one electronic coin data record is an electronic detection module of the security element or terminal device, set up to detect an electronic coin data record presented in visual form. The detection module is then, for example, a camera or a barcode or QR code scanner.

In einer bevorzugten Ausgestaltung ist die Schnittstelle zum Empfangen des zumindest einen elektronischen Münzdatensatzes eine Protokollschnittstelle zum drahtlosen Empfangen des elektronischen Münzdatensatzes von einem anderen Sicherheitselement bzw. Endgerät mittels eines Kommunikationsprotokolls für Drahtloskommunikation. Dabei ist insbesondere eine Nahfeldkommunikation, beispielsweise mittels Bluetooth-Protokoll oder NFC-Protokoll oder IR-Protokoll, vorgesehen. Alternativ oder zusätzlich sind WLAN-Verbindungen oder Mobilfunkverbindungen denkbar.In a preferred embodiment, the interface for receiving the at least one electronic coin dataset is a protocol interface for wirelessly receiving the electronic coin dataset from another security element or end device using a communication protocol for wireless communication. In this case, in particular, near-field communication is provided, for example by means of a Bluetooth protocol or NFC protocol or IR protocol. Alternatively or additionally, WLAN connections or mobile radio connections are conceivable.

In einer bevorzugten Ausgestaltung umfassend die Teilnehmereinheit zumindest ein Sicherheitselement-Lesegerät, eingerichtet zum Lesen eines Sicherheitselements; einen Zufallszahlengenerator; und/oder eine Kommunikationsschnittstelle zu einem Tresormodul und/ oder Bankinstitut mit zu autorisierendem Zugriff auf ein Bankkonto.In a preferred embodiment, the subscriber unit comprises at least one security element reader, set up to read a security element; a random number generator; and/or a communication interface to a vault module and/or bank institution with access to a bank account to be authorized.

Eine Teilnehmereinheit des Bezahlsystems kann vorliegend ein Sicherheitselement aufweisen oder selbst ein Sicherheitselement sein, indem zumindest ein elektronischer Münzdatensatz sicher abgelegt ist. Die Übertragung von elektronischen Münzdatensätzen kann jeweils unter Zuhilfenahme von Endgeräten als Teilnehmereinheit erfolgen, die ggf. mit den Sicherheitselementen logisch und/oder physisch verbunden sind. Die auf der Teilnehmereinheit betriebsbereit eingebrachte Applikation(en) kann/können zumindest Teile des Übertragen-Verfahrens und/der Teile des Registrieren-Verfahrens und/oder Teile des Überprüfen-Verfahrens steuern oder zumindest initiieren.In the present case, a subscriber unit of the payment system can have a security element or itself be a security element in that at least one electronic coin data record is securely stored. Electronic coin data records can be transmitted with the aid of terminal devices as subscriber units, which may be logically and/or physically connected to the security elements. The application(s) installed ready for operation on the subscriber unit can control or at least initiate at least parts of the transmission method and/or parts of the registration method and/or parts of the checking method.

In einer bevorzugten Ausgestaltung ist ein Sicherheitselement betriebsbereit in einer Teilnehmereinheit eingebracht. Damit ist sichergestellt, dass elektronische Münzdatensätze übertragen und/oder Registerdatensätze ohne Manipulationen erzeugt und verschlüsselt und ggf. auch gesendet werden. In einer Ausgestaltung wird der Registerdatensatz im Sicherheitselement erstellt und dann durch die Teilnehmereinheit an das Münzregister versendet.In a preferred embodiment, a security element is installed ready for operation in a subscriber unit. This ensures that electronic coin data sets are transmitted and/or register data sets are generated and encrypted and possibly also sent without manipulation. In one embodiment, the register data set is created in the security element and then sent to the coin register by the subscriber unit.

Ein Sicherheitselement ist eine technische ressourcenbeschränkte Einrichtung. Ein Sicherheitselement ist beispielsweise ein spezielles Computerprogrammprodukt, insbesondere in Form einer abgesicherten Laufzeitumgebung innerhalb eines Betriebssystems eines Endgeräts, englisch Trusted Execution Environments, TEE, oder einer eSIM-Software, gespeichert auf einem Datenspeicher, beispielsweise einer Teilnehmereinheit, wie (mobiles) Endgerät, einer Maschine oder eines Bankautomat. Alternativ oder zusätzlich ist das Sicherheitselement beispielsweise als spezielle Hardware, insbesondere in Form eines gesicherten Hardware-Plattform-Moduls, englisch Trusted Platform Module, TPM oder als eine Chipkarte, UICC oder ein eingebettetes Sicherheitsmodul, eUICC, iUICC, eSIM, ausgebildet. Das Sicherheitselement stellt eine vertrauenswürdige Umgebung bereit und hat damit ein höheres Level-of-Trust als ein Endgerät, in dem das Sicherheitselement ggf. betriebsbereit integriert ist.A security element is a technical resource-limited facility. A security element is, for example, a special computer program product, in particular in the form of a secure runtime environment within an operating system of a terminal, English Trusted Execution Environments, TEE, or eSIM software, stored on a data memory, for example a subscriber unit, such as (mobile) terminal, a machine or an ATM. Alternatively or additionally, the security element is designed, for example, as special hardware, in particular in the form of a secure hardware platform module, English Trusted Platform Module, TPM or as a chip card, UICC or an embedded security module, eUICC, iUICC, eSIM. The security element provides a trustworthy environment and thus has a higher level of trust than a terminal device in which the security element is possibly integrated ready for operation.

Ein elektronischer Münzdatensatz kann im Unterschied zu einem Registerdatensatz bevorzugt nicht von einer Teilnehmereinheit bzw. einem Sicherheitselement oder dem Münzregister erzeugt werden. Das Erzeugen eines elektronischen Münzdatensatzes (und auch dessen Vernichtung bzw. Löschen) erfolgt durch die Herausgeberinstanz des Bezahlsystems, bevorzugt ausschließlich durch die Herausgeberinstanz des Bezahlsystems.In contrast to a register data record, an electronic coin data record can preferably not be generated by a subscriber unit or a security element or the coin register. The generation of an electronic coin data record (and also its destruction or deletion) is carried out by the issuer of the payment system, preferably exclusively by the issuer of the payment system.

In einer Teilnehmereinheit bzw. einem Sicherheitselement können ein oder mehre elektronische Münzdatensätze sicher abgelegt sein, beispielsweise kann eine Vielzahl von elektronischen Münzdatensätzen in einem exklusiv einer Teilnehmereinheit oder einem Sicherheitselement zugeordneten Datenspeicher gesichert abgelegt sein. Der Datenspeicher stellt dann beispielsweise eine elektronische Geldbörsen-Applikation dar. Dieser Datenspeicher kann beispielsweise intern, extern oder virtuell zum Sicherheitselement sein.One or more electronic coin data records can be stored securely in a subscriber unit or a security element, for example a large number of electronic coin data records can be stored securely in a data memory exclusively assigned to a subscriber unit or a security element. The data memory then represents an electronic purse application, for example. This data memory can, for example, be internal, external or virtual to the security element.

In einem einfachen Fall ist der Datenspeicher ein interner Datenspeicher der Teilnehmereinheit oder des Sicherheitselements. Hier werden die elektronischen Münzdatensätze abgelegt. Ein einfacher Zugriff auf elektronische Münzdatensätze ist somit gewährleistet.In a simple case, the data store is an internal data store of the subscriber unit or the security element. The electronic coin data sets are stored here. This ensures easy access to electronic coin data records.

Der Datenspeicher ist beispielsweise ein von der Teilnehmereinheit oder dem Sicherheitselement räumlich entfernter, also externer, Datenspeicher, auch Online-Speicher genannt. Somit weist das Sicherheitselement bzw. die Teilnehmereinheit nur ein Zugriffsmittel auf die extern und damit sicher abgelegten elektronischen Münzdatensätze auf. Insbesondere bei einem Verlust des Sicherheitselements bzw. der Teilnehmereinheit oder bei Fehlfunktionen des Sicherheitselements bzw. der Teilnehmereinheit sind die elektronischen Münzdatensätze nicht verloren. Da der Besitz der (nicht maskierten) elektronischen Münzdatensätze gleich dem Besitz des monetären Betrags entspricht, kann durch Verwendung externer Datenspeicher Geld sicherer aufbewahrt und verwaltet werden.The data memory is, for example, a data memory that is physically remote from the subscriber unit or the security element, ie external, also called online memory. Thus, the security element or the subscriber unit has only one means of access to the electronic coin data records that are stored externally and thus securely. In particular, if the security element or subscriber unit is lost or if the security element or subscriber unit malfunctions, the electronic coin data sets are not lost. Since owning the (unmasked) electronic coin records is equivalent to owning the monetary amount, using external data storage allows money to be stored and managed more securely.

Beispielsweise ist der Datenspeicher ein gemeinsamer Datenspeicher, auf den zumindest noch eine andere Teilnehmereinheit zugreifen kann, wobei jedes davon eine Applikation aufweist, wobei diese Applikation zum Kommunizieren mit dem Münzregister zum entsprechenden Registrieren von elektronischen Münzteildatensätzen eingerichtet ist.For example, the data memory is a shared data memory that at least one other subscriber unit can access, each of which has an application, with this application being set up to communicate with the coin register for the corresponding registration of electronic coin part data records.

Das Sicherheitselement könnte zudem elektronische Münzdatensätze auch von weniger vertrauenswürdigen Einheiten, wie Teilnehmereinheiten, also einem Endgerät oder einer Maschine, erhalten haben, beispielsweise über eine Import-/ExportFunktion des Sicherheitselements. Derartig erhaltene elektronische Münzdatensätze, die nicht direkt von einem anderen Sicherheitselement erhalten wurden, gelten als weniger vertrauenswürdig. Es könnte eine Voraussetzung des Bezahlsystems sein, derartige elektronische Münzdatensätze auf Gültigkeit mittels des Münzregisters prüfen zu müssen oder durch eine Aktion (Modifikation) durch das empfangende Sicherheitselement, den elektronischen Münzdatensatz auf das empfangende Sicherheitselement umzutragen, bevor dieser weitergegeben werden darf.The security element could also have received electronic coin data records from less trustworthy units, such as subscriber units, ie a terminal or a machine, for example via an import/export function of the security element. Electronic coin records obtained in this way that are not obtained directly from another security element are considered less trustworthy. It could be a requirement of the payment system to have to check such electronic coin data records for validity using the coin register or, through an action (modification) by the receiving security element, to transfer the electronic coin data record to the receiving security element before it can be passed on.

Die Kommunikation zwischen zwei Teilnehmereinheiten und/oder dem Münzregister, ggf. mittels der jeweiligen Sicherheitselemente, kann drahtlos oder drahtgebunden, oder z.B. auch auf optischem Weg, bevorzugt über QR-Code oder Barcode, erfolgen und kann als ein gesicherter Kanal, beispielsweise zwischen Applikationen der Teilnehmereinheiten ausgebildet sein. Der optische Weg kann beispielsweise die Schritte des Generierens einer optischen Codierung, insbesondere einer 2D-Codierung, vorzugsweise ein QR-Code, und des Einlesens der optischen Codierung umfassen. So können die elektronischen Münzdatensätze in beliebiger Formatierung übertragen werden. Dies impliziert, dass sie auf beliebigen Kanälen kommuniziert, also übertragen werden können. Sie müssen nicht in einem festgelegten Format oder in einem bestimmten Programm gespeichert werden.The communication between two subscriber units and/or the coin register, if necessary by means of the respective security elements, can be wireless or wired, or e.g. also optical, preferably via QR code or barcode, and can be used as a secure channel, e.g. between applications of the Subscriber units be trained. The optical path can include, for example, the steps of generating an optical code, in particular a 2D code, preferably a QR code, and reading in the optical code. In this way, the electronic coin data sets can be transmitted in any format. This implies that it communicates, i.e. can be transmitted, on any channel. They do not have to be saved in a fixed format or in a specific program.

Beispielsweise stellen zwei Teilnehmereinheiten eine lokale drahtlos Kommunikationsverbindung über deren Protokoll dann die Übertragung zwischen den beiden darin befindlichen Sicherheitselementen eingebracht ist.For example, two subscriber units set up a local wireless communication connection via the protocol of which the transmission between the two security elements located therein is then introduced.

Das Übertragen des elektronischen Münzdatensatzes ist beispielsweise durch kryptografische Schlüssel gesichert, beispielsweise einem für einen elektronischen Münzdatensatz-Austausch ausgehandelten Sitzungsschlüssel oder einem symmetrischen oder asymmetrischen Schlüsselpaar.The transmission of the electronic coin data record is secured, for example, by cryptographic keys, for example a session key negotiated for an electronic coin data record exchange or a symmetric or asymmetric key pair.

Durch das Kommunizieren zwischen Teilnehmereinheiten, beispielsweise über ihre Sicherheitselemente, werden die ausgetauschten elektronischen Münzdatensätze vor Diebstahl oder Manipulation geschützt. Die Ebene der Sicherheitselemente ergänzt so die Sicherheit etablierter Blockchain-Technologie.By communicating between subscriber units, for example via their security elements, the exchanged electronic coin records are protected from theft or tampering. The level of security elements thus complements the security of established blockchain technology.

In einer bevorzugten Ausgestaltung erfolgt das Übertragen der Münzdatensätze als APDU Kommandos. Dazu ist der Münzdatensatz bevorzugt in einer (embedded oder integrated) UICC als Sicherheitselement abgelegt und wird dort verwaltet. Ein APDU ist ein kombinierter Kommando-/Datenblock eines Verbindungsprotokolls zwischen der UICC und einem Endgerät. Die Struktur der APDU ist durch den Standard ISO-7816-4 definiert. APDUs stellen ein Informationselement der Anwendungsebene (Schicht 7 des OSI-Schichtenmodels) dar.In a preferred embodiment, the coin data records are transmitted as APDU commands. For this purpose, the coin data record is preferably stored in an (embedded or integrated) UICC as a security element and is managed there. An APDU is a combined command/data block of a connection protocol between the UICC and a terminal. The structure of the APDU is defined by the ISO-7816-4 standard. APDUs represent an information element of the application layer (layer 7 of the OSI layer model).

Das Übertragen eines elektronischen Münzdatensatzes erfolgt bevorzugt zwischen zwei Sicherheitselementen, um eine vertrauenswürdige Umgebung zu schaffen. Dabei erfolgt die logische Übertragung des elektronischen Münzdatensatzes direkt, wohingegen eine physikalische Übertragung eines oder mehrere dazwischenliegende Instanzen aufweisen kann, beispielsweise eines oder mehrere Teilnehmereinheiten zur Herstellung der Betriebsbereitschaft des/der Sicherheitselemente und/oder ein entfernter Datenspeicherdienst, bei dem eine Geldbörsen-Applikation mit elektronischen Münzdatensätzen physikalisch gespeichert sind.Transmission of an electronic coin record is preferably between two security elements to create a trusted environment. In this case, the logical transmission of the electronic coin data record is direct, whereas a physical transmission may involve one or more intermediary entities, for example one or more subscriber units to the Preparation of the operational readiness of the security element(s) and/or a remote data storage service in which a purse application with electronic coin data sets are physically stored.

Sicherheitselemente können elektronische Münzdatensätze untereinander übertragen und dann direkt - ohne Registerprüfung(en) - weiterverwenden, insbesondere wenn das Bezahlsystem voraussetzt, dass elektronische Münzdatensätze von Sicherheitselementen per se als gültig anzusehen sind.Security elements can transfer electronic coin data sets among one another and then continue to use them directly - without register check(s), especially if the payment system requires that electronic coin data sets of security elements are to be regarded as valid per se.

Ein Übertragen des elektronischen Münzdatensatzes zwischen dem ersten und dem zweiten Sicherheitselement kann in ein Übertragungsprotokoll zwischen zwei Teilnehmereinheiten integriert sein und/oder in einem sicheren Kanal zwischen zwei Anwendungen der jeweiligen Teilnehmereinheit integriert sein. Zudem kann die Übertragung eine Internet-Datenverbindung zu einem externen Datenspeicher, beispielsweise einem Online-Speicher, beinhalten.Transmission of the electronic coin data set between the first and the second security element can be integrated in a transmission protocol between two subscriber units and/or integrated in a secure channel between two applications of the respective subscriber unit. In addition, the transmission can include an Internet data connection to an external data store, for example an online store.

Um ein Übertragungsprotokoll zwischen Teilnehmereinheiten und/oder dem Münzregister sicher auszugestalten, werden die elektronischen Münzdatensätze durch jeweiliger Teilnehmereinheiten, beispielsweise durch dort integrierte Sicherheitselemente, verwaltet und auch durch diese übertragen. In einer bevorzugten Ausgestaltung ist das Sicherheitselement dazu betriebsbereit in die Teilnehmereinheit eingebracht. Dabei kann die Teilnehmereinheit eine Applikation beinhalten, durch die ein Benutzer (= Teilnehmer) einen Bezahlvorgang steuert und in diesem Bezahlvorgang auf elektronische Münzdatensätze des Sicherheitselements zurückgreift.In order to securely configure a transmission protocol between subscriber units and/or the coin register, the electronic coin data records are managed by the respective subscriber units, for example by security elements integrated there, and also transmitted by them. In a preferred embodiment, the security element is introduced into the subscriber unit ready for operation. In this case, the subscriber unit can contain an application through which a user (=subscriber) controls a payment process and in this payment process accesses electronic coin data records of the security element.

Ein Übertragen des elektronischen Münzdatensatzes vom Sicherheitselement einer ersten Teilnehmereinheit erfolgt beispielsweise zum (zweiten) Sicherheitselement einer anderen Teilnehmereinheit. Dabei kann eine Teilnehmereinheit-zu-Teilnehmereinheit Übertragungsstrecke aufgebaut werden, über die beispielsweise ein sicherer Kanal zwischen den beiden Sicherheitselementen aufgebaut wird, über den dann das Übertragen des elektronischen Münzdatensatzes erfolgt.The electronic coin data record is transmitted from the security element of a first subscriber unit to the (second) security element of another subscriber unit, for example. In this case, a subscriber unit-to-subscriber unit transmission link can be set up, via which, for example, a secure channel is set up between the two security elements, via which the electronic coin data record is then transmitted.

Der (zu übertragende oder zu modifizierende) elektronische Münzdatensatz ist in einem Münzregister des Bezahlsystems registriert. Damit ist beispielsweise zum Registrieren des elektronischen Münzdatensatzes der Aufbau einer Kommunikationsverbindung zu dem Münzregister vorgesehen. Diese Kommunikationsverbindung muss nunmehr nicht zwangsläufig während des Übertragungsvorgangs (Bezahlvorgang) vorhanden sein. Vorzugsweise ist das Münzregister zur Verwaltung und Prüfung von maskierten elektronischen Münzdatensätzen vorgesehen. Das Münzregister kann zusätzlich weitere (Nicht-Bezahl-) Transaktionen zwischen Teilnehmereinheiten verwalten und prüfen.The electronic coin data record (to be transferred or modified) is registered in a coin register of the payment system. Thus, for example, the establishment of a communication link to the coin register is provided for registering the electronic coin data record. This communication connection does not necessarily have to be present during the transmission process (payment process). The coin register is preferably provided for the administration and checking of masked electronic coin data records. The coin register can also manage and check other (non-payment) transactions between subscriber units.

Das Münzregister - als Teil der zweiten Schicht - ist beispielsweise eine Datenbank, in der ein Registerdatensatz erzeugt und/oder abgelegt ist. Ein Registerdatensatz ist ein Datensatz, der es ermöglicht, die Gültigkeit, den Status, die Historie und/oder den Verbleib eines elektronischen Münzdatensatzes zu erfahren und/oder zu verifizieren. Ein Registerdatensatz ist bevorzugt einem elektronischen Münzdatensatz eindeutig zugeordnet. Der Registerdatensatz dient nur der Überprüfung und kann nicht verwendet werden, um anstelle des elektronischen Münzdatensatzes für Bezahltransaktionen verwendet zu werden.The coin register—as part of the second layer—is, for example, a database in which a register data record is generated and/or stored. A register record is a record that allows the validity, status, history and/or whereabouts of an electronic coin record to be known and/or verified. A register data record is preferably uniquely assigned to an electronic coin data record. The register record is for verification only and cannot be used to replace the electronic coin record for payment transactions.

Das Münzregister kann beispielsweise eine dezentrale öffentliche Datenbank sein. Diese Datenbank ermöglicht es auf einfache Weise, elektronische Münzdatensätze bezüglich ihrer Gültigkeit zu prüfen und „Double-Spending“, also Mehrfachausgaben, zu verhindern, ohne dass das Übertragen selbst registriert oder protokolliert wird. Die Datenbank, beispielsweise eine Distributed-Ledger-Technologie, DLT, beschreibt dabei eine Technik für vernetzte Computer, die zu einer Übereinkunft über die Reihenfolge von bestimmten Transaktionen kommen und darüber, dass diese Transaktionen Daten aktualisieren. Es entspricht einem dezentral geführten Verwaltungssystem oder einer dezentral geführten Datenbank.For example, the coin register can be a decentralized public database. This database makes it easy to check electronic coin data records for their validity and to prevent "double spending", i.e. multiple issues, without the transmission itself being registered or logged. The database, for example a distributed ledger technology, DLT, describes a technique for networked computers that come to an agreement about the sequence of certain transactions and that these transactions update data. It corresponds to a decentralized management system or a decentralized database.

Alternativ ist das Münzregister eine zentral geführte Datenbank, beispielsweise in Form eines öffentlich zugänglichen Datenspeichers oder als Mischform aus zentraler und dezentraler Datenbank. Beispielsweise sind das Münzregister und das Überwachungsregister als ein Dienste-Server des Bezahlsystems ausgebildet.Alternatively, the coin register is a centrally managed database, for example in the form of a publicly accessible data store or as a hybrid of a central and decentralized database. For example, the coin register and the monitoring register are designed as a service server of the payment system.

Ist das Münzregister eine entfernte Instanz, so verfügt die Teilnehmereinheit und auch die Herausgeberinstanz bevorzugt über eine Schnittstelle zur Kommunikation mittels einem üblichen Internet-Kommunikationsprotokoll, beispielsweise TCP, IP, UDP oder HTTP. Die Übertragung kann eine Kommunikation über das Mobilfunknetz beinhalten.If the coin register is a remote entity, the subscriber unit and also the issuer entity preferably have an interface for communication using a standard Internet communication protocol, for example TCP, IP, UDP or HTTP. The transmission may include communication over the cellular network.

In einer bevorzugten Ausgestaltung stellt das Münzregister einen Registerdatensatz bereit. Der Registerdatensatz weist beispielsweise als Datenelement einen maskierten elektronischen Münzdatensatz korrespondierend zu einem elektronischen Münzdatensatz auf. Der maskierte elektronische Münzdatensatz wurde beispielsweise von einer Teilnehmereinheit oder einer Herausgeberinstanz bereitgestellt. Der Besitz eines maskierten elektronischen Münzdatensatzes erlaubt keine Offenlegung von Datenelementen des (korrespondierenden) elektronischen Münzdatensatzes, wodurch ein derartiger Registerdatensatz mit (nur) maskierten Münzdatensätzen anonym in Bezug auf eine Teilnehmerkennung und auch anonym bezüglich eines geldwerten Betrags des elektronischen Münzdatensatzes ist. Das Maskieren wird später erläutert.In a preferred embodiment, the coin register provides a register data set. The register data set has, for example, a masked electronic coin data set corresponding to an electronic coin data set as a data element. For example, the masked electronic coin record was provided by a subscriber unit or an issuing entity. Possession of a Masked Electronic Coin Record does not permit disclosure of data elements of the (corresponding) Electronic Coin Record, whereby such Register Record with (only) masked coin records is anonymous in respect of a subscriber identifier and also anonymous in respect of a monetary amount of the Electronic Coin Record. The masking will be explained later.

Ein Registerdatensatz weist dabei eines oder mehrere der folgenden Datenelemente auf: eine Signatur des elektronischen Münzdatensatzes; einen Bereichsnachweis eines elektronischen Münzdatensatzes; einen Prüfwert des elektronischen Münzdatensatzes; einen Prüfwert betreffend den elektronischen Münzdatensatz; einen Zählerwert betreffend den elektronischen Münzdatensatz; eine Teilnehmerkennung einer, den Registerdatensatz sendenden Teilnehmereinheit; einen maskierten elektronischen Münzdatensatz; und/oder einen geldwerten Betrag des elektronischen Münzdatensatz. Alle diese Datenelemente und deren Funktion werden an den geeigneten Stellen definiert.A register data set has one or more of the following data elements: a signature of the electronic coin data set; an area evidencing of an electronic coin record; a check value of the electronic coin record; a check value related to the electronic coin record; a counter value relating to the electronic coin record; a subscriber identifier of a subscriber unit sending the register data record; a masked electronic coin record; and/or a monetary amount of the electronic coin record. All of these data elements and their function are defined in the appropriate places.

In einer weiteren Ausgestaltung weist der Registerdatensatz beispielsweise als Datenelemente einen maskierten elektronischen Münzdatensatz und eine Betragskategorie betreffend einen geldwerten Betrag des elektronischen Münzdatensatzes korrespondierend zu dem maskierten elektronischen Münzdatensatz auf. Ein derartiger Registerdatensatz mit maskiertem Münzdatensatz ist identitätsanonym und betragspseudonym.In a further embodiment, the register data record has, for example, as data elements, a masked electronic coin data record and an amount category relating to a monetary amount of the electronic coin data record corresponding to the masked electronic coin data record. Such a register data record with a masked coin data record is anonymous in terms of identity and pseudonymous in terms of amount.

In einer weiteren Ausgestaltung weist der Registerdatensatz beispielsweise als Datenelemente eine Münzkennung eines elektronischen Münzdatensatzes, einen Prüfwert des elektronischen Münzdatensatzes und ein Pseudonym der Teilnehmerkennung auf. Ein derartiger Registerdatensatz ist identitätspseudonym und betragsanonym.In a further embodiment, the register data record has, for example, as data elements, a coin identifier of an electronic coin data record, a check value of the electronic coin data record and a pseudonym of the subscriber identifier. Such a register data record is pseudonymous in identity and anonymous in terms of amount.

Der Registerdatensatz umfasst beispielsweise einen Nachweisdatensatz der zuvor beschriebenen Art.The register data record includes, for example, a verification data record of the type described above.

Beispielsweise sind maskierte elektronische Münzdatensätze als Datenelement im Registerdatensatz oder als der Registerdatensatz vorgesehen. Diese maskierten elektronischen Münzdatensätze sind mit ihrer entsprechenden Verarbeitung im Münzregister registriert. Das Maskieren ist in den Anmeldungen WO 2020/21337 A1 und WO 2020/212331 A1 beschrieben und es wird diesbezüglich darauf Bezug genommen. In einer bevorzugten Ausgestaltung lässt sich daraus ein Gültigkeitsstatus des (maskierten) elektronischen Münzdatensatzes ableiten. Bevorzugt wird die Gültigkeit der (maskierten) elektronischen Münzdatensätze in dem Münzregister vermerkt (registriert). Zudem werden Modifikationen, wie Umschalten, Aufteilen oder Kombinieren, zu den einzelnen elektronischen Münzdatensätzen im Münzregister registriert. Die Erstellung, Prüfung und Registrierung dieser Modifikationen ist in den Anmeldungen WO 2020/21337 A1 und WO 2020/212331 A1 beschrieben und es wird diesbezüglich darauf Bezug genommen.For example, masked electronic coin records are provided as a data element in the register record or as the register record. These masked electronic coin data sets are registered with their corresponding processing in the coin register. The masking is in the registrations WO 2020/21337 A1 and WO 2020/212331 A1 described and reference is made in this regard. In a preferred embodiment, a validity status of the (masked) electronic coin data record can be derived from this. The validity of the (masked) electronic coin data records is preferably noted (registered) in the coin register. In addition, modifications such as switching, dividing or combining are registered for the individual electronic coin data sets in the coin register. The creation, testing and registration of these modifications is in the applications WO 2020/21337 A1 and WO 2020/212331 A1 described and reference is made in this regard.

Der Schritt des Registrierens eines Registerdatensatzes (bzw. eines maskierten elektronischen Münzdatensatzes ist in den Anmeldungen WO 2020/21337 A1 und WO 2020/212331 A1 beschrieben und es wird diesbezüglich darauf Bezug genommen. Eine Registrierung der Verarbeitung bzw. der Verarbeitungsschritte für eine jeweilige Modifikation in dem Münzregister kann in einer Ausgestaltung des Bezahlsystems auch das Registrieren von Prüfergebnissen und Zwischenprüfergebnissen betreffend die Gültigkeit eines elektronischen Münzdatensatzes im Münzregister betreffen, insbesondere das Bestimmen von Prüfwerten und Zählerwerten entsprechender elektronischer Münzdatensätze. Ist eine Verarbeitung endgültig, wird dies beispielsweise durch entsprechende Markierungen oder einer abgeleiteten Gesamtmarkierung im Münzregister angezeigt. Eine endgültige Verarbeitung entscheidet sodann, ob ein elektronischer Münzdatensatz gültig oder ungültig ist. Der Schritt des Registrierens wird vorzugsweise dann ausgeführt, wenn die Teilnehmereinheit und/oder das Sicherheitselement mit dem Münzregister verbunden ist.The step of registering a register record (or masked electronic coin record) is described in Applications WO 2020/21337 A1 and WO 2020/212331 A1 described and reference is made in this regard. In one embodiment of the payment system, registration of the processing or the processing steps for a respective modification in the coin register can also relate to the registration of test results and intermediate test results relating to the validity of an electronic coin data record in the coin register, in particular the determination of test values and counter values of corresponding electronic coin data records. If processing is final, this is indicated, for example, by corresponding markings or a derived total marking in the coin register. Final processing then decides whether an electronic coin record is valid or invalid. The step of registering is preferably performed when the subscriber unit and/or the security element is connected to the coin register.

Bevorzugt wird der zumindest eine initiale elektronische Münzdatensatz von der Herausgeberinstanz erstellt, wobei vorzugsweise die aufgeteilten elektronischen Münzdatensätze, insbesondere elektronischen Münzteildatensätze, auch durch eine Teilnehmereinheit generiert werden können. Das Erstellen und das Wählen eines monetären Betrags beinhalten bevorzugt auch das Wählen eines Verschleierungsbetrags mit hoher Entropie.The at least one initial electronic coin data record is preferably created by the issuing entity, it being possible for the divided electronic coin data records, in particular electronic partial coin data records, to also be generated by a subscriber unit. Creating and choosing a monetary amount preferably also includes choosing a high entropy obfuscation amount.

Die Herausgeberinstanz wird deshalb auch als privilegierte Instanz bzw. privilegierter Knoten, engl. privileged node, bezeichnet, da nur diese neues Geld in Form von elektronischen Münzdatensätzen erstellen und Geld vernichten kann, nämlich durch Deaktivieren von elektronischen Münzdatensätzen. Die Herausgeberinstanz kann deshalb geldwerte Beträge für das Bezahlsystem erzeugen und vernichten, dementsprechend den umlaufenden geldwerten Gesamtbetrag im Bezahlsystem steuern.The publisher instance is therefore also called a privileged instance or privileged node. privileged node, because only this can create new money in the form of electronic coin records and destroy money, namely by deactivating electronic coin records. The issuing authority can therefore create and destroy monetary amounts for the payment system, and correspondingly control the total monetary amount circulating in the payment system.

Die Herausgeberinstanz ist ein Rechensystem, welches bevorzugt entfernt von der ersten und/ oder zweiten Teilnehmereinheit ist. Nach dem Erstellen des neuen elektronischen Münzdatensatzes wird der neue elektronische Münzdatensatz in der Herausgeberinstanz durch Anwenden der homomorphen Einwegfunktion auf den neuen elektronischen Münzdatensatz maskiert, um entsprechend einen maskierten neuen elektronischen Münzdatensatz zu erhalten.The publishing entity is a computing system, which is preferably remote from the first and/or second subscriber unit. After creating the new electronic coin record, the new electronic coin record is masked in the issuer instance by applying the homomorphic one-way function to the new electronic coin record to obtain a masked new electronic coin record accordingly.

Des Weiteren werden zusätzliche Informationen, die zum Registrieren des Erstellens des maskierten neuen elektronischen Münzdatensatzes in dem entfernten Münzregister benötigt werden, in der Herausgeberinstanz berechnet. Bevorzugt sind diese weiteren Informationen ein Nachweis, dass der (maskierte) neue elektronische Münzdatensatz von der Herausgeberinstanz stammt, beispielsweise durch ein Signieren des maskierten neuen elektronischen Münzdatensatzes. In einer Ausgestaltung kann vorgesehen sein, dass die Herausgeberinstanz einen maskierten elektronischen Münzdatensatz beim Erzeugen des elektronischen Münzdatensatzes mit ihrer Signatur signiert. Die Signatur der Herausgeberinstanz wird dazu in dem Münzregister hinterlegt. Die Signatur der Herausgeberinstanz ist von der erzeugten Signatur einer Teilnehmereinheit bzw. eines Sicherheitselements verschieden.Furthermore, additional information needed to register the creation of the masked new electronic coin record in the remote coin register is computed in the issuer entity. This additional information is preferably proof that the (masked) new electronic coin data record originates from the issuing authority, for example by signing the masked new electronic coin data record. In one embodiment, it can be provided that the issuing entity signs a masked electronic coin data record with its signature when the electronic coin data record is generated. The signature of the issuing authority is stored in the coin register. The signature of the issuing authority is different from the signature generated by a subscriber unit or a security element.

Bevorzugt ist die Herausgeberinstanz eine Rechnerinstanz einer Zentralbank.The issuing entity is preferably a computer entity of a central bank.

Bevorzugt sind das Münzregister und die Herausgeberinstanz in einer gemeinsamen Serverinstanz angeordnet oder liegen als Computerprogrammprodukt auf einem Server und/ oder einem Computer vor. Bevorzugt wird auf die Herausgeberinstanz über ein http-Protokoll zugegriffen.The coin register and the issuer entity are preferably arranged in a common server entity or are present as a computer program product on a server and/or a computer. The publishing entity is preferably accessed via an http protocol.

Die Modifikationen (Umschaltens, Aufteilens, Verbinden) und die Aktionen (Erstellen und Deaktivieren (Zurückgebens)) werden jeweils durch einen entsprechenden Erstell-, Umschalt-, Aufteil-, Verbinden- bzw. Deaktivier-Befehl (Rückgabe-Befehle) ausgelöst.The modifications (switching, splitting, connecting) and the actions (creating and deactivating (returning)) are each triggered by a corresponding create, switch, split, connect or deactivate command (return commands).

Das Verfahren ist nicht auf eine Währung beschränkt. So kann das Bezahlsystem eingerichtet sein, verschiedene Währungen von unterschiedlichen Herausgeberinstanzen zu verwalten. Das Bezahlsystem ist beispielsweise eingerichtet einen elektronischen Münzdatensatz einer ersten Währung in ein elektronischen Münzdatensatz einer anderen Währung umzusetzen (=wechseln). Dieses Wechseln ist ebenfalls eine Modifikation des elektronischen Münzdatensatzes. Mit dem Wechsel wird der ursprüngliche Münzdatensatz ungültig und gilt als zurückgegeben. Ein flexibles Bezahlen mit unterschiedlichen Währungen ist damit möglich und die Benutzerfreundlichkeit ist erhöht.The process is not limited to one currency. For example, the payment system can be set up to manage different currencies from different publishers. The payment system is set up, for example, to convert (=change) an electronic coin data record in a first currency into an electronic coin data record in a different currency. This switching is also a modification of the electronic coin record. With the change, the original coin record becomes invalid and is deemed returned. Flexible payment with different currencies is therefore possible and user-friendliness is increased.

Das Verfahren ermöglicht zudem das Umsetzen des elektronischen Münzdatensatzes in Buchgeld, also beispielsweise das Einlösen des monetären Betrags auf ein Konto des Teilnehmers am Bezahlsystem. Dieses Umsetzen ist ebenfalls eine Modifikation. Mit dem Einlösen wird der elektronische Münzdatensatz ungültig und gilt als zurückgegeben.The method also enables the electronic coin data record to be converted into book money, ie for example the monetary amount can be redeemed in an account of the participant in the payment system. This repositioning is also a modification. Upon redemption, the electronic coin record becomes invalid and is deemed to have been returned.

Figurenlistecharacter list

Nachfolgend wird anhand von Figuren die Erfindung bzw. weitere Ausführungsformen und Vorteile der Erfindung näher erläutert, wobei die Figuren lediglich Ausführungsbeispiele der Erfindung beschreiben. Gleiche Bestandteile in den Figuren werden mit gleichen Bezugszeichen versehen. Die Figuren sind nicht als maßstabsgetreu anzusehen, es können einzelne Elemente der Figuren übertrieben groß bzw. übertrieben vereinfacht dargestellt sein.The invention and further embodiments and advantages of the invention are explained in more detail below with reference to figures, with the figures merely describing exemplary embodiments of the invention. Identical components in the figures are provided with the same reference symbols. The figures are not to be regarded as true to scale; individual elements of the figures may be exaggerated in size or exaggeratedly simplified.

Es zeigen:

1 ein Ausführungsbeispiel eines Bezahlsystems gemäß der Erfindung;
2 ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens zum Bereitstellen eines Nachweisdatensatzes;
7 ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens zum Prüfen eines Nachweisdatensatzes;
4 ein Ausführungsbeispiel einer Datenstruktur in einem Münzregister;
5 ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens und entsprechende Verarbeitungsschritte eines Münzdatensatzes;
6 ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens und entsprechende Verarbeitungsschritte eines Münzdatensatzes; und
7 ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens und entsprechende Verarbeitungsschritte eines Münzdatensatzes.

Show it:

1 an embodiment of a payment system according to the invention;
2 an exemplary embodiment of a method flow chart of a method according to the invention for providing a verification data record;
7 an embodiment of a method flow chart of a method according to the invention for checking a verification data record;
4 an embodiment of a data structure in a coin register;
5 an embodiment of a process flow chart of a method according to the invention and corresponding processing steps of a coin data set;
6 an embodiment of a process flow chart of a method according to the invention and corresponding processing steps of a coin data set; and
7 an embodiment of a process flow chart of a method according to the invention and corresponding processing steps of a coin data set.

FIGURENBESCHREIBUNGFIGURE DESCRIPTION

Die 1 zeigt ein Ausführungsbeispiel eines Bezahlsystems BZ gemäß der Erfindung. Die gestrichelt dargestellten Blöcke und Pfeile des Bezahlsystems BZ sind dabei optional. Das Bezahlsystem BZ umfasst zumindest zwei Sicherheitselemente SE1 und SE2. Die SE1 und SE2 können dabei in jeweiligen Endgeräten M1 und M2 betriebsbereit eingebracht und logisch oder physisch mit dem jeweiligen Endgerät M1 und M2 verbunden sein. M1 und M2 können Teilnehmereinheiten TE1, TE2 sein.the 1 shows an embodiment of a payment system BZ according to the invention. The blocks and arrows of the payment system BZ shown in dashed lines are optional. The payment system BZ includes at least two security elements SE1 and SE2. The SE1 and SE2 can be installed ready for operation in the respective terminals M1 and M2 and logically or physically connected to the respective terminal M1 and M2. M1 and M2 can be subscriber units TE1, TE2.

Im Bezahlsystem der 1 ist eine optionale Herausgeberinstanz 1, die einen elektronischen Münzdatensatz C, auch CBDC genannt, erzeugt. Die Herausgeberinstanz 1 ist beispielsweise eine Serverinstanz einer Zentralbank. Zu dem elektronischen Münzdatensatz C wird ein Registerdatensatz RDS, beispielsweise ein maskierter elektronischer Münzdatensatz Z, erzeugt und in einem Münzregister 2 des Bezahlsystems BZ in einem Schritt 104 registriert. Der elektronische Münzdatensatz C wird im optionalen Schritt 102 von der Herausgeberinstanz 1 an das erste Endgerät M1 ausgegeben. Der Registerdatensatz RDS, beispielsweise der maskierte elektronische Münzdatensatz Z, wird im Schritt 104 beispielsweise von der Herausgeberinstanz 1 direkt oder über das erste Endgerät M1 an das Münzregister 2 ausgegeben. Der Registerdatensatz RDS, beispielsweise der maskierte elektronische Münzdatensatz Z, wird alternativ vom ersten Endgerät M1 (oder zweiten Endgerät M2) erzeugt und an das Münzregister 2 im Schritt 104 gesendet.In the payment system 1 is an optional issuer entity 1 that creates an electronic coin record C, also called CBDC. The publishing entity 1 is, for example, a server entity of a central bank. A register data set RDS, for example a masked electronic coin data set Z, is generated for the electronic coin data set C and registered in a coin register 2 of the payment system BZ in a step 104 . In the optional step 102, the electronic coin data set C is issued by the issuer entity 1 to the first terminal M1. The register data record RDS, for example the masked electronic coin data record Z, is output to the coin register 2 in step 104, for example by the issuing entity 1 directly or via the first terminal M1. The register data set RDS, for example the masked electronic coin data set Z, is alternatively generated by the first terminal M1 (or second terminal M2) and sent to the coin register 2 in step 104.

Die Schritte 104 und 105 können den Schritten 104 und 105 der 5 entsprechen. Eine Aktion bzw. Modifikation (Aufteilen, Verbinden, Umschalten, Übertragen, Deaktivieren) am eMD C kann einer der Aktionen der 5 bis 7 entsprechen. Diese Modifikationen sind beispielhaft auch in den Patentanmeldungen WO 2020/21337 A1 und WO 2020/212331 A1 beschrieben und werden hier nicht näher beleuchtet.Steps 104 and 105 can follow steps 104 and 105 of 5 correspond to. An action or modification (split, connect, switch, transfer, deactivate) on the eMD C can be one of the actions of the 5 until 7 correspond to. These modifications are also exemplified in the patent applications WO 2020/21337 A1 and WO 2020/212331 A1 described and will not be discussed in detail here.

Beispielsweise wird ein elektronischer Münzdatensatz aus einem Verschleierungsbetrag r_i und einem geldwerten Betrag gebildet. Der Verschleierungsbetrag r_i ist nur in einer Direkttransaktionsschicht des Bezahlsystems BZ und in der Herausgeberinstanz 1 bekannt. Der Verschleierungsbetrag r_i ist für die übrigen Instanzen des Bezahlsystems BZ, also auch für das Münzregister 2, geheim. Der Verschleierungsbetrag r_i ist beispielsweise eine positive Zufallszahl. Die Erzeugung erfolgt beispielsweise mittels eines echten Zufallsgenerators. Ein Wertebereich für den Verschleierungsbetrag r_i ist beispielsweise [0,n), wobei n die Ordnung eines auf elliptischen Kurven basierenden Kryptografie-Verfahrens, beispielsweise eines Elliptic Curve Digital Signature Algorithm, kurz ECDSA, bevorzugt des secp256r1 ist, der auf der Kurve y² = x³ + 7 eines Galois-Körpers basiert. Die Implementierungsmechanismen zur Generierung des Verschleierungsbetrags r_i müssen sicherstellen, dass kein gleicher Verschleierungsbetrag r_i für einen anderen elektronischen Münzdatensatz erstellt wird.For example, an electronic coin data record is formed from a concealment amount r _i and an amount in money's worth. The concealment amount r _i is only known in a direct transaction layer of the payment system BZ and in the issuing entity 1 . The concealment amount r _i is secret for the other instances of the payment system BZ, ie also for the coin register 2 . The concealment amount r _i is, for example, a positive random number. The generation takes place, for example, by means of a real random number generator. A range of values for the amount of obfuscation r _i is, for example, [0,n), where n is the order of a cryptography method based on elliptic curves, for example an Elliptic Curve Digital Signature Algorithm, ECDSA for short, preferably of secp256r1, which is based on curve y ² = x ³ + 7 of a Galois field. The implementation mechanisms for generating the obfuscation amount r _i must ensure that an identical obfuscation amount r _i is not generated for another electronic coin record.

Der Verschleierungsbetrag r_i wird mit einem monetären Betrag υ_i verknüpft. Der monetäre Betrag υ_i ist beispielsweise ein ganzzahliger Wert. Er ist bevorzugt vom Datentyp 32 bit unsigned integer value. Der monetäre Betrag υ_i hat beispielsweise einen beschränkten Wertebereich aus Zweierpotenzen. Der Wert null („0“) als monetärer Betrag υ_i könnte ungültig sein. Ein erfindungsgemäßer i-ten elektronischen Münzdatensatz könnte lauten: $C_{i} = {v_{i}; r_{i}}$

The concealment amount r _i is linked to a monetary amount υ _i . The monetary amount υ _i is an integer value, for example. It is preferably of the 32-bit unsigned integer value data type. The monetary amount υ _i has, for example, a limited value range of powers of two. The value zero ("0") as monetary amount υ _i could be invalid. An i-th electronic coin data set according to the invention could read:

C_{i} = {v_{i}; {right}_{i}}

Ein gültiger elektronischer Münzdatensatz C kann zur Bezahlung eingesetzt werden. Der Besitzer der beiden Werte υ_i und r_i ist daher im Besitz des digitalen Geldes. Das digitale Geld ist definiert durch ein Paar bestehend aus einem gültigen elektronischen Münzdatensatz C_i und einem entsprechenden Registerdatensatz RDS_i, beispielsweise einem maskierten elektronischen Münzdatensatz Z_i. Z_i repräsentiert einen Punkt in einem auf elliptischen Kurven basierenden Kryptografie-Verfahren, beispielsweise eines Elliptic Curve Digital Signature Algorithm, kurz ECDSA, bevorzugt des secp256r1. Z_i kann in einer unkomprimierter Form kodiert sein, wie es in Standards for Efficient Cryptography, Elliptic Curve Cryptography; Abschnitt 2.3.3 beispielhaft angegeben ist. Beispielsweise wird ein maskierter elektronischer Münzdatensatz Z_i als RDS, durch Anwenden einer homomorphen Einwegfunktion f(C_i) gemäß Gleichung (2) erhalten: $Z_{i} = ƒ (C_{i})$

A valid electronic coin record C can be used for payment. The owner of the two values υ _i and r _i therefore owns the digital money. The digital money is defined by a pair consisting of a valid electronic coin data set Ci and a corresponding register data set RDS _i _, for example a masked electronic coin data set Z _i . Z _i represents a point in a cryptography method based on elliptic curves, for example an Elliptic Curve Digital Signature Algorithm, ECDSA for short, preferably secp256r1. Z _i may be encoded in an uncompressed form as specified in Standards for Efficient Cryptography, Elliptic Curve Cryptography; Section 2.3.3 at is specified playfully. For example, a masked electronic coin data set Z _i as RDS, is obtained by applying a homomorphic one-way function f(C _i ) according to equation (2):

Z_{i} = ƒ (C_{i})

Diese Funktion f (C_i) ist öffentlich, d.h. jeder Systemteilnehmer kann diese Funktion aufrufen und verwenden. Diese Funktion f(C_i) ist gemäß Gleichung (3) definiert: $Z_{i} = v_{i} \cdot H + r_{i} \cdot G$

wobei H und G Generatorpunkte einer Gruppe G, in der das diskrete Logarithmusproblem schwer ist, mit den Generatoren G und H, für die der diskrete Logarithmus der jeweils anderen Basis unbekannt ist. Beispielsweise sind G und H Generatorpunkte einer elliptischen Kurvenverschlüsselung, ECC, - also private Schlüssel der ECC, sind. Diese Generatorpunkte G und H müssen in der Art gewählt werden, dass der Zusammenhang von G und H nicht öffentlich bekannt ist, sodass bei:

G = n \cdot H

die Verknüpfung n praktisch nicht auffindbar sein darf, um zu verhindern, dass der monetäre Betrag υ_i manipuliert wird und trotzdem ein gültiges Z_i berechnet werden könnte.This function f(C _i ) is public, ie every system participant can call up and use this function. This function f(C _i ) is defined according to equation (3):

Z_{i} = v_{i} \cdot H + {right}_{i} \cdot G

where H and G are generator points of a group G in which the discrete logarithm problem is hard, with generators G and H for which the discrete logarithm of the other base is unknown. For example, G and H are generator points of an elliptic curve encryption, ECC, - ie private keys of the ECC are. These generator points G and H must be chosen in such a way that the connection between G and H is not publicly known, so that:

G = n \cdot H

the link n must be practically impossible to find in order to prevent the monetary amount υ _i from being manipulated and a valid Z _i still being able to be calculated.

Die Gleichung (3) ist ein „Pederson-Commitment für ECC“, das sicherstellt, dass der monetäre Betrag υ_i einem Münzregister 2 zugestanden, also „commited“, werden kann, ohne diesen dem Münzregister 2 zu offenbaren.Equation (3) is a “Pederson commitment for ECC”, which ensures that the monetary amount υ _i can be granted to a coin register 2, i.e. “committed”, without disclosing it to the coin register 2.

Dem Münzregister 2 wird nur der RDS, beispielsweise der maskierte Münzdatensatz Z_i zugesendet (offenbart), was in 1 als Schritt 104 (Registrieren, Registrierungsanforderung) dargestellt ist, nicht aber der elektronische Münzdatensatz C.Only the RDS, for example the masked coin data set Z _{i ,} is sent (revealed) to the coin register 2, which is 1 as step 104 (registration, registration request), but not the electronic coin record C.

Auch wenn im vorliegenden Beispiel eine Verschlüsselung basierend auf elliptischen Kurven beschrieben ist bzw. wird, so wäre auch ein anderes kryptographisches Verfahren denkbar, welches auf einem diskreten logarithmischen Verfahren beruht.Even if encryption based on elliptic curves is or is described in the present example, another cryptographic method which is based on a discrete logarithmic method would also be conceivable.

Die Gleichung (3) ermöglicht durch die Entropie des Verschleierungsbetrags r_i, dass auch bei kleinem Wertebereich für monetäre Beträge υ_i ein kryptografisch starkes Z_i erhalten wird. Somit ist ein einfacher Brute-Force-Angriff durch bloßes Schätzen von monetären Beträgen υ_i praktisch nicht möglich.Due to the entropy of the amount of concealment r _i , equation (3) makes it possible for a cryptographically strong Z _i to be obtained even with a small value range for monetary amounts υ _i . Thus, a simple brute force attack by merely estimating monetary amounts υ _i is practically impossible.

Die Gleichung (3) ist eine Einwegfunktion, das heißt, dass die Berechnung von Z_i aus C_i einfach ist, da ein effizienter Algorithmus existiert, wohingegen die Berechnung von C_i ausgehend von Z_i sehr schwer ist, da kein in polynomialer Zeit lösbarer Algorithmus existiert.Equation (3) is a one-way function, which means that calculating Z _i from C _i is easy because an efficient algorithm exists, whereas calculating C _i from Z _i is very difficult because there is no solvable one in polynomial time algorithm exists.

Zudem ist die Gleichung (3) homomorph für Addition und Subtraktion, das heißt es gilt: $Z_{i} + Z_{j} = (v_{i} \cdot H + r_{i} \cdot G) + (v_{j} \cdot H + r_{j} \cdot G) = (v_{i} + v_{j}) \cdot H + (r_{i} + r_{j}) \cdot G$

In addition, equation (3) is homomorphic for addition and subtraction, which means that:

Z_{i} + Z_{j} = (v_{i} \cdot H + {right}_{i} \cdot G) + (v_{j} \cdot H + {right}_{j} \cdot G) = (v_{i} + v_{j}) \cdot H + ({right}_{i} + {right}_{j}) \cdot G

Somit können Additions-Operationen und Subtraktions-Operationen sowohl in der Direkttransaktionsschicht 3 also auch parallel in dem Münzregister 2 ausgeführt werden, ohne dass das Münzregister 2 Kenntnis von den elektronischen Münzdatensätzen C_i hat. Die homomorphe Eigenschaft der Gleichung (3) ermöglicht eine Überwachung von gültigen und ungültigen elektronischen Münzdatensätzen C_i auf alleiniger Basis der maskierten Münzdatensätze Z_i zu führen und sicherzustellen, dass kein neuer monetärer Betrag υ_j geschaffen wurde.Thus addition operations and subtraction operations can be carried out both in the direct transaction layer 3 and also in parallel in the coin register 2 without the coin register 2 having knowledge of the electronic coin data sets C _i . The homomorphic property of equation (3) enables monitoring of valid and invalid electronic coin records Ci based solely on the masked coin records Zi _and ensuring that no new monetary amount υ _j has _been created.

Durch diese homomorphe Eigenschaft kann der Münzdatensatz C_i gemäß Gleichung (1) aufgeteilt werden in: $C_{i} = C_{j} + C_{k} = {v_{j}; r_{j}} + {v_{k}; r_{k}}$

wobei gilt:

v_{i} = v_{j} + v_{k}

r_{i} = r_{j} + r_{k}

Due to this homomorphic property, the coin data set C _i can be divided according to equation (1) into:

C_{i} = C_{j} + C_{k} = {v_{j}; {right}_{j}} + {v_{k}; {right}_{k}}

where:

v_{i} = v_{j} + v_{k}

{right}_{i} = {right}_{j} + {right}_{k}

Für die entsprechenden maskierten Münzdatensätze gilt: $Z_{i} = Z_{j} + Z_{k}$

For the corresponding masked coin data sets:

Z_{i} = Z_{j} + Z_{k}

Mit Gleichung (9) kann beispielsweise auf einfache Weise ein symmetrisches oder asymmetrisches Aufteilen als Modifikation bzw. ein „symmetrischer oder asymmetrischer Aufteilen“-Verarbeitungsschritt 110 eines Münzdatensatzes C gemäß 6 geprüft werden, ohne dass das Münzregister 2 Kenntnis von C_i, C_j, C_k hat. Insbesondere wird die Bedingung der Gleichung (9) geprüft, um aufgeteilte Münzdatensätze C_j und C_k für gültig zu erklären und den Münzdatensatz C_i für ungültig zu erklären. Ein derartiges Aufteilen 110 eines elektronischen Münzdatensatzes C_i ist in 6 gezeigt.With Equation (9), for example, a symmetrical or asymmetrical splitting as a modification or a “symmetrical or asymmetrical splitting” processing step 110 of a coin data set C according to FIG 6 be checked without the coin register 2 having knowledge of C _i , C _j , C _k . In particular, the condition of equation (9) is tested to validate split coin data sets C _j and C _k and invalidate coin data set C _i . Such a splitting 110 of an electronic coin record C _i is shown in FIG 6 shown.

Auf die gleiche Weise können elektronische Münzdatensätze C auch zusammengefügt (verbunden) 109 werden, siehe dazu 7 und die Erläuterungen dazu.Electronic coin data records C can also be merged (connected) 109 in the same way, see in this regard 7 and the explanations for it.

Erfindungsgemäß muss nun geprüft werden, ob (nicht erlaubte) negative monetäre Beträge registriert werden. Ein Besitzer (TE1) eines elektronischen Münzdatensatzes C_i muss dabei dem Münzregister 2 und/oder einer anderen Teilnehmereinheit TE2 nachweisen können, dass alle monetären Beträge υ_i in einer Verarbeitungs-Operation innerhalb eines Wertebereichs von [0, ..., n] liegen, ohne dem Münzregister 2 dabei den Münzdatensatz C_i, also den monetären Betrag υ_i oder den Verschleierungsbetrag r_i offenzulegen. Diese Bereichsnachweise werden auch „Range-Proofs“ genannt. Nachfolgend werden zwei Nachweise vorgestellt, deren Bereitstellung gemäß Verfahrensablauf der 2 und Prüfung gemäß Verfahrensablauf der 3 erläutert werden.According to the invention, it must now be checked whether (not permitted) negative monetary amounts are registered. An owner (TE1) of an electronic coin data set C _i must be able to prove to the coin register 2 and/or another subscriber unit TE2 that all monetary amounts υ _i in a processing operation are within a value range of [0, . . . , n]. , without disclosing the coin data record C _i , ie the monetary amount υ _i or the concealment amount r _i , to the coin register 2 . These range proofs are also called "range proofs". Two proofs are presented below, the provision of which is based on the procedure of the 2 and testing according to the procedure of 3 be explained.

Ein erster Nachweis ist der vereinfachte Nullwissen-Nachweis, nachfolgend als vereinfachter Zero-Knowledge-Proof, oder kurz „vereinfachter ZKPR“, genannt. Dazu wird ein Nachweisdatensatz NDS_{i_ZKPR} betreffend einen elektronischen Münzdatensatz C_i von der TE1 bereitgestellt.A first proof is the simplified zero-knowledge proof, hereinafter referred to as the simplified zero-knowledge proof, or "simplified ZKPR" for short. For this purpose, a verification data record NDS _{i_ZKPR} relating to an electronic coin data record C _i is provided by TE1.

Zunächst wird mit Schritt 201 eine erste Zufallszahl k₀ und eine zweite Zufallszahl k₁ erzeugt. Dies kann in der TE1 mit einem Zufallsgenerator erfolgen. Nur alternativ stellt das Münzregister 2 oder die Herausgeberinstanz 1 die Zufallszahlen k₀, k₁ (ggf. gesichert) zur Verfügung. Im Schritt 202 werden die Zufallszahlen k₀, k₁ mit der Gleichung (3) maskiert. $K_{i} = k_{0} \cdot H + k_{1} \cdot G$

First, with step 201, a first random number k ₀ and a second random number k ₁ are generated. This can be done in TE1 with a random number generator. Only alternatively does the coin register 2 or the issuer entity 1 provide the random numbers k ₀ , k ₁ (possibly secured). In step 202, the random numbers k ₀ , k ₁ are masked with equation (3).

K_{i} = k_{0} \cdot H + k_{1} \cdot G

Im Schritt 204 wird dann unter Verwendung der Zufallszahlen k₀, k₁ ein Streuwert e berechnet. Die dazu verwendete Streuwertfunktion h () ist bezahlsystemweit gleich und bekannt. Im vorliegenden Beispiel gilt: $e = h (K_{i}) = h (k_{0} \cdot H + k_{1} \cdot G)$

In step 204, a scatter value e is then calculated using the random numbers k ₀ , k ₁ . The scatter value function h () used for this is the same and known throughout the payment system. In the present example:

e = H (K_{i}) = H (k_{0} \cdot H + k_{1} \cdot G)

Im Schritt 205 wird dann ein erster Nachweisparameter s₀ auf Basis der ersten Zufallszahl k₀, des Streuwerts e und dem monetären Betrag ν_i des elektronischen Münzdatensatzes C_i $s_{0} = (k_{0} + e \cdot v_{i})$

und ein zweiter Nachweisparameter s₁ auf Basis der zweiten Zufallszahl k₁, des Streuwerts e und dem Verschleierungsbetrag r_i des elektronischen Münzdatensatzes C_i berechnet:

s_{1} = (k_{1} + e \cdot r_{i})

In step 205, a first verification parameter s ₀ based on the first random number k ₀ , the scatter value e and the monetary amount ν _i of the electronic coin data set C _i

s_{0} = (k_{0} + e \cdot v_{i})

and a second verification parameter s ₁ calculated on the basis of the second random number k ₁ , the spread value e and the concealment amount r _i of the electronic coin data set C _i :

s_{1} = (k_{1} + e \cdot {right}_{i})

Der Streuwert e, der erste Nachweisparameter s₀ und der zweite Nachweisparameter s₁ werden als Nachweisdatensatz NDS_{i_ZKPR} von der TE1 versendet im Schritt 206, was als ein Veröffentlichen des NDS_{i_ZKPR} bewertet werden kann: $N D S_{i_Z K P R} = {e, s_{0}, s_{1}}$

The scatter value e, the first verification parameter s ₀ and the second verification parameter s ₁ are sent as a verification data record NDS _{i_ZKPR} from the TE1 in step 206, which can be evaluated as a publication of the NDS _{i_ZKPR} :

N D S_{i_Z K P R} = {e, s_{0}, s_{1}}

Mittels der Gleichung (3) wurde bereits ein maskierter Münzdatensatz Z_i erstellt oder im Rahmen der Nachweiserstellung gemäß optionalem Schritt 205 erstellt. Dieser Z_i kann zusammen mit dem NDS_{i_ZKPR} als RDS_i vom TE1 versendet werden. Der NDS_{i_ZKPR} offenbart keine Datenelemente des elektronischen Münzdatensatzes C_i und kann deshalb an das Münzregister 2 gesendet werden, beispielsweise im Rahmen einer Registrierungsaufforderung im Schritt 104. Der NDS_{i_ZKPR} kann auch Teil der Daten beim Übertragen eines elektronischen Münzdatensatzes C_i an TE2 im Rahmen einer Bezahltransaktion gesendet werden.A masked coin data set Z _i has already been created using equation (3) or created as part of the verification creation according to optional step 205 . This Z _i can be sent together with the NDS _{i_ZKPR} as RDS _i from TE1. The NDS _{i_ZKPR} does not disclose any data elements of the electronic coin data set C _i and can therefore be sent to the coin register 2, for example as part of a registration request in step 104. The NDS _{i_ZKPR} can also be part of the data when transmitting an electronic coin data set C _i to TE2 as part of a payment transaction are sent.

Dieser NDS_{i_ZKPR} eines maskierten Münzdatensatzes Z_i kann nun im Münzregister 2 oder einer TE2 geprüft werden, was durch die Verfahrensschritte der 3 dargestellt ist. Es wird dazu der NDS_{i_ZKPR} im Schritt 301 im Münzregister 2 oder der TE2 empfangen. Im Schritt 302 wird auf Basis des erhaltenen NDS_{i_ZKPR} ein Streuwert e' berechnet: $e' = h (s_{0} \cdot H + s_{1} \cdot G - e \cdot Z_{i})$

This NDS _{i_ZKPR} a masked coin data set Z _i can now be checked in the coin register 2 or a TE2, which through the process steps 3 is shown. For this purpose, the NDS _{i_ZKPR} is received in step 301 in the coin register 2 or the TE2. In step 302, a scatter value e' is calculated on the basis of the received NDS _{i_ZKPR} :

e' = H (s_{0} \cdot H + s_{1} \cdot G - e \cdot Z_{i})

Dabei wird der Streuwert e mit dem Streuwert e' im Schritt 303 verglichen. Sind beide Streuwerte e, e' identisch, dann gilt: $\begin{matrix} e' = h (s_{0} \cdot H + s_{1} \cdot G - e \cdot Z_{i}) \\ = h (k_{0} \cdot H + e \cdot v_{i} \cdot H + k_{1} \cdot G + e \cdot r_{1} \cdot G - e \cdot v_{i} \cdot H - e \cdot r_{i} \cdot G) \\ = h (k_{0} \cdot H + k_{1} \cdot G) \\ = e \end{matrix}$

In this case, the scatter value e is compared with the scatter value e' in step 303 . If both scatter values e, e' are identical, then the following applies:

\begin{matrix} e' = H (s_{0} \cdot H + s_{1} \cdot G - e \cdot Z_{i}) \\ = H (k_{0} \cdot H + e \cdot v_{i} \cdot H + k_{1} \cdot G + e \cdot {right}_{1} \cdot G - e \cdot v_{i} \cdot H - e \cdot {right}_{i} \cdot G) \\ = H (k_{0} \cdot H + k_{1} \cdot G) \\ = e \end{matrix}

Die Gleichung (9e) bzw. (9h) wäre nicht lösbar, wenn das e aus dem Urbild der Streuwertfunktion nicht eliminiert werden kann. Dies kann aber nur erreicht werden, wenn der Ersteller des NDS_{i_ZKPR} die oben genannten Berechnungen gemäß Gleichungen (9a) bis (9d) richtig durchgeführt hat, was die Kenntnis von dem monetären Betrag v_i und dem Verschleierungsbetrag r_i des elektronischen Münzdatensatzes C_i voraussetzt. Stimmen e und e' überein, gilt der Nachweisdatensatz als korrekt. Diese Korrektheit bedeutet, der elektronische Münzdatensatz C_i ist im Besitz von TE1. Diese Korrektheit wird im Schritt 305 angezeigt. Im Schritt 104 kann dann der RDS_i im Münzregister 2 registriert werden.Equation (9e) or (9h) would not be solvable if e could not be eliminated from the archetype of the scatter value function. However, this can only be achieved if the creator of the NDS _{i_ZKPR} has correctly carried out the above-mentioned calculations according to equations (9a) to (9d), which requires knowledge of the monetary amount v _i and the obfuscation amount r _i of the electronic coin data record C _i . If e and e' match, the verification data record is considered correct. This correctness means that the electronic coin data record Ci is owned by _TE1 . This correctness is indicated in step 305. The RDS _i can then be registered in the coin register 2 in step 104 .

Ein zweiter Nachweis der alternativ zum ersten Nachweis (vereinfachter ZKPR) durchgeführt werden kann, wird nun vorgestellt.A second proof that can be carried out as an alternative to the first proof (simplified ZKPR) is now presented.

Der zweite Nachweis ist ein Gleichwertigkeitsnachweis, der insbesondere zur Prüfung von zwei Münzdatensätzen C₁ und C₂ vorgenommen wird, die den gleichen monetären Betrag v₁= v₂ = v aufweisen sollten. Diese Prüfung kommt insbesondere bei einer Umschalte-Modifikation (Schritt 108) zum Einsatz, bei der ein C₁ auf ein C₂ umgeschaltet (umgemünzt) werden soll oder bei einer Aufteil-Modifikation (Schritt 110).The second proof is proof of equivalence, which is carried out in particular to check two coin data records C ₁ and C ₂ which should have the same monetary amount v ₁ =v ₂ =v. This check is used in particular for a switch modification (step 108) in which a C ₁ is to be switched (converted) to a C ₂ or for a split modification (step 110).

Ziel des zweiten Nachweises ist es zusätzlich zum Nachweis des rechtmäßigen Besitzes (wie im ersten Nachweis) nun auch zu beweisen, dass kein zusätzliches Geld generiert wurde. Diese beiden Beweise (kein zusätzliches Geld + rechtmäßiger Besitz) können in dem zweiten Nachweis, dem Gleichwertigkeitsnachweis, englisch „Equal Value Proof“, kurz EVP, gemeinsam durchgeführt werden.The aim of the second proof, in addition to proof of lawful possession (as in the first proof), is now also to prove that no additional money was generated. These two proofs (no additional money + lawful possession) can be carried out together in the second proof, the Equal Value Proof, EVP for short.

Ausgangspunkt dieses EVP sind zwei maskierte Münzdatensätze Z₁, Z₂, deren dazugehörige elektronischen Münzdatensätze C₁, C₂ denselben monetären Betrag, also v = v₁ = v₂ aufweisen. The starting point of this EVP are two masked coin data records Z ₁ , Z ₂ , whose associated electronic coin data records C ₁ , C ₂ have the same monetary amount, ie v=v ₁ =v ₂ .

Es muss nun bewiesen werden, dass TE1 die elektronischen Münzdatensätze C₁, C₂ kennt und dass den beiden maskierten Münzdatensätze Z₁, Z₂ der gleiche Betrag v = v₁ = v₂ zugestanden wurde („commited“).It must now be proven that TE1 knows the electronic coin data records C ₁ , C ₂ and that the two masked coin data records Z ₁ , Z ₂ were granted the same amount v=v ₁ =v ₂ (“committed”).

Zunächst wird mit Schritt 201 eine erste Zufallszahl k₀, eine zweite Zufallszahl k₁ und eine dritte Zufallszahl k₂ erzeugt. Dies kann in der TE1 mit einem Zufallsgenerator erfolgen. Alternativ stellt das Münzregister 2 oder die Herausgeberinstanz 1 die Zufallszahlen k₀, k₁, k₂ (ggf. gesichert) zur Verfügung. Im Schritt 202 werden die Zufallszahlen k₀, k₁, k₂ mit der Gleichung (3) maskiert. Hier werden zwei maskierte Zufallszahlen K₁ und K₂ generiert: $\begin{matrix} K_{1} = k_{0} \cdot H + k_{1} \cdot G \\ K_{2} = k_{0} \cdot H + k_{2} \cdot G \end{matrix}$

First, in step 201, a first random number k ₀ , a second random number k ₁ and a third random number k ₂ are generated. This can be done in TE1 with a random number generator. Alternatively, the coin register 2 or the issuer entity 1 provides the random numbers k ₀ , k ₁ , k ₂ (possibly secured). In step 202, the random numbers k ₀ , k ₁ , k ₂ are masked with equation (3). Here two masked random numbers K ₁ and K ₂ are generated:

\begin{matrix} K_{1} = k_{0} \cdot H + k_{1} \cdot G \\ K \\ _{2} = k_{0} \cdot H + k_{2} \cdot G \end{matrix}

Im Schritt 203 werden beide maskierte Zufallszahlen verknüpft, insbesondere verkettet: $K_{1} ‖ K_{2}$

In step 203, both masked random numbers are linked, in particular concatenated:

K_{1} ‖ K_{2}

Im Schritt 204 wird dann unter Verwendung der Zufallszahlen k₀, k₁, k₂ (hier durch die Verkettung der maskierten Zufallszahlen K₁ und K₂) ein Streuwert e berechnet. Die dazu verwendete Streuwertfunktion h () ist bezahlsystemweit gleich und bekannt. Im vorliegenden Beispiel gilt: $e = h (K_{1} ‖ K_{2}) = h (k_{0} \cdot H + k_{1} \cdot G ‖ k_{0} \cdot H + k_{2} \cdot G)$

In step 204, a scatter value e is then calculated using the random numbers k ₀ , k ₁ , k ₂ (here by concatenating the masked random numbers K ₁ and K ₂ ). The scatter value function h () used for this is the same and known throughout the payment system. In the present example:

e = H (K_{1} ‖ K_{2}) = H (k_{0} \cdot H + k_{1} \cdot G ‖ k_{0} \cdot H + k_{2} \cdot G)

Im Schritt 205 wird dann ein erster Nachweisparameter s₀ auf Basis der ersten Zufallszahl k₀, des Streuwerts e und dem (gleichen) monetären Betrag v eines der elektronischen Münzdatensätze C₁ oder C₂: $s_{0} = (k_{0} + e \cdot v)$

und ein zweiter Nachweisparameter s₁ auf Basis der zweiten Zufallszahl k₁, des Streuwerts e und dem Verschleierungsbetrag r_i des ersten elektronischen Münzdatensatzes C₁ berechnet:

s_{1} = (k_{1} + e \cdot r_{1})

und ein dritter Nachweisparameter s₂ auf Basis der dritten Zufallszahl k₂, des Streuwerts e und dem Verschleierungsbetrag r_i des zweiten elektronischen Münzdatensatzes C₂ berechnet:

s_{2} = (k_{2} + e \cdot r_{2})

In step 205, a first verification parameter s ₀ based on the first random number k ₀ , the scatter value e and the (same) monetary amount v of one of the electronic coin data sets C ₁ or C ₂ :

s_{0} = (k_{0} + e \cdot v)

and a second verification parameter s ₁ is calculated based on the second random number k ₁ , the spread value e and the concealment amount r _i of the first electronic coin data set C ₁ :

s_{1} = (k_{1} + e \cdot {right}_{1})

and a third verification parameter s ₂ based on the third random number k ₂ , the spread value e and the concealment amount r _i of the second electronic coin data set C ₂ is calculated:

s_{2} = (k_{2} + e \cdot {right}_{2})

Der Streuwert e, der erste Nachweisparameter so, der zweite Nachweisparameter s₁ und der dritte Nachweisparameter s₂ werden als Nachweisdatensatz NDS_{i_EVP} von der TE1 versendet im Schritt 206, was als ein Veröffentlichen des NDS_{i_EVP} bewertet werden kann: $N D S_{i_E V P} = {e, s_{0}, s_{1}, s_{2}}$

The scatter value e, the first verification parameter so, the second verification parameter s ₁ and the third verification parameter s ₂ are sent as a verification data record NDS _{i_EVP} from the TE1 in step 206, which can be evaluated as a publication of the NDS _{i_EVP} :

N D S_{i_E V P} = {e, s_{0}, s_{1}, s_{2}}

Mittels der Gleichung (3) wurden bereits die maskierten Münzdatensätze Z₁ und Z₂ erstellt oder im Rahmen der Nachweiserstellung gemäß Schritt 205 erstellt. Diese Z₁ und Z₂ können zusammen mit dem NDS_{i_EVP} als RDS_i vom TE1 versendet werden. Der NDS_{i_EVP} offenbart keine Datenelemente des ersten elektronischen Münzdatensatzes C₁ oder des zweiten elektronischen Münzdatensatzes C₂ und kann deshalb an das Münzregister 2 gesendet werden, beispielsweise im Rahmen einer Umschalteaufforderung im Schritt 108.The masked coin data records Z ₁ and Z ₂ have already been created using equation (3) or created as part of the proof creation according to step 205 . These Z ₁ and Z ₂ can be sent together with the NDS _{i_EVP} as RDS _i from TE1. The NDS _{i_EVP} does not reveal any data elements of the first electronic coin data set C ₁ or the second electronic coin data set C ₂ and can therefore be sent to the coin register 2, for example as part of a changeover request in step 108.

Dieser NDS_{i_EVP} von den zwei maskierten Münzdatensätzen Z₁ und Z₂ kann nun im Münzregister 2 oder einer TE2 geprüft werden, was durch die Verfahrensschritte der 3 dargestellt ist. Es wird dazu der NDS_{i_EVP} im Schritt 301 im Münzregister 2 oder der TE2 empfangen. Im Schritt 302 wird auf Basis des erhaltenen NDS_{i_EVP} ein Streuwert e' berechnet: $e' = h (s_{0} \cdot H + s_{1} \cdot G - e \cdot Z_{1} ‖ s_{0} \cdot H + s_{2} \cdot G - e \cdot Z_{2})$

This NDS _{i_EVP} from the two masked coin data sets Z ₁ and Z ₂ can now be checked in the coin register 2 or a TE2, which is the process steps of 3 is shown. For this purpose, the NDS _{i_EVP} is received in step 301 in the coin register 2 or the TE2. In step 302, a scatter value e' is calculated on the basis of the received NDS _{i_EVP} :

e' = H (s_{0} \cdot H + s_{1} \cdot G - e \cdot Z_{1} ‖ s_{0} \cdot H + s_{2} \cdot G - e \cdot Z_{2})

Dabei wird der Streuwert e mit dem Streuwert e' im Schritt 303 verglichen. Sind beide Streuwerte e, e' identisch, dann gilt: $\begin{matrix} e' = h (s_{0} \cdot H + s_{1} \cdot G - e \cdot Z_{i} ‖ s_{0} \cdot H + s_{2} \cdot G - e \cdot Z_{2}) \\ \begin{array}{l} = h (k_{0} \cdot H + e \cdot v \cdot H + k_{1} \cdot G + e \cdot r_{1} \cdot G - e \cdot v \cdot H - e \cdot r_{l} \cdot G ‖ \\ k_{0} \cdot H + e \cdot v \cdot H + k_{2} \cdot G + e \cdot r_{2} \cdot G - e \cdot v \cdot H - e \cdot r_{2} \cdot G) \end{array} \\ = h (k_{0} \cdot H + k_{1} \cdot G ‖ k_{0} \cdot H + k_{2} \cdot G) \\ = e \end{matrix}$

\begin{matrix} e' = H (s_{0} \cdot H + s_{1} \cdot G - e \cdot Z_{i} ‖ s_{0} \cdot H + s_{2} \cdot G - e \cdot Z_{2}) \\ \begin{array}{l} = H (k_{0} \cdot H + e \cdot v \cdot H + k_{1} \cdot G + e \cdot {right}_{1} \cdot G - e \cdot v \cdot H - e \cdot {right}_{l} \cdot G ‖ \\ k_{0} \cdot H + e \cdot v \cdot H + k_{2} \cdot G + e \cdot {right}_{2} \cdot G - e \cdot v \cdot H - e \cdot {right}_{2} \cdot G) \end{array} \\ = H (k_{0} \cdot H + k_{1} \cdot G ‖ k_{0} \cdot H + k_{2} \cdot G) \\ = e \end{matrix}

Die Gleichung (9p) bzw. (9q) wäre nicht lösbar, wenn das e aus dem Urbild der Streuwertfunktion nicht eliminiert werden kann. Dies kann aber nur erreicht werden, wenn der Ersteller des NDS_{i_EVP} die oben genannten Berechnungen gemäß Gleichungen (9i) bis (9n) richtig durchgeführt hat, was die Kenntnis von dem monetären Betrag ν₁ und ν₂ und dem Verschleierungsbetrag r₁ und r₂ des ersten bzw. des zweiten elektronischen Münzdatensatzes C₁ und C₂ voraussetzt sowie die Gleichheit der monetären Beträge v₁ = v₂ = v. Stimmen e und e' überein, gilt der Nachweisdatensatz als korrekt. Diese Korrektheit bedeutet, die elektronischen Münzdatensätze C₁ und C₂ sind im Besitz von TE1. Diese Korrektheit wird im Schritt 305 angezeigt. Im Schritt 104 kann dann der RDS_i im Münzregister 2 registriert werden.Equation (9p) or (9q) would not be solvable if the e could not be eliminated from the archetype of the scattering value function. However, this can only be achieved if the creator of the NDS _{i_EVP} has carried out the above calculations according to equations (9i) to (9n) correctly, which is the knowledge of the monetary amount ν ₁ and ν ₂ and the obfuscation amount r ₁ and r ₂ of the first and the second electronic coin data set C ₁ and C ₂ as well as the equality of the monetary amounts v ₁ = v ₂ = v. If e and e' match, the verification data record is considered correct. This correctness means that the electronic coin data sets C1 and _C2 are owned by _TE1 . This correctness is indicated in step 305. The RDS _i can then be registered in the coin register 2 in step 104 .

Eine Weiterbildung des in 1 gezeigten Bezahlsystems BZ kann das Deaktivieren eines Münzdatensatzes C vorsehen. Eine Teilnehmereinheit TE1 entscheidet sich zur Deaktivierung und Rückgabe des Münzdatensatzes C und sendet eine Deaktivieren-Aufforderung im Schritt 111 (siehe 7). Dieser Schritt 111 kann die Abbildung eines Teilnehmerwunsches sein, nämlich einen monetären Betrag eines Münzdatensatzes auf ein Konto des Teilnehmers gutzuschreiben, oder kann aufgrund einer Auswertung eines Prüfwerts erfolgen, bei der festgestellt wurde, dass der Münzdatensatz die Kriterien für eine Rückgabe erfüllt, beispielsweise dem Ablauf einer Gültigkeitsdauer, dem Erreichen eines Rückgabezeitpunkts, dem Erreichen eines „Alters“ (Anzahl von Übertragungen und Modifikationen) oder dem Erreichen eines Schwellwerts bei Nichtverwendung des Münzdatensatzes C. In der Folge des Schritts 111 wird das Gutschreiben des monetären Betrags auf ein Konto des Teilnehmers veranlasst. Im in 7 dargestellten Folgeschritt 112 wird ein Deaktivieren-Kommando an das Münzregister 2 gesendet, um den Registerdatensatz RDS aus dem Münzregister 2 zu löschen oder ihn dort auf ungültig zu schalten. In der Folge ist der RDS des deaktivierten (gutgeschriebenen) Münzdatensatzes aus dem Münzregister 2 gelöscht (durchgestrichenes RDS).A further development of the in 1 The payment system BZ shown can provide for the deactivation of a coin data record C. A subscriber unit TE1 decides to deactivate and return the coin data record C and sends a deactivation request in step 111 (see 7 ). This step 111 can be the mapping of a participant's request, namely to credit a monetary amount of a coin data set to the participant's account, or it can be based on an evaluation of a test value, in which it was determined that the coin data set meets the criteria for a return, for example the expiry a period of validity, reaching a return time, reaching an “age” (number of transmissions and modifications) or reaching a threshold value if the coin data set C is not used. As a result of step 111, the monetary amount is credited to an account of the participant . in 7 In the subsequent step 112 shown, a deactivation command is sent to the coin register 2 in order to delete the register data set RDS from the coin register 2 or to switch it there to invalid. As a result, the RDS of the deactivated (credited) coin data record is deleted from coin register 2 (RDS crossed out).

Gemäß 1 wird im TE2 der übertragene elektronische Münzdatensatz C_i erhalten. Mit dem Erhalt des elektronischen Münzdatensatzes C_i ist TE2 im Besitz des digitalen Geldes, den der elektronische Münzdatensatz C₁ repräsentiert. Mit der direkten Übertragung 105 steht es TE2 für weitere Aktionen zur Verfügung.According to 1 the transmitted electronic coin data record C _i is received in TE2. Upon receipt of electronic coin record C _i , TE2 is in possession of the digital money represented by electronic coin record C ₁ . With the direct transmission 105, it is available to TE2 for further actions.

Zum Prüfen der Validität des erhaltenen elektronischen Münzdatensatzes C_i kann im SE2 mit der - öffentlichen - Einwegfunktion aus Gleichung (3) ein weiterer RDS errechnet werden. Der RDS, also beispielsweise der maskierte übertragene elektronische Münzdatensatz Z_i wird dann an das Münzregister 2 im Schritt 104 übertragen und dort gesucht. Bei Übereinstimmung beider RDS bezüglich des gleichen Münzdatensatzes C, also beispielsweise einer Übereinstimmung mit einem registrierten und gültigen maskierten elektronischen Münzdatensatz Z_i, wird dem SE2 die Validität des erhaltenen Münzdatensatzes C_i angezeigt und es gilt, dass der erhaltene elektronische Münzdatensatz C_i gleich dem registrierten elektronischen Münzdatensatz C_i ist. Diese Prüfung auf Validität wird mit dem zweiten Nachweis (EVP) abgesichert. Mit der Prüfung auf Validität kann in einer Ausgestaltung festgestellt werden, dass der erhaltene elektronische Münzdatensatz C_i noch gültig ist, d.h., dass er nicht bereits durch einen anderen Verarbeitungsschritt oder bei einer anderen Transaktion/Aktion bereits verwendet wurde und/ oder einer weiteren Veränderung unterworfen war.To check the validity of the electronic coin data set C _i received, another RDS can be calculated in SE2 using the—public—one-way function from equation (3). The RDS, ie for example the masked transmitted electronic coin data set Z _i , is then transmitted to the coin register 2 in step 104 and searched for there. If both RDSs match with regard to the same coin data set C, for example a match with a registered and valid masked electronic coin data set Z _i , the SE2 is shown the validity of the received coin data set C _i and it applies that the received electronic coin data set C _i is equal to the registered one electronic coin record C _i . This validity check is secured with the second proof (EVP). In one embodiment, the validity check can be used to determine that the electronic coin data set C _i received is still valid, ie that it has not already been used by another processing step or in another transaction/action and/or has undergone further modification was.

Bevorzugt findet nun ein Umschalten (=Switch) des erhaltenen elektronischen Münzdatensatzes statt, was in den Patentanmeldungen WO 2020/21337 A1 und WO 2020/212331 A1 ausreichend beschrieben ist.Switching (=switch) of the received electronic coin data set now preferably takes place, which is described in the patent applications WO 2020/21337 A1 and WO 2020/212331 A1 is adequately described.

Die alleinige Kenntnis eines RDS, also beispielsweise eines maskierten elektronischen Münzdatensatzes Z_i, berechtigt nicht dazu, das digitale Geld des korrespondierenden elektronischen Münzdatensatzes C_i auszugeben.Mere knowledge of an RDS, ie for example a masked electronic coin data set Z _i , does not entitle the digital money of the corresponding electronic coin data set C _i to be issued.

Die alleinige Kenntnis des elektronischen Münzdatensatzes C_i berechtigt zum Bezahlen, d.h. eine Transaktion erfolgreich durchzuführen, insbesondere wenn der Münzdatensatz C_i gültig ist, beispielsweise wenn der elektronische Münzdatensatz C_i einen aktiven Status aufweist. Der Status wird bevorzugt erst bei Erhalt der Löschbestätigung des SE1 in einen Aktiv-Status gesetzt. Es herrscht eine eineindeutige Beziehung zwischen den elektronischen Münzdatensätzen C_i und den entsprechenden maskierten elektronischen Münzdatensätzen Z_i. Die maskierten elektronischen Münzdatensätze Z_i werden in dem Münzregister 2, beispielsweise einer öffentlichen Datenbank, registriert. Durch dieses Registrieren 104 wird die Gültigkeit des elektronischen Münzdatensatzes C_i prüfbar, beispielsweise ob neue monetäre Beträge (illegaler Weise) erschaffen wurden.Merely knowing the electronic coin data record C _i authorizes payment, ie to carry out a transaction successfully, in particular if the coin data record C _i is valid, for example if the electronic coin data record C _i has an active status. The status is preferably only set to an active status upon receipt of the deletion confirmation from SE1. There is a one-to-one relationship between the electronic coin records C _i and the corresponding masked electronic coin records Z _i . The masked electronic coin data records Z _i are registered in the coin register 2, for example a public database. This registration 104 makes it possible to check the validity of the electronic coin data set C _i , for example whether new monetary amounts have been (illegally) created.

Die maskierten elektronischen Münzdatensätze Z_i werden in dem Münzregister 2 gespeichert. Alle Verarbeitungen an dem elektronischen Münzdatensatz Z_i werden dort registriert, wohingegen die tatsächliche Übertragung des digitalen Geldes in einer (geheimen, d.h. einer der Öffentlichkeit nicht bekannten) Direkttransaktionsschicht des Bezahlsystems BZ erfolgt. Zudem können in diesem Bezahlsystem BZ Überwachungen am Münzdatensatz C und der Teilnehmereinheit TE in einem Münzregister 2 erfasst werden.The masked electronic coin data records Z _i are stored in the coin register 2 . All processing of the electronic coin data record Z _i is registered there, whereas the actual transmission of the digital money takes place in a (secret, ie not known to the public) direct transaction layer of the payment system BZ. In addition, monitoring of the coin data record C and the subscriber unit TE can be recorded in a coin register 2 in this payment system BZ.

Um ein mehrfaches Ausgeben zu verhindern oder um ein flexibleres Übertragen 105 zu gewährleisten, können die elektronischen Münzdatensätze C modifiziert werden.The electronic coin data sets C can be modified to prevent multiple spending or to ensure more flexible transmission 105 .

Die Teilnehmereinheiten TE können mittels e-Wallet für elektronische Münzdatensätze C_i d.h. als elektronische Geldbörse mit einem Speicherbereich, in dem eine Vielzahl von Münzdatensätzen C_i hinterlegt sind, ausgebildet sein und so beispielsweise in Form einer Applikation auf einem Smartphone oder IT-System eines Händlers, einer Geschäftsbank oder eines anderen Marktteilnehmers implementiert sein. Somit sind die Komponenten in der Teilnehmereinheit TE als Software implementiert. Es wird davon ausgegangen, dass das Münzregister 2 auf einem Server oder auf einer DLT basiert und von einer Reihe vertrauenswürdiger Marktteilnehmer betrieben wird.The subscriber units TE can be designed using an e-wallet for electronic coin data sets C _i ie as an electronic wallet with a storage area in which a large number of coin data sets C _i are stored and thus, for example, in the form of an application on a smartphone or a retailer’s IT system , a commercial bank or another market participant. Thus, the components in the subscriber unit TE are implemented as software. The coin register 2 is expected to be server or DLT based and operated by a number of trusted market participants.

Im Münzregister 2 kann ein RDS betreffend den elektronischen Münzdatensatz C durch einen zu registrierenden RDS betreffend den elektronischen Münzdatensatz C oder eines modifizierten elektronischen Münzdatensatzes C ersetzt werden. Damit werden im Münzregister 2 (nur) aktuelle - im Bezahlsystem BZ existierende - Münzdatensätze C als RDS gepflegt.In the coin register 2, an RDS relating to the electronic coin data record C can be replaced by an RDS relating to the electronic coin data record C or a modified electronic coin data record C to be registered. This means that (only) current coin data records C that exist in the payment system BZ are maintained as RDS in the coin register 2.

4 zeigt eine Datenstruktur für ein Münzregister 2 der vorhergehenden Figuren. In der 4 sind Daten des Münzregisters 2 zur Veranschaulichung dargestellt, hier sind die maskierten elektronischen Münzdatensätze Z_i und ggf. ihre Verarbeitungen registriert. Das Münzregister 2 kann in einer Serverinstanz untergebracht sein. Münzregister 2 ist bevorzugt lokal entfernt von den Teilnehmereinheiten TE angeordnet und beispielsweise in einer Server-Architektur untergebracht. 4 shows a data structure for a coin register 2 of the previous figures. In the 4 data of the coin register 2 are shown for illustration, here the masked electronic coin data sets Z _i and possibly their processing are registered. The coin register 2 can be accommodated in a server entity. Coin register 2 is preferably located locally remote from the subscriber units TE and housed in a server architecture, for example.

Jede Verarbeitungs-Operation für eine Verarbeitung (Erstellen, Deaktivieren, Aufteilen, Verbinden und Umschalten) wird dabei in dem Münzregister 2 registriert und dort beispielsweise in unveränderlicher Form an eine Liste vorheriger Verarbeitungs-Operationen für maskierte elektronische Münzdatensätze Z_i angehängt. Die einzelnen Operationen bzw. deren Prüfergebnis, also quasi die Zwischenergebnisse einer Verarbeitung, werden in dem Münzregister 2 festgehalten. Die dargestellten Flags sind optionale Datenelemente. Zwar wird im Folgenden von einer sich fortsetzenden Liste ausgegangen, jedoch kann auch diese Datenstruktur, gegebenenfalls nach vorbestimmten Regeln, bereinigt oder komprimiert werden bzw. in einer bereinigten oder komprimierten Form separat bereitgestellt werden. Die Modifikationen „Erzeugen“, „Deaktivieren“, „Umschalten“, „Verbinden“ und „Aufteilen“ sind bereits in den Patentanmeldungen WO 2020/21337 A1 und WO 2020/212331 A1 beschrieben und es wird diesbezüglich und auch auf das Durchführen entsprechender Prüfungen darauf verwiesen. Es ist insbesondere zu beachten, dass nur die (gültigen) maskierten elektronischen Münzdatensätze im Münzregister gespeichert sein müssen, die weiteren Datenelemente, wie die beispielsweise die dargestellten Flags, die Signaturen oder die Kommandos sind optionale Datenelemente.Each processing operation for processing (creating, deactivating, dividing, connecting and switching over) is registered in the coin register 2 and appended there, for example in unchangeable form, to a list of previous processing operations for masked electronic coin data records Z _i . The individual operations or their test results, that is to say the intermediate results of processing, are recorded in the coin register 2 . The flags shown are optional data elements. Although the list below is assumed to be continuous, this data structure can also be cleaned up or compressed, if necessary according to predetermined rules, or be provided separately in a cleaned up or compressed form. The modifications "Create", "Deactivate", "Toggle", "Connect" and "Split" are already in the patent applications WO 2020/21337 A1 and WO 2020/212331 A1 described and reference is made in this regard and also to the carrying out of corresponding tests. It should be noted in particular that only the (valid) masked electronic coin data sets need to be stored in the coin register; the other data elements, such as the flags shown, the signatures or the commands are optional data elements.

Gemäß 5 wird ein signierter maskierter elektronischer Münzdatensatz im Schritt 1015 an das Münzregister 2 gesendet. Im Schritt 103 erfolgt ein Maskieren des erhaltenen elektronischen Münzdatensatzes C_i gemäß der Gleichung (3) und ggf. ein Signieren. Dann wird im Schritt 104 der maskierte elektronische Münzdatensatz Z_i in dem Münzregister 2 registriert. Optional kann die Teilnehmereinheit TE1 den erhaltenen elektronischen Münzdatensatz umschalten. Im Schritt 105 erfolgt das Übertragen des Münzdatensatzes C_i in der Direkttransaktionsschicht an die zweite Teilnehmereinheit TE2. In den Schritten 201-206 wird ein NDS gemäß 2 im TE2 erstellt. In den Schritten 301-305 erfolgt eine Validitäts-Prüfung des NDS im Münzregister 2 gemäß 3. Bei Korrektheit des NDS wird dies dem TE2 angezeigt und das RDS eingetragen, woraufhin die Gültigkeit des Münzdatensatzes Z_i bzw. C_i bestätigt wird.According to 5 a signed masked electronic coin record is sent to coin register 2 in step 1015. In step 103, the received electronic coin dataset C _i is masked according to equation (3) and, if necessary, signed. Then in step 104 the masked electronic coin data set Z _i is registered in the coin register 2 . Optionally, the subscriber unit TE1 can switch the received electronic coin data set. In step 105, the coin data record C _i is transmitted in the direct transaction layer to the second subscriber unit TE2. In steps 201-206, an NDS according to 2 created in TE2. In steps 301-305, the validity of the NDS is checked in the coin register 2 according to FIG 3 . If the NDS is correct, this is indicated to the TE2 and the RDS is entered, whereupon the validity of the coin data set Z _i or C _i is confirmed.

Im optionalen Umschalte-Schritt 108 erfolgt dann das Umschalten eines erhaltenen Münzdatensatzes C_k auf einen neuen Münzdatensatz C_i, wodurch der Münzdatensatz C_k ungültig wird und ein Doppeltausgeben verhindert wird. Dazu wird der monetäre Betrag υ_k des übertragenen Münzdatensatzes C_k als „neuer“ monetärer Betrag υ_l verwendet. Zudem wird ein Verschleierungsbetrag r₁ erstellt. Der zusätzliche Verschleierungsbetrag radd wird verwendet, um mit dem NDS_EVP zu beweisen, dass kein neues Geld (in Form eines höheren monetären Betrags) von der zweiten Teilnehmereinheit TE2 generiert wurde. Dann wird der maskierte umzuschaltende Münzdatensatz Z₁ an das Münzregister 2 gesendet und das Umschalten von C_k auf C₁ beauftragt. Dabei wird auch ein NDS_EVP gemäß 2 erstellt und gesendet. Beispielsweise kann TE2 einen NDS_EVP entsprechend der Gleichungen 9i bis 9n generieren, um anzuzeigen, dass TE2 im Besitz der beiden Münzen C₁ und C_k ist und beide monetären Beträge gleich sind. Zur Prüfung und Validierung kann die TE sodann Z₁, Z_k und den NDS_EVP an das Münzregister 2 senden.In the optional switching step 108, a received coin data set C _k is then switched over to a new coin data set C _i , as a result of which the coin data set C _k becomes invalid and double dispensing is prevented. For this purpose, the monetary amount υ _k of the transmitted coin data set C _k is used as the “new” monetary amount υ _l . In addition, a concealment amount r ₁ is established. The additional obfuscation amount radd is used to prove with the NDS _EVP that no new money (in the form of a higher monetary amount) was generated by the second subscriber unit TE2. Then the masked coin data set Z ₁ to be switched over is sent to the coin register 2 and the switching over from C _k to C ₁ is instructed. An NDS _EVP is also used in accordance with this 2 created and sent. For example, TE2 can generate an NDS _EVP according to Equations 9i through 9n to indicate that TE2 owns two coins C ₁ and C _k and both monetary amounts are equal. The TE can then send Z ₁ , Z _k and the NDS _EVP to the coin register 2 for testing and validation.

In den Schritt 301 bis 305 erfolgt die entsprechende Prüfung in dem Münzregister 2 gemäß den Gleichungen 9m bis 9q. Wenn alle Prüfungen erfolgreich waren, und dies entsprechend unveränderlich in dem Münzregister 2 festgehalten wurde, gilt der Münzdatensatz als umgeschaltet. D.h. der Münzdatensatz C_k ist nicht mehr gültig und ab sofort ist der Münzdatensatz C₁ gültig. Ein Doppeltausgeben ist nicht mehr möglich, wenn eine dritte Teilnehmereinheit TE die Validität des (doppelt ausgegebenen) Münzdatensatz an dem Münzregister 2 erfragt.In steps 301 to 305, the corresponding check is carried out in the coin register 2 according to equations 9m to 9q. If all tests were successful and this was recorded in the coin register 2 in an unchangeable manner, the coin data record is considered switched. Ie the coin data set C _k is no longer valid and the coin data set C ₁ is valid immediately. A double issuance is no longer possible if a third subscriber unit TE requests the validity of the coin data record (issued twice) from the coin register 2 .

Im optionalen Schritt 109 erfolgt ein Verbinden von zwei Münzdatensätzen C_k und C_i auf einen neuen Münzdatensatz C_m, wodurch die Münzdatensätze C_k, C_i ungültig werden und ein Doppeltausgeben verhindert wird. Dazu wird der monetäre Betrag υ_m aus den beiden monetären Beträgen υ_k und υ_i gebildet. Dazu wird der Verschleierungsbetrag r_m aus den beiden Verschleierungsbeträgen rk und r_i gebildet. Zudem wird mittels Gleichung (3) der maskierte zu verbindende Münzdatensatz Z_m erhalten und dieser (mit anderen Informationen zusammen) an das Münzregister 2 gesendet und das Verbinden als Verarbeitung erbeten. Beispielsweise kann TE2 einen NDS_EVP entsprechend der Gleichungen 9i bis 9n generieren, um anzuzeigen, dass TE2 im Besitz der beiden Münzen C_i und C_k ist und keine neuen monetären Beträge generiert wurden.In the optional step 109, two coin data sets C _k and C _i are combined into a new coin data set C _m , as a result of which the coin data sets C _k , C _i become invalid and double dispensing is prevented. For this purpose, the monetary amount υ _m is formed from the two monetary amounts υ _k and υ _i . For this purpose, the concealment amount r _m is formed from the two concealment amounts rk and r _i . In addition, the masked coin data set Z _m to be connected is obtained by means of equation (3) and this (together with other information) is sent to the coin register 2 and connection is requested as processing. For example, TE2 may generate an NDS _EVP according to Equations 9i through 9n to indicate that _TE2 owns two coins Ci and _Ck and no new monetary amounts have been generated.

In den Schritt 301 bis 305 erfolgt die entsprechende Prüfung in dem Münzregister 2. Dabei prüft das Münzregister 2 den NDS mittels Gleichungen 9i und 9n und kann dann Z_m als gültig markieren sowie Z_k und Z₁ als ungültig markieren.In steps 301 to 305, the corresponding check is carried out in the coin register 2. The coin register 2 checks the NDS using equations 9i and 9n and can then mark Z _m as valid and mark Z _k and Z ₁ as invalid.

Im optionalen Schritt 110 erfolgt ein Aufteilen eines Münzdatensatz C_i in zwei Münzteildatensätzen C_k und C_j, wodurch der Münzdatensatz C_i ungültig gemacht wird und die beiden geteilten Münzteildatensätze C_k und C_j gültig gemacht werden sollen. Bei einem Aufteilen wird der monetären Betrag υ_i in monetäre Teilbeträge υ_k und υ_j aufgeteilt. Dazu wird der Verschleierungsbetrag r_i in die beiden Verschleierungsbeträge r_k und r_j aufgeteilt. Zudem werden mittels Gleichung (3) die maskierten Münzteildatensätze Z_k und Z_j erhalten und diese mit den NDS an das Münzregister 2 gesendet und das Aufteilen als Verarbeitung erbeten. In den Schritt 301 bis 305 erfolgt die entsprechende Prüfung in dem Münzregister 2.In optional step 110, a coin data set C _i is split into two partial coin data sets C _k and C _j , whereby the coin data set C _i is invalidated and the two divided partial coin data sets C _k and C _j are to be validated. When splitting, the monetary amount υ _i is split into monetary partial amounts υ _k and υ _j . For this purpose, the concealment amount r _i is divided into the two concealment amounts r _k and r _j . In addition, the masked coin part data records Z _k and Z _j are obtained by means of equation (3) and these are sent to the coin register 2 with the NDS and the splitting is requested as processing. In steps 301 to 305, the corresponding check is carried out in coin register 2.

In einer Ausgestaltung der 6 (unterhalb der Strichlinie in 6) wird die Durchführung von symmetrischen Splits oder Fractional Splits in einer „Offline“-Zahlungssituation vorgeschlagen. „Offline“ bedeutet, dass weder TE2 (Zahler) noch TE1 (Zahlungsempfänger) das Münzregister 2 anrufen können, um die Korrektheit der Zahlung zu überprüfen. Daher müssen alle NDS in den beteiligten TEs gespeichert werden. Sie dürfen dann nicht daten- oder rechenleistungsintensiv sein, um den Leistungskriterien von TEs, insbesondere ressourcenbeschränkten SEs zu entsprechen. Bei jeder Zahlung müssen die Daten vom TE2 zur TE1 über das definierte Kommunikationsprotokoll übertragen werden.In an embodiment of 6 (below the dashed line in 6 ) it is suggested to perform symmetric splits or fractional splits in an “offline” payment situation. "Offline" means that neither TE2 (payer) nor TE1 (payee) can call coin register 2 to check the correctness of the payment. Therefore, all NDSs must be stored in the TEs involved. They must then not be data or computationally intensive in order to meet the performance criteria of TEs, particularly resource-constrained SEs. With each payment, the data must be transmitted from TE2 to TE1 via the defined communication protocol.

Eine Umsetzung der Offline-Zahlung ist die Nachahmung von Denominationen, wie sie für Bargeld bekannt sind. Durch die Wahl eines optimierten Denominationsschemas (z.B. Stückelungen als 2er-Potenzen statt auf Basis von 10er-Potenzen) kann die Wahrscheinlichkeit, einen bestimmten Betrag nicht bezahlen zu können, reduziert werden. Ein digitales Zahlungssystem sollte jedoch unter allen Umständen in der Lage sein, jeden Betrag zu bezahlen, solange ausreichende Mittel zur Verfügung stehen. Dieses Problem kann mit dem Offline-Aufteilen der 6 gelöst werden, dass keine NDS_{_ZKPR} und damit deutlich weniger Daten und Berechnungen erfordert.One implementation of offline payment is the imitation of denominations known for cash. By choosing an optimized denomination scheme (e.g. denominations based on powers of 2 instead of powers of 10), the probability of not being able to pay a certain amount can be reduced. However, under all circumstances, a digital payment system should be able to pay any amount as long as sufficient funds are available. This problem can be solved with offline splitting of the 6 be solved that no NDS _{_ZKPR} and thus requires significantly less data and calculations.

Aus einem C mit entsprechendem Z kann ein Teil von n/m seines monetären Betrags v mit dem aufgeteilt werden. Wenn n = 1 und m=2 ist, werden symmetrische Aufteilungen ermöglicht. Eine asymmetrische Aufteilung ist möglich, aber weniger bevorzugt.From a C with a corresponding Z, a part of n/m of its monetary amount v can be divided with the . When n=1 and m=2, symmetric splits are allowed. Asymmetric splitting is possible but less preferred.

Aus v₀, r₀, Z₀ kann im Rahmen eines Aufteilens in der TE2 ein monetären Teilbetrag ν_l erhalten werden mit: $v_{1} = n / m \cdot v_{0}$

wobei n und m teilerfremde Primzahlen sind und n < m gilt. Der Verschleierungsbetrag r₁ wird zufällig gewählt. Mit Gleichung (3) wird Z₁ berechnet. Nun wird ein NDS_EVP berechnet, wobei in Übereinstimmung mit Gleichungen 9i bis 9n für einen EVP (Z₀, Z₁) in Analogie nun gilt:

E V P (n \cdot Z_{0}, m \cdot Z_{1})

A monetary partial amount ν _l can be obtained from v ₀ , r ₀ , Z ₀ as part of a division in TE2 with:

v_{1} = n / m \cdot v_{0}

where n and m are relatively prime numbers and n < m. The concealment amount r ₁ is chosen at random. Using Equation (3), Z ₁ is calculated. An NDS _EVP is now calculated, where, in accordance with Equations 9i to 9n, for an EVP (Z ₀ , Z ₁ ) by analogy now applies:

E V P (n \cdot Z_{0}, m \cdot Z_{1})

Nun kann der monetäre Restbetrag ν₁' mit: $v_{1}' = v_{0} - v_{1} = (1 - n / m) \cdot v_{0}$

und der Verschleierungsrestbetrag r₁' berechnet werden mit:

r_{1}' = r_{0} - r_{1}

Now the monetary remainder ν ₁ ' can be calculated with:

v_{1}' = v_{0} - v_{1} = (1 - n / m) \cdot v_{0}

and the concealment remainder r ₁ ' can be calculated with:

{right}_{1}' = {right}_{0} - {right}_{1}

Aufgrund der Bedingung, dass n < m sein muss, sind beide monetären Beträge ν₁ und ν₁' entweder beide innerhalb oder beide außerhalb des zulässigen Bereichs. In manchen Fällen können zusätzliche Maßnahmen ergriffen werden, um zu gewährleisten, dass elektronische Münzdatensätze, die einmal außerhalb des zulässigen Bereichs lagen, nicht durch mehrfache aufeinanderfolgende Teilungen wieder in diesen „eintreten“ können.Due to the condition that n < m, both monetary amounts ν ₁ and ν ₁ ' are either both inside or both outside the allowed range. In some cases, additional measures can be taken to ensure that once out-of-bounds electronic coin records cannot "enter" it again through multiple consecutive splits.

Im Rahmen der Erfindung können alle beschriebenen und/oder gezeichneten und/oder beanspruchten Elemente beliebig miteinander kombiniert werden.Within the scope of the invention, all of the elements described and/or drawn and/or claimed can be combined with one another as desired.

BezugszeichenlisteReference List

BZBZ: Bezahlsystempayment system
11: Herausgeberinstanz,editorial authority,
22: Münzregistercoin register
2121: Befehls-Eintragcommand entry
22a, b22a, b: Eintrag eines zu verarbeitenden elektronischen Münzdatensatzes (Vorgänger)Entry of an electronic coin data set to be processed (predecessor)
23a, b23a, b: Eintrag eines verarbeiteten elektronischen Münzdatensatzes (Nachfolger)Entry of a processed electronic coin data set (successor)
2424: Signatur-Eintragsignature entry
2525: Markierung der GültigkeitsprüfungValidation check mark
2626: Markierung der BerechnungsprüfungMarking of the calculation check
2727: Markierung der BereichsnachweisprüfungMarking of area verification check
2828: Markierung der Signatur-PrüfungMarking of signature verification
2929: Abschluss-Markierungcompletion marker
Cici: elektronischer Münzdatensatz, CBDC,electronic coin record, CBDC,
Cj, Ckcj, ck: aufgeteilter elektronischer Münzteildatensatz,split electronic coin part data set,
Clclass: umzuschaltender elektronischer Münzdatensatzswitchable electronic coin data set
CmCm: zu verbindendender elektronischer Münzdatensatzelectronic coin record to be connected
e, e'e, e': Streuwertspread value
f(C)f(C): Homomorphe EinwegfunktionHomomorphic one-way function
k0,1,2k0,1,2: Zufallszahl für EVP oder ZKPRRandom number for EVP or ZKPR
KiKi: maskierte Zufallszahlmasked random number
NDSiNDSi: Nachweisdatensatz betreffend C_i Evidence record regarding C _i
RDSiRDSi: Registerdatensatz betreffend C_i Register record regarding C _i
riright: Verschleierungsbetrag, Zufallszahlobfuscation amount, random number
rj, rjrj, rj: Verschleierungsbetrag eines aufgeteilten elektronischen MünzdatensatzesAmount of obfuscation of a split electronic coin record
rmrm: Verschleierungsbetrag eines zu verbindenden elektronischen MünzdatensatzesAmount of obfuscation of an electronic coin record to be connected
s0,1,2s0,1,2: Nachweisparameter für EVP oder ZKPREvidence parameters for EVP or ZKPR
SExSex: x-tes Sicherheitselementumpteenth security element
TExtex: x-te Teilnehmereinheitumpteenth subscriber unit
Ziroom: maskierter elektronischer Münzdatensatzmasked electronic coin record
Zj, ZkZj, Zk: maskierter aufgeteilter elektronischer Münzteildatensatzmasked split electronic coin part record
ZlZl: maskierter umzuschaltender elektronischer Münzdatensatzmasked toggling electronic coin record
Zmroom: maskierter zu verbindender elektronischer Münzdatensatzmasked electronic coin record to be connected
vi,vi,: Monetärer Betragmonetary amount
vj, vjvj, vj: Aufgeteilter monetärer BetragSplit monetary amount
vl,fl,: Monetärer Betrag eines umzuschaltenden/umgeschalteten elektr. MünzdatensatzesMonetary amount of an electr. coin record
vm,vm,: Monetärer Betrag eines zu verbindenden/verbundenen elektr. MünzdatensatzMonetary amount of a to be connected / connected electr. coin record
101-112101-112: Verfahrensschritte des Bezahlsystems gemäß einem AusführungsbeispielMethod steps of the payment system according to an embodiment
201-206201-206: Verfahrensschritte zum Bereitstellen eines NDSProcedural steps for deploying an NDS
301-305301-305: Verfahrensschritte im Bezahlsystem gemäß einem AusführungsbeispielMethod steps in the payment system according to an embodiment

ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDED IN DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents cited by the applicant was generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturPatent Literature Cited

WO 2016/200885 A1 [0004]
WO 2020/21337 A1 [0005, 0006, 0015, 0029, 0037, 0038, 0105, 0106, 0120, 0163, 0171]
WO 2020/212331 A1 [0005, 0006, 0015, 0029, 0037, 0038, 0105, 0106, 0120, 0163, 0171]

Claims

A method (200) for providing a verification data record (NDS) relating to an electronic coin data record (C) by a subscriber unit (TE1) of an electronic payment system (BZ), the electronic coin data record (C) having a monetary amount (υ) and an obfuscation amount (r ) having, with the method steps: - generating (201) a first random number (k ₀ ) and a second random number (k ₁ ); - calculating (204), by the subscriber unit (TE1), a hash (e) by applying a hash function using the first random number (k ₀ ) and the second random number (k ₁ ); - calculating (205), by the subscriber unit (TE1), a first verification parameter (s ₀ ) using the first random number (k ₀ ) and the monetary amount (v) of the electronic coin record (C) and a second verification parameter (s ₁ ) using the second random number (k ₁ ) and the obfuscation amount (r) of the electronic coin record (C); - Sending (206), by the subscriber unit (TE1), the verification data set (NDS) relating to the electronic coin data set (C), the verification data set (NDS) containing the scatter value (e), the first verification parameter (s ₁ ) and the second verification parameter ( S2) includes.

The method (200) after claim 1 , The verification data record (NDS) being sent from the subscriber unit (TE1) to a second subscriber unit (TE2) in the payment system (BZ).

The method (200) after claim 1 , The verification data record (NDS) being sent to a coin register (2) of the payment system (BZ).

The method (200) according to any one of the preceding claims, wherein before calculating (204) the scatter value (e), a homomorphic one-way function (f(C)) on the first random number (k ₀ ) and the second random number (k ₁ ) for generating (202) a masked random number (K _i ) is applied and the masked random number (K _i ) is used to calculate (204) the spread value (e).

The method (200) after claim 4 , wherein the calculation (205) of each detection parameter (s ₀ , s ₁ ) is also performed using the masked random number (K _i ).

The method (200) of any preceding claim for providing evidence of a first electronic coin record (C ₁ ) and a second electronic coin record (C ₂ ) by the subscriber unit (TE1), each electronic coin record (C) having a monetary amount ( v) and having a concealment amount (r), the method (200) further comprising: - generating a third random number (k ₂ ); - calculating (204), by the first subscriber unit (TE1), the hash (e) by applying the hash function (h) using the first random number (k ₀ ), the second random number (k ₁ ) and the third random number (k ₂ ); - calculating (205), by the first subscriber unit (TE1), the second verification parameter (s ₁ ) using the second random number (k ₁ ) and the concealment amount (r ₁ ) of the first electronic coin record (C ₁ ); - calculating (205), by the first subscriber unit (TE1), a third verification parameter (s ₂ ) using the third random number (k ₂ ) and the concealment amount (r ₂ ) of the second electronic coin record (C ₂ ); and - the first subscriber unit (TE1) sending (206) the verification data set (NDS) relating to the first electronic coin data set (C _i ) and the second electronic coin data set (C ₂ ), the verification data set (NDS) containing the scatter value (e) , the first detection parameter (s ₀ ), the second detection parameter (s ₁ ) and the third detection parameter (s ₂ ).

The method (200) after claim 6 , wherein before calculating (204) the scatter value (e): - a homomorphic one-way function (f(C)) on the first random number (k ₀ ) and the second random number (k ₁ ) to generate (202) a first masked random number ( K ₁ ) is applied; - the homomorphic one-way function (f(C)) is applied to the first random number (k ₀ ) and the third random number (k ₂ ) to generate a second masked random number (K ₂ ); and - the first masked random number (K ₁ ) is combined (203) with the second masked random number (K ₂ ).

The method (200) after claim 6 or 7 , wherein the provision of the verification data record takes place as part of a changeover modification (108) of the first electronic coin data record (C ₁ ) to the second electronic coin data record (C ₂ ).

The method (200) of any preceding Claims 6 until 8th , wherein the monetary amount (v ₂ ) of the second electronic coin record (C ₂ ) is part of the monetary amount (v ₁ ) of the first electronic coin record (C _i ).

The method (200) after claim 9 , wherein for calculating (204), by the subscriber unit (TE1), the hash (e) by applying the hash function using the first random number (k ₀ ), the second random number (k ₁ ) and the third random number (k ₂ ). a division factor (n/m) of the monetary amounts is used.

The method (200) according to one of Claims 8 until 10 , wherein a monetary remainder from the subtraction of the monetary amount (υ ₁ ) of the first electronic coin data record (C _i ) and the monetary amount (υ ₂ ) of the second electronic coin data record (C _i ) is greater than zero.

A method (300) for checking proof of an electronic coin data set (C) by a second subscriber unit (TE2) or a coin register (2) of an electronic payment system (BZ), with the method steps: - Receiving (301) from a first subscriber unit (TE1) of the electronic payment system (BZ), a verification data set (NDS), the verification data set (NDS) comprising a scatter value (e), a first verification parameter (s ₀ ) and a second verification parameter (s ₁ ); - calculating (302), by the second subscriber unit (TE2), a hash value (e') by applying a hash function using the first detection parameter (s ₀ ) and the second detection parameter (s ₁ ); - comparing (303) the received scatter value (e) from the detection data set (NDS) with the calculated scatter value (e'); - Indicating (305) the correctness of the verification to the first subscriber unit (TE1) if the comparing step (303) results in the received scatter value (e) from the verification data set (NDS) matching the calculated scatter value (e').

The method (300) after claim 12 , wherein the indicating (305) is sent to the first subscriber unit (TE1) as a signed response to the received evidence record (NDS).

The method (300) according to any one of the preceding claims, wherein the spread value function is known throughout the payment system.

The method (300) according to one of the preceding claims, wherein the electronic coin data record (C) is registered in the coin register (2) of the electronic payment system (BZ) if the verification is correct.

The method (200, 300) according to any one of the preceding claims, wherein the following steps are performed: - receiving (102, 105) the electronic coin data record (C _i ) from an issuer entity (1) and/or another subscriber unit (TE); and - queries a register data record (RDS _i ) relating to the received electronic coin data record (C _i ) in the coin register (2).

The method (200, 300) after Claim 16 , With only the presence of a register data set (RDS _i ) to this electronic coin data set (C _i ), the method (200, 300) according to one of Claims 1 until 15 is carried out.

The method (200, 300) according to one of the preceding claims, wherein the method steps that are carried out in a subscriber unit (TE) are carried out in a secure runtime environment, for example a security element (SE) of the respective subscriber unit (TE).

A coin register (2) for registering register data records (RDS), in particular masked electronic coin data records (Z), in an electronic payment system (BZ), with: - A data interface set up to receive evidence data sets and to display the correctness of the evidence according to any one of the preceding claims.

The coin register (2) after claim 19 wherein the coin register (2) is arranged to: - apply the spread value function to generate (302) the spread value (e'); - Comparing (303) the generated scatter value (e') with the received scatter value (e) of the detection data set (NDS); and - registering (104) a register data set (RDS) in the coin register (2).

The coin register (2) after claim 19 or 20 , further comprising a checking unit for checking the verification data set (NDS) according to the method according to any one of the preceding claims.

A payment system (BZ) for paying with electronic coin data sets (C) with: - a coin register (2) set up for checking a verification data record and registering (104) the electronic coin data records (C) according to one of the preceding method claims; - Subscriber units (TE1, TE2) set up to carry out payment transactions by transmitting (105) the electronic coin data records (C) and for providing verification data records relating to the electronic coin data records (C) according to one of the preceding method claims.

A subscriber unit (TE1), set up for the direct transmission of electronic coin data sets (C _i ) to another subscriber unit (TE2, TE3) in an electronic payment system (BZ) and set up for executing payment transactions by transmitting (105) electronic coin data sets (C _i ) and for providing verification data sets (NDS) relating to the electronic coin data sets (C) to another subscriber unit (TE2) or a coin register (2) of the electronic payment system (BZ) according to one of the preceding methods claims 1 until 18 with: - a means for accessing a data memory, at least one electronic coin data set (C) being stored in the data memory; - An interface for outputting the at least one electronic coin data record (C) to the other subscriber unit (TE) and for sending and receiving verification data records (NDS) relating to the electronic coin data records (C); and - a computing unit set up to execute the method steps of the method according to one of Claims 1 until 18 .

A computer program product executable installed in a subscriber unit (TE) or a coin register of an electronic payment system (BZ) and having means for executing the method steps of the method according to one of Claims 1 until 18 .