DE102005008610A1

DE102005008610A1 - Internet download e.g. articles of newspaper, cost paying method, involves protecting anonymity of user until attempt to fraud is identified, and automatically determining identity of defrauded user and proof for attempt to fraud

Info

Publication number: DE102005008610A1
Application number: DE200510008610
Authority: DE
Inventors: Gerold Gruenauer
Original assignee: Individual
Current assignee: Individual
Priority date: 2005-02-23
Filing date: 2005-02-23
Publication date: 2006-08-31

Abstract

The method involves providing digital assessing units with security features and protecting an anonymity of a user until an attempt to fraud is identified during testing of the security features. The identity of a defrauded user and a proof for the attempt to fraud are automatically determined during the testing of the features. Independent claims are also included for the following: (1) a computer program for paying cost to internet download (2) a computer program product for paying cost to internet download (3) a data carrier with a program code medium for paying cost to internet download (4) a computer system for paying cost to internet download.

Description

Die vorliegende Erfindung betrifft ein Verfahren zum Bezahlen in Rechnernetzen, insbesondere im Internet. Darüber hinaus betrifft die Erfindung ein Computerprogramm, ein Computerprogrammprodukt, einen Datenträger sowie ein Computersystem.The The present invention relates to a method for payment in computer networks, especially on the internet. About that In addition, the invention relates to a computer program, a computer program product, a disk as well as a computer system.

In den letzten Jahren ist das Internet immer mehr zum Bestandteil unseres Lebens geworden. Anstatt wie früher umständlich in Bibliotheken oder anderen Institutionen nach Informationen zu suchen, nutzen sehr viele Menschen heute dafür das Internet. Doch obwohl der „kostenlose" Bereich des weltweiten Netzes immer mehr an Bedeutung gewinnt, so hat sich der andere Teil des Internets (z.B. kostenpflichtige Downloads von Musik, Texten, anderen Diensten, ...) bisher kaum durchgesetzt.In In recent years, the internet has become more and more part of ours Become life. Instead of how it used to be laborious in libraries or other institutions for information Many people today use the internet for this. But though the "free" area of the worldwide Network is gaining in importance, so has the other part the Internet (e.g., paid downloads of music, lyrics, other services, ...) so far hardly enforced.

Der wichtigste Grund für dieses mangelnde Interesse ist die Frage nach der Bezahlmöglichkeit. Unseriöse Anbieter und vor allem unsichere Verfahren zum Bezahlen (z.B. Kreditkarten, Computerprogramme die eine Einwahl über 0190-Nummern ermöglichen, sogenannte „Dialer", ...) haben das Einkaufen im Internet in Verruf gebracht.Of the most important reason for This lack of interest is the question of the possibility of payment. Dubious provider and, above all, insecure payment methods (e.g. Computer programs that allow dialing in via 0190 numbers so-called "dialers", ...) have that Shopping on the Internet in disrepute.

Dieses Mißtrauen gegenüber den Verfahren zum Bezahlen im Internet ist nicht unberechtigt. Denn oft ist es mit einfachen Tricks (z.B. dem Ausspionieren der Kreditkartennummer) möglich, große Mengen Geld zu stehlen. Darüber hinaus wird durch die Allgemeinen Geschäftsbedingungen zahlreicher Betreibern von Bezahldiensten ein durch Mißbrauch von Paßwörtern entstehenden Schaden dem Kunden angelastet. Alles in allem eine Situation, die einen Durchschnittsanwender kaum dazu bewegen kann, im Internet mit Kleinstbeträgen für eine gewünschte Datei, ein Musikstück oder dergleichen zu bezahlen.This Mistrust across from the method of payment on the Internet is not unjustified. Because often is it with simple tricks (like spying on the credit card number) possible, size Stealing amounts of money. About that In addition, the terms and conditions are becoming more numerous Operators of payment services a result of misuse of passwords Damage to the customer. All in all, a situation that an average user can barely move on the internet with smallest amounts for one desired file, a piece of music or the like to pay.

Im Gegensatz zu normalem, reellen Geld ist „digitales" Geld nicht irgendein Objekt, das einer anderen Partei einfach übergeben werden kann (wie z. B. Bargeld). Vielmehr handelt es sich bei einem Bezahlvorgang mit „digitalem" Geld um die Umsetzung komplizierter Daten-Protokolle, an deren Umsetzung der Kunde, der Verkäufer und die Bank (und zum Teil noch weitere Parteien) beteiligt sind.in the Contrary to normal, real money, "digital" money is not just any object, that one simply hand over to another party can be (such as cash). Rather, it is at a Payment process with "digital" money to the implementation more complicated Data logs to the implementation of which the customer, the seller and the bank (and some other parties) are involved.

Digitales Geld unterscheidet sich hauptsächlich dadurch von Bargeld, daß die Sicherheit nicht durch mechanische, sondern durch mathematische Faktoren bestimmt wird. Während Bargeld nicht (einfach) kopiert werden kann, können elektronische Daten sehr leicht vervielfältigt werden, ohne Spuren zu hinterlassen.digital Money is mainly different by cash, that the Safety not by mechanical but by mathematical factors is determined. While Cash can not be (simply) copied, electronic data can be very slightly duplicated be without leaving a trace.

Ein modernes Bezahlsystem muß folgende Bedingungen erfüllen: Das Geld darf nicht gefälscht oder kopiert werden können (Sicherheit). Ein Unbeteiligter (oder auch eine Bank) darf nicht feststellen können, wer bei wem bezahlt hat (Anonymität). Das Geld muß (ohne Umweg über die Bank) übertragen werden können (Übertragbarkeit). Eine Bezahlung muß auch ohne direkte (online-) Verbindung zur Bank erfolgen können („offline"-Bezahlung).One Modern payment system must meet the following conditions fulfill: The money may not be fake or can be copied (Safety). An uninvolved (or a bank) may not Can be detected, who paid with whom (anonymity). The money must (without Detour over the bank) can (Transferability). A payment must also can be made without a direct (online) connection to the bank ("offline" payment).

Normales Bargeld erfüllt diese Bedingungen weitgehend. Das zur Zeit verwendete „digitale" Geld ist von diesen Idealen jedoch weit entfernt. So kann zum Beispiel bei Kreditkarten leicht von einem kriminellen Internethändler die Kreditkartennummer mißbraucht werden, um Zahlungen mit fremden Geld durchzuführen. Außerdem kann jedermann nachvollziehen, wer bei wem eingekauft hat. Des Weiteren ist ohne Kontakt mit der Bank das Übertragen von Geld mit Kreditkarten nicht möglich. Das Kreditkartensystem erfüllt daher keine der oben gestellten Bedingungen. Bei der Bezahlung mit EC (Eurocheque)-Karten verhält es sich ähnlich.normal Cash met these conditions largely. The currently used "digital" money is from these Ideal, however, far away. For example, with credit cards easily from a criminal Internet retailer the credit card number abused to make payments with foreign money. In addition, anyone can understand who has shopped at whom. Furthermore, without contact with the Bank transferring not possible with money with credit cards. The credit card system Fulfills therefore none of the above conditions. When paying with EC (Eurocheque) cards behaves it is similar.

Eine Aufgabe der vorliegenden Erfindung ist es, ein verbessertes Verfahren zum Bezahlen in Rechnernetzen bereitzustellen. Diese Aufgabe wird durch die in den unabhängigen Patentansprüchen beschriebenen Erfindungsgegenstände gelöst.A The object of the present invention is an improved process to provide for payment in computer networks. This task is done by in the independent Claims described Invention objects solved.

Das erfindungsgemäße Verfahren zeichnet sich dadurch aus, daß digitale Werteinheiten mit Sicherheitsmerkmalen versehen werden und die Anonymität eines Benutzers solange gewahrt bleibt, bis bei einer Überprüfung der Sicherheitsmerkmale ein Betrugsversuch erkannt wird, wobei in diesem Fall sowohl die Identität des betrügenden Benutzers als auch ein Beweis für den Betrugsversuch automatisch ermittelbar ist.The inventive method is characterized by the fact that digital Value units are provided with security features and the anonymity of a User is maintained until a check of the security features fraud is detected, in which case both the identity the cheating one User as well as a proof of the fraud attempt can be determined automatically.

Die Erfindung betrifft darüber hinaus ein Computerprogramm zum Bezahlen in einem Rechnernetz, insbesondere Benutzerprogramm, mit Programmcodemitteln zum Versehen von digitalen Werteinheiten mit Sicherheitsmerkmalen und mit Programmcodemitteln zur Wahrung der Anonymität eines Benutzers solange, bis bei einer Überprüfung der Sicherheitsmerkmale ein Betrugsversuch erkannt wird.The Invention relates to this In addition, a computer program for payment in a computer network, in particular User program, with program code means for providing digital Value units with security features and with program code means to maintain anonymity of a user until a check of the security features a scam is detected.

Die Erfindung betrifft darüber hinaus ein Computerprogramm zum Bezahlen in einem Rechnernetz, insbesondere Bankprogramm, mit Programmcodemitteln zur automatischen Ermittlung der Identität eines betrügenden Benutzers als auch eines Beweises für den Betrugsversuch.The Invention relates to this In addition, a computer program for payment in a computer network, in particular Bank program, with program code means for automatic determination the identity a cheating one User as well as a proof of the fraud attempt.

Die Erfindung betrifft darüber hinaus ein Computerprogrammprodukt mit auf einem computerlesbaren Medium gespeicherten Programmcodemitteln zum Versehen von digitalen Werteinheiten mit Sicherheitsmerkmalen und mit auf einem computerlesbaren Medium gespeicherten Programmcodemitteln zur Wahrung der Anonymität eines Benutzers beim Bezahlen in einem Rechnernetz solange, bis bei einer Überprüfung der Sicherheitsmerkmale ein Betrugsversuch erkannt wird, wenn das Computerprogrammprodukt auf einem Computer, insbesondere auf einem Kunden- oder Verkäuferrechner, ausgeführt wird.The invention also relates to a computer program product on a computer readable medium stored program code means for providing digital value units with security features and stored on a computer-readable medium program code means for maintaining the anonymity of a user when paying in a computer network until a check of the security features fraud detection is detected when the computer program product on a computer, especially on a customer or vendor computer.

Die Erfindung betrifft darüber hinaus ein Computerprogrammprodukt mit auf einem computerlesbaren Medium gespeicherten Programmcodemitteln zur automatischen Ermittlung der Identität eines betrügenden Benutzers beim Bezahlen in einem Rechnernetz als auch eines Beweises für den Betrugsversuch, wenn das Computerprogrammprodukt auf einem Computer, insbesondere auf einem Bankrechner, ausgeführt wird.The Invention relates to this a computer program product with on a computer readable Medium stored program code means for automatic detection the identity a cheating one User when paying in a computer network as well as a proof for the Fraud attempt when the computer program product on a computer, in particular on a bank computer.

Die Erfindung betrifft darüber hinaus einen Datenträger mit Programmcodemitteln zum Versehen von digitalen Werteinheiten mit Sicherheitsmerkmalen und mit Programmcodemitteln zur Wahrung der Anonymität eines Benutzers beim Bezahlen in einem Rechnernetz solange, bis bei einer Überprüfung der Sicherheitsmerkmale ein Betrugsversuch erkannt wird.The Invention relates to this also a disk with program code means for providing digital value units with security features and with program code means to safeguard anonymity of a user while paying in a computer network until, until at a review of the Security features a scam is detected.

Die Erfindung betrifft darüber hinaus einen Datenträger mit Programmcodemitteln zur automatischen Ermittlung der Identität eines betrügenden Benutzers beim Bezahlen in einem Rechnernetz als auch eines Beweises für den Betrugsversuch.The Invention relates to this also a disk with program code means for automatically determining the identity of a cheating User when paying in a computer network as well as a proof for the Attempted fraud.

Die Erfindung betrifft darüber hinaus ein Computersystem, insbesondere Bankrechner, ausgebildet zur Ausführung von Programmcodemitteln zur automatischen Ermittlung der Identität eines betrügenden Benutzers beim Bezahlen in einem Rechnernetz als auch eines Beweises für den Betrugsversuch.The Invention relates to this In addition, a computer system, in particular bank computer trained for execution program code means for automatically determining the identity of a cheating User when paying in a computer network as well as a proof for the Attempted fraud.

Die Erfindung betrifft darüber hinaus ein Computersystem, insbesondere Kunden- oder Verkäuferrechner, ausgebildet zur Ausführung von Programmcodemitteln zum Versehen von digitalen Werteinheiten mit Sicherheitsmerkmalen und von Programmcodemitteln zur Wahrung der Anonymität eines Benutzers beim Bezahlen in einem Rechnernetz solange, bis bei einer Überprüfung der Sicherheitsmerkmale ein Betrugsversuch erkannt wird.The Invention relates to this In addition, a computer system, in particular customer or vendor computer, designed for execution program code means for providing digital value units with security features and program code means to safeguard the anonymity of a user while paying in a computer network until, until at a review of the Security features a scam is detected.

Da es wegen der problemlosen Kopierfähigkeit elektronischer Daten nicht möglich ist, eine Vervielfältigung „digitalen Geldes" zu verhindern, und das neue Verfahren „offline"-Bezahlungen (also Transaktionen ohne Kontakt mit einer Bank während der Bezahlung) ermöglichen soll, wird die gewünschte Sicherheit des neuen Verfahrens dadurch erreicht, daß die Anonymität eines Benutzers (Kunde oder Verkäufer) nur solange gewahrt bleibt, wie er nicht betrügt. Versucht ein Benutzer jedoch beispielsweise, „digitales Geld" (Werteinheiten) zu vervielfältigen oder während der Transaktion verwendete Daten zu manipulieren, so gibt er der Bank sowohl seine Identität als auch den Beweis des Betrugsversuchs preis.There because of the ease of copying electronic data not possible is a duplication "digital To prevent money " and the new method "offline" payments (ie transactions without Contact with a bank during the Pay) should, is the desired Security of the new method achieved by the anonymity of a User (customer or seller) only as long as he is not cheating. However, a user tries for example, "digital Money "(units of value) to duplicate or while to manipulate data used in the transaction, he gives the Bank both his identity as well as the proof of the attempted fraud.

Das Verfahren stützt sich dabei auf ein münzbasiertes Protokoll. D.h., daß nicht – wie bspw. bei Überweisungen – eine bestimmte Summe in ein Formular eingetragen wird. Vielmehr übergibt der Kunde dem Verkäufer Werteinheiten in Form von digitalen Münzen. Der Einkauf erfolgt vorzugsweise derart, daß ein Kunde eine von einem Verkäufer bereitgestellte verschlüsselte Datei aus dem Internet herunterlädt. Um die Datei nutzen zu können, muß er diese jedoch zuvor entschlüsseln. Den hierfür erforderlichen Schlüssel erhält er von dem Verkäufer im Gegenzug zur Bezahlung der Datei mittels einer Anzahl digitaler Münzen.The Procedure supports thereby on a coin-based Protocol. That is, not - as for example in transfers - a specific Sum is entered in a form. Rather, hands over the customer to the seller Value units in the form of digital coins. The purchase is preferably made in such a way the existence Customer one of a seller provided encrypted Download file from the Internet. To use the file, he has to do this but decrypt it first. The one for this required keys receives he from the seller in return for paying the file by means of a number of digital Coins.

Da die Sicherheit des neuen Verfahrens darauf beruht, daß man im Falle eines Betrugsversuchs seine Identität und einen Beweis für diesen Betrug preisgibt, muß ein besonders großer Wert auf eine sichere Anmeldung gelegt werden. Diese kann deshalb nicht vollständig „online" ablaufen. Im Ergebnis erhält der Benutzer ein spezielles anonymes Signaturschlüsselpaar, in dessen privaten Schlüssel die Identität des Benutzers abgespeichert wird. Die Bank kann im Anschluß an die Anmeldung dieses Schlüsselpaar diesem Benutzer jedoch nicht mehr zuordnen. Unterschreibt ein Benutzer jedoch zweimal das gleiche Dokument, so kann der private Schlüssel zurückberechnet werden und damit seine Identität herausgefunden werden.There the security of the new procedure is based on the fact that in Case of fraud attempt his identity and a proof of this Fraud must reveal, must especially big Value to be placed on a secure login. This can therefore not completely "online" expire.As a result, the user receives a special anonymous signature key pair, in its private key the identity the user is saved. The bank can follow the Registration of this key pair However, do not assign this user any more. Signs a user however, twice the same document, the private key can be recalculated and thus his identity be found out.

Im Einzelnen erwirbt der Benutzer zunächst eine Bestätigung, daß er für einen reellen Geldwert eine solche Münze erworben hat. Mit dieser kann er im Internet anonym seine digitale Münze bei der Bank abholen. Die Bank bindet durch ihre Signatur den anonymen öffentlichen Schlüssel des Benutzers an diese Münze. Möchte der Benutzer nun eine im Internet bereitgestellte (z.B. eine Musikdatei) erwerben, so läßt er sich von dem Verkäufer dessen anonymen Schlüssel übermitteln und signiert die Münze zusammen mit dem öffentlichen Schlüssel des Verkäufers. Des weiteren unterschreibt er ein Münz-Identifikationsmerkmal M_ID, eine zufällige Zahl, die vom Benutzer bei der Ausgabe der Münze zufällig gewählt wurde. Dieses Münz-Identifikationsmerkmal M_ID ist nur ein einziges Mal signierbar, ohne daß der Signierende seine Identität preisgibt. Aus diesem Grund kann ein Kunde eine digitale Münze auch nur einmal verwenden. Der Verkäufer kann nun der Bank die digitale Münze zurück übermitteln, um reelles Geld zu erhalten.In detail, the user first acquires a confirmation that he has acquired such a coin for a real monetary value. With this, he can pick up his digital coin at the bank anonymously on the Internet. The bank binds by its signature the anonymous public key of the user to this coin. If the user would now like to purchase an Internet-provided (eg a music file), he can have the anonymous key transmitted by the seller and signs the coin together with the seller's public key. He also signs a coin identifier M _ID , a random number that was randomly selected by the user when the coin was issued. This coin identification feature M _ID can only be signed once without the signer revealing his identity. For this reason, a customer can use a digital coin only once. The seller can now send the digital coin back to the bank for real To receive money.

Das erfindungsgemäße Verfahren zeichnet sich dadurch aus, daß es im Gegensatz zu den meisten anderen Verfahren auch für den Händler praktisch anonym ist. Mit anderen Worten kann die Bank oder eine andere unbeteiligte Partei nicht nachvollziehen, wer beim wem eingekauft hat. Dies ist ohne Mithilfe der betreffenden Kunden auch mit langwierigen Recherchen nicht möglich.The inventive method is characterized by the fact that it unlike most other methods too handy for the dealer is anonymous. In other words, the bank or another uninvolved Party do not understand who bought the whom. This is without the help of the customers concerned also with lengthy research not possible.

Als Bank können dabei tatsächliche Banken, Sparkassen oder dergleichen auftreten. Es ist jedoch ebenfalls möglich, daß andere Unternehmen als Anbieter des Bezahlsystems die Funktion der Bank übernehmen.When Bank can while actual Banks, savings banks or the like occur. It is, however, too possible, that others Companies as provider of the payment system to take over the function of the bank.

Das erfindungsgemäße Verfahren kann vor allem für kostenpflichtige Internet-Downloads mit relativ geringem Wert (Cent-Beträge und geringe Euro-Beträge) eingesetzt werden, also zum Beispiel für das Herunterladen von Musikstücken, Artikeln aus Online-Zeitungen, Online-Buchhandlungen, wissenschaftlichen Informationen oder dergleichen. Es ermöglicht einen sicheren, schnellen und unkomplizierten Bezahlvorgang bei aus dem Stand der Technik nicht bekannter Beibehaltung der Anonymität der Benutzer.The inventive method especially for Paid Internet downloads with relatively low value (cents amounts and low Euro amounts) be used, for example, for downloading pieces of music, articles from online newspapers, online bookstores, scientific Information or the like. It allows a safe, fast and uncomplicated payment process in the prior art not well-known retention of anonymity of users.

Der Kunde muß sich zu nichts verpflichten und muß auch nicht mit unerwarteten Folgekosten rechnen, wie z.B. bei Dialer-Programmen teilweise der Fall ist.Of the Customer has to do not commit to anything and must do not expect unexpected follow-up costs, such as in dialer programs partially the Case is.

Zur Umsetzung des erfindungsgemäßen Verfahrens ist ein Computersystem vorgesehen, welches wenigstens einen Kundenrechner, einen Verkäuferrechner und einen Bankrechner umfaßt, wobei die Rechner zu Kommunikations- bzw. Datenaustauschzwecken untereinander verbindbar sind, beispielsweise über das Internet. Kunden- und Verkäuferrechner sind vorzugsweise als Standard-PCs ausgebildet. Der Bankrechner kann ebenfalls ein Standard-PC oder aber ein leistungsstärkerer Rechner sein, der jedoch vorzugsweise durch zusätzliche Sicherheitsmaßnahmen (z.B. Platzierung des Computers an einem zugangsgesicherten Ort, Zugangskontrollen, ...) gegen Missbrauch abgesichert ist.to Implementation of the method according to the invention a computer system is provided which has at least one customer computer, a seller computer and comprises a bank computer, wherein the computers for communication or data exchange purposes connectable with each other, for example via the Internet. Customer and sellers computer are preferably designed as standard PCs. The bank computer can also be a standard PC or a more powerful computer, However, preferably by additional security measures (e.g., placing the computer in a secure location, Access controls, ...) is protected against misuse.

Darüber hinaus sind Computerprogramme vorgesehen, welche die erfindungsgemäßen Verfahrensschritte durchführen, wenn sie auf einem Rechner ausgeführt werden. Dabei dient die auf dem Bankrechner ausgeführte Banksoftware als Zentrale und ist u.a. für die Anmeldung der Benutzer und den Umtausch von reellem Geld in digitale Münzen und umgekehrt sowie für die Ermittlung von Betrugsfällen und deren Abwicklung ausgebildet.Furthermore Computer programs are provided which illustrate the method steps according to the invention carry out, if they are running on a machine. It serves the running on the bank computer Bank software as headquarters and is u.a. for the registration of the users and the conversion of real money into digital coins and vice versa as well as for the investigation of frauds and their settlement trained.

Das für den Kunden eingesetzte Computerprogramm und das für den Verkäufer eingesetzte Computerprogramm sind vorzugsweise identisch und werden nachfolgend als „Benutzersoftware" bezeichnet. Da der Kunde bei einem Kaufvorgang lediglich den gewünschten Artikel auszuwählen braucht und das erfindungsgemäße Bezahlsystem alle weiteren Schritte auf Wunsch vollautomatisch ausführt, ist eine besonders einfache Handhabung gewährleistet.The for the Customer's computer program and the computer program used for the seller are preferably identical and are hereinafter referred to as "user software" Customer only needs to select the desired item during a purchase and the payment system according to the invention If necessary, all further steps are carried out fully automatically ensures easy handling.

Die Erfindung wird nachfolgend anhand eines bevorzugten Ausführungsbeispieles beschrieben. Die Verfahrensschritte sind dabei in einem sogenannten „Protokoll zum Austausch digitalen Geldes" definiert. Für eine Umsetzung des Verfahrens in die Praxis erfolgt eine Programmierung der zur Ausführung auf dem Kundenrechner, dem Verkäuferrechner und dem Bankrechner vorgesehenen Computerprogramme entsprechend den Vorgaben des Protokolls.The Invention will be described below with reference to a preferred embodiment described. The process steps are in a so-called "protocol for the exchange of digital money ". For one Implementation of the procedure in practice is a programming to the execution on the customer's computer, the seller's calculator and computer programs provided to the bank computer in accordance with Specifications of the protocol.

Zur Bereitstellung der erforderlichen „Grundinfrastruktur" veröffentlicht die Bank auf ihrer Internetseite eine Anzahl öffentlicher Schlüssel (im Sinne des sogenannten Public-Key-Verfahrens), die für die Benutzung des Protokolls erforderlich sind. Dies sind Schlüssel, mit denen nur ein Entschlüsseln oder ein Prüfen einer digitalen Unterschrift möglich ist. Jeder Benutzer (Kunde oder Verkäufer) des Verfahrens muß sich zunächst diese Schlüssel von der Internetseite der Bank herunterladen. Die Schlüssel werden in der folgenden Protokollablaufbeschreibung wie folgt abgekürzt:
B_s: Dieser Schlüssel wird zum Unterschreiben der öffentlichen Schlüssel der Benutzer verwendet.
B_i für i∊M, wobei M die Menge der verschiedenen Münzwerte darstellt, z.B. M = {1 Cent, 2 Cent, 5 Cent, ...}. Mit diesen Schlüsseln B_i unterschreibt (signiert) die Bank alle ausgegeben Münzen des jeweils angegeben Geldwertes.In order to provide the necessary "basic infrastructure", the Bank publishes on its website a number of public keys (in the so-called public-key procedure) required for the use of the protocol, which are keys for decrypting or checking only Any user (customer or vendor) of the process must first download these keys from the bank's website, and the keys are abbreviated as follows in the following protocol description:
B _s : This key is used to sign the users' public keys.
B _i for iεM, where M represents the set of different denominations, eg M = {1 cent, 2 cents, 5 cents, ...}. With these keys B _i , the bank signs (signs) all issued coins of the given monetary value.

Vorzugsweise werden als Münzwerte auch „Endbeträge" angeboten, wie beispielsweise 49 Cent, 99 Cent oder dergleichen.
B: Dieser öffentliche Schlüssel wird vom Händler und Käufer während der Münzübergabe zur Verschlüsselung einiger wichtiger Werte verwendet, um sich gegen Betrug der jeweils anderen Partei abzusichern.Preferably, "final amounts" are offered as coin values, such as 49 cents, 99 cents or the like.
B: This public key is used by the merchant and the buyer during coin transfer to encrypt some important assets in order to protect against fraud by the other party.

Es werden in der folgenden Beschreibung außerdem noch folgende weitere Abkürzungen verwendet:
S_P(x): Eine Zahl x wird mit dem dazugehörigen privaten (geheimen) Schlüssel des öffentlichen Schlüssel P digital unterschrieben.
E_P(x): Eine Zahl x wird mit dem öffentlichen Schlüssel P verschlüsselt.The following additional abbreviations are also used in the following description:
S _P (x): A number x is digitally signed with the associated private (secret) key of the public key P.
E _P (x): A number x is encrypted with the public key P.

Darüber hinaus wird unter einer „Blinden Signatur" verstanden, daß eine Nachricht vor dem Unterschreiben so verschlüsselt wird, daß der Signierende das eigentliche Dokument zwar nicht sieht, aber seine Unterschrift trotzdem gültig ist. Dieses Verfahren wird in einigen Schritten des Protokolls benötigt, um die Anonymität sicherzustellen. Eine mathematische Lösung für dieses Problem wird weiter unten angegeben. Nachfolgend wird für blinde Signaturen folgende Notation verwendet: Die Benutzersoftware verschlüsselt eine Nachricht für einen öffentlichen Schlüssel (einer anderen Partei). Das bedeutet, dass die Benutzersoftware einen zufälligen Schlüssel für die blinde Signatur wählt und die Nachricht nach dem unten angegeben Verfahren verschlüsselt. Diese neue verschlüsselte Nachricht wird der anderen Partei zum Unterschreiben zugesandt. Erhält die Benutzersoftware dann die unterschriebene verschlüsselte Nachricht zurück, kann sie mit dem zuvor gewählten Schlüssel die Unterschrift wieder entschlüsseln und erhält so die gültige Unterschrift für die ursprüngliche Nachricht.In addition, a "blind signature" means that a message is sent before the Un is encrypted in such a way that the signer does not see the actual document, but his signature is nevertheless valid. This procedure is needed in some steps of the protocol to ensure anonymity. A mathematical solution to this problem is given below. The following notation is used for blind signatures: The user software encrypts a message for a public key (another party). This means that the user software selects a random key for the blind signature and encrypts the message according to the procedure given below. This new encrypted message will be sent to the other party for signing. If the user software then retains the signed encrypted message, it can decrypt the signature with the previously selected key, thus obtaining the valid signature for the original message.

Sollte bei irgendeinem Schritt während der Abarbeitung des Transaktions-Protokolls, in dem ein Wert auf dessen Richtigkeit geprüft wird, ein Fehler festgestellt werden, so beendet die Partei, die den Fehler festgestellt hat, unverzüglich diesen Protokollteil, falls nicht anders angegeben. Diese Regel ist für die Sicherheit des erfindungsgemäßen Verfahrens grundlegend. Dabei kommt es auf die Art der Prüfung (Syntaxprüfung, Plausibilitätsprüfung, inhaltliche Prüfung etc.) nicht an.Should at some step during the processing of the transaction log, in which a value to its correctness checked If a mistake is found, then the party that ends has detected the error immediately unless otherwise stated. This rule is fundamental to the safety of the process of the invention. It depends on the type of check (syntax check, plausibility check, substantive exam etc.) not on.

Die Kommunikation der Parteien untereinander wird während aller Protokollteile durch eine gesicherte Verbindung, z.B. SSL (Secure Sockets Layer), abgesichert, damit Unbeteiligte keine wichtigen Daten abfangen können.The Communication between the parties is done during all protocol parts through a secure connection, e.g. SSL (Secure Sockets Layer), secured, so that bystanders can not intercept important data.

Schritt Eins: AnmeldungStep One: Registration

Nachfolgend wird das Anmelden eines Benutzers bei der Bank beschrieben. Es spielt dabei keine Rolle, ob der Benutzer dieses Protokoll später als Käufer, als Verkäufer oder beides verwenden möchte.following describes how to log in a user at the bank. It's playing It does not matter if the user later than this protocol Buyer, as a seller or both.

In einem ersten Schritt schickt der Benutzer der Bank über Postweg ein Anmeldungsformular, das folgendes enthält: die Adresse des Benutzers, eine Kopie des Ausweises (um Betrug in diesem Schritt zu erschweren) und seine Unterschrift.In In a first step, the user sends the bank by post a registration form containing: the user's address, a copy of the ID card (to complicate fraud in this step) and his signature.

Im nächsten Schritt speichert die Bank diese Daten in einer hierfür vorgesehenen und von der Banksoftware nutzbaren Datenbank auf dem Bankrechner ab. Die Bank prüft, ob sich bereits einmal ein gleichnamiger Kunde oder eine andere Person mit derselben Adresse bereits angemeldet hat. Nach erfolgreicher Prüfung schickt die Bank dem Benutzer an die angegebene Adresse eine nur einmal gültige Anmeldungspin, die im Lauf einer festgelegten Frist verwendet werden muß.in the next Step, the bank stores this data in a designated space and database usable by the bank software on the bank computer from. The bank checks, whether already a customer of the same name or another Person with the same address already registered. After successful exam the bank only sends the user to the given address one once valid registration pin, which must be used within a fixed period.

In einem nächsten Schritt erzeugt der Benutzer mit Hilfe seiner von der Bank auf CD-ROM bereitgestellten oder durch den Benutzer über das Internet heruntergeladenen Benutzersoftware ein nicht anonymes Schlüsselpaar U_N, also einen nicht anonymen öffentlichen Schlüssel sowie einen nicht anonymen privaten Schlüssel. Hierzu bedient sich die Benutzersoftware eines beliebigen Verschlüsselungsverfahrens, beispielsweise PGP oder ein ähnliches Verfahren. Die Erzeugung der Schlüssel erfolgt vorzugsweise durch die auf dem Kunden- bzw. Verkäuferrechner ausgeführte Benutzersoftware automatisch nach Eingabe des Anmeldungspins.In a next step, the user creates a non-anonymous key pair U _N , ie a non-anonymous public key and a non-anonymous private key, using his user software provided by the bank on CD-ROM or downloaded by the user via the Internet. For this purpose, the user software uses any encryption method, for example PGP or a similar method. The keys are preferably generated by the user software executed on the customer or vendor computer automatically after the entry of the registration pin.

Darüber hinaus erzeugt die Benutzersoftware automatisch t_A weitere anonyme Schlüsselpaare U_Ai, für 1 ≤ i ≤ t_A. Der Wert t_A dient dabei als Sicherheitsfaktor, wie weiter unten näher erläutert werden wird. Er wird von der Bank festgelegt und vorzugsweise in der Benutzersoftware hinterlegt. Der Wert ist für alle Benutzer gleich, bspw. besitzt t_A den Wert 256. Die Schlüsselpaare U_Ai weisen dabei die Eigenschaft auf, daß nach zweimaliger Unterschrift für ein Dokument die Identität des Benutzers aus diesem Schlüssel berechnet werden kann (ein Verfahren dafür wird unten angegeben). Für die Erzeugung dieser weiteren Schlüsselpaare kommt ein Verschlüsselungsverfahrens zum Einsatz, welches diese Eigenschaft sicherstellt.Furthermore, the user software automatically generates another anonymous t _A key pairs U _i, for 1 ≤ i ≤ t _A. The value t _A serves as a safety factor, as will be explained in more detail below. It is determined by the bank and preferably stored in the user software. The value is the same for all users, for example, t _{A has} the value 256. The key pairs U _Ai have the property that after two signatures for a document, the identity of the user can be calculated from this key (a procedure for this is explained below ) indicated. For the generation of these further key pairs an encryption method is used, which ensures this property.

Die zu den Schlüsselpaaren U_Ai gehörigen öffentlichen Schlüssel werden durch die Benutzersoftware automatisch für eine Blindsignatur verschlüsselt und dem Bankrechner zugeschickt. Die Bank erhält also keinen Einblick in die Schlüssel.The public keys belonging to the key pairs U _Ai are automatically encrypted by the user software for a blind signature and sent to the bank computer. The bank does not get any insight into the keys.

Im nächsten Schritt berechnet die auf dem Bankrechner ausgeführte Banksoftware automatisch US = SBs(UN||UID),wobei U_ID die Identität des Benutzers beinhaltet. Dabei stellt U_S die Banksignatur des nicht anonymen Benutzerschlüssels und der Benutzeridentität dar, S_BS stellt die Signaturfunktion mit dem privaten Schlüsselteil des Bankschlüssels B_S dar und U_N den nicht anonymen Schlüssel des Benutzers. U_ID ist ein Zahl, die die Identität des Benutzers enthält. x||y bedeutet, daß die zwei Werte aneinandergehängt (z.B. 01 || 7 = 017) und anschließend der Signierfunktion übergeben werden. Des weiteren wählt die Banksoftware automatisch aus den t_A öffentlichen Schlüsseln U_A t_A – 1 zufällig aus und fordert die Benutzersoftware auf, ihr die privaten Schlüssel für diese zuzusenden. Hierzu übermittelt sie eine entsprechende Nachricht an den Kunden- bzw. Verkäuferrechner.In the next step, the bank software running on the bank calculates automatically U S = S bs (U N || U ID ) where U _ID includes the identity of the user. Here, U _{S represents} the bank signature of the non-anonymous user key and the user identity, S _BS represents the signature function with the private key portion of the bank key B _S , and U _{N is} the non-anonymous key of the user. U _ID is a number that contains the identity of the user. x || y means that the two values are concatenated (eg 01 || 7 = 017) and then passed to the signing function. Furthermore, the bank software automatically randomly selects from the t _A public keys U _A t _A -1 and requests the user software to send the private keys for them. For this purpose, she sends a message to the customer or seller computer.

In einem nächsten Schritt übermittelt die Benutzersoftware automatisch die angeforderten, die Identität des Benutzers enthaltenden privaten Schlüssel sowie die Benutzerschlüssel für die blinde Signatur zu dem Bankrechner.In one next Step transmitted the user software automatically requested, the identity of the user containing private key as well as the user keys for the blind signature to the bank computer.

Anschließend prüft die Banksoftware automatisch die Beschaffenheit der Schlüsselpaare und signiert, wenn die Überprüfung ohne Beanstandungen abgeschlossen ist, den einzigen noch verschlüsselten Schlüssel U_A ungesehen: UAS = SBs(UA). Subsequently, the bank software automatically checks the nature of the key pairs and, when the check is completed without any objections, signs the unseen key U _A yet unseen: U AS = S bs (U A ).

Dabei ist U_AS die Signatur der Bank des noch für die Blindsignatur verschlüsselten anonymen Schlüssel des Benutzers. Außerdem löscht die Banksoftware automatisch die Einmalaktivierungspin des Kunden und übermittelt dem Kunden- bzw. Verkäuferrechner die verschlüsselte Datei.In this case, U _{AS is} the signature of the bank of the user's anonymous key, which is still encrypted for the blind signature. In addition, the bank software automatically deletes the customer's one-time activation pin and transmits the encrypted file to the customer or vendor computer.

Abschließend entschlüsselt die Benutzersoftware automatisch den nun fertig nutzbaren anonymen Schlüssel des Benutzers durch Öffnen der Blindsignatur.Finally, the decrypted User software automatically the now ready to use anonymous key of User by opening the blind signature.

Nun besitzt der Benutzer alle für die Transaktionen benötigten Schlüssel. Einen nicht anonymen Schlüssel, um sich als Verkäufer beim Verkauf dem Käufer gegenüber auszuweisen und einen anonymen Schlüssel, der an die Münze gebunden wird, um als Verkäufer oder Käufer Betrug durch Mehrfachnutzung der Münze auszuschließen. An dieser Stelle sei bereits darauf hingewiesen, daß der Käufer bei Transaktionen ausschließlich anonyme Schlüssel benutzt.Now the user owns all for needed the transactions Key. A non-anonymous key, to be a seller on sale to the buyer across from identify and an anonymous key that is bound to the coin is going to be as a seller or buyer Exclude fraud by multiple use of the coin. At It should be noted that the buyer is only anonymous in transactions key used.

Ein in betrügerischer Absicht handelnder Benutzer des Systems könnte bei der soeben beschriebene Anmeldeprozedur versuchen, einen von der Bank unterschriebenen anonymen Schlüssel zu erhalten, der nicht seine Identität enthält. Damit könnte er einige Mal eine Münze mehr als einmal verwenden, bevor die Bank seinen anonymen Schlüssel sperrt. Da jedoch dieser Schlüssel seine Identität nicht enthalten würde, kann die Bank natürlich keine weiteren Schritte gegen den Betrüger unternehmen. Aus diesem Grund verlangt die Bank, daß der Kunde t_A Schlüssel erzeugt. Da von diesen Schlüsseln nur von einem nicht die Beschaffenheit überprüft wird, hat der Betrüger nur eine verschwindend kleine Chance von 1/t_A, daß er sein Ziel erreicht. Da der Betrüger außerdem seine Adresse angeben muß (gibt er eine falsche an, so erhält er ja nicht den Aktivierungspin), kann er diesen Anmeldungsschritt nicht ohne Probleme beliebig oft wiederholen.A fraudulently acting user of the system, in the just-described logon procedure, could try to obtain an anonymous key signed by the bank that does not contain his identity. He could use a coin several times more than once before the bank blocks his anonymous key. However, since this key would not contain his identity, the bank can of course take no further action against the fraudster. For this reason, the bank requests that the customer generate t _A key. Since only one of these keys does not check the condition, the cheater has only a tiny chance of 1 / t _A to reach his goal. Since the fraudster must also specify his address (he gives a wrong, so he does not get the activation pin), he can not repeat this registration step as often as you like.

Schritt Zwei: Erwerb einer digitalen MünzeStep Two: Acquisition of a digital coin

Nachfolgend wird der Erwerb einer Münze beschrieben. Dabei wird davon ausgegangen, daß ein Kunde die Münze erwirbt.following the purchase of a coin is described. It is assumed that a customer buys the coin.

Der Kunde muß, damit er bezahlen kann, zunächst die digitalen Münzen bei der Bank erwerben. Der Kunde will dies jedoch anonym durchführen. Dafür gibt es folgende Möglichkeiten:Of the Customer must, so that he can pay, first the digital coins to buy at the bank. However, the customer wants to do this anonymously. Therefore there is the following possibilities:

In einer ersten Variante erwirbt der Kunde in einem Ladengeschäft eine Einmalmünzerwerbspin M_P entsprechend dem bezahlten Geldwert. Die Einmalmünzerwerbspin M_P liegt beispielsweise in Form einer Rubbelkarte vor, analog der Lösung, die auch für Mobiltelefone mit Prepaid-Karten eingesetzt wird. Die Anonymität des Kunden bleibt dabei gewahrt.In a first variant, the customer acquires a one-time coin acquisition point M _P in a shop in accordance with the paid monetary value. The disposable coin acquisition pin M _P is, for example, in the form of a scratch card, analogous to the solution that is also used for mobile phones with prepaid cards. The anonymity of the customer is maintained.

In einer zweiten Variante erwirbt der Kunde Einmalmünzerwerbspins direkt bei der Bank. Hierfür wählt die Benutzersoftware des Kunden automatisch k zufällige Zahlen M''_Pi. Dabei entspricht k der Anzahl der Münzen, die der Kunde erwerben will und i gibt jeweils den Wert der gewünschten Münze an, z.B. 1 EUR, 2 EUR usw. Anschließend verschlüsselt die Benutzersoftware des Kunden automatisch diese Zahlen M''_Pi für eine blinde Signatur mit dem Bankschlüssel (diese neuen verschlüsselten Werte werden als M'''_Pi bezeichnet) und sendet diese zu dem Bankrechner. Der Kunde überweist des weiteren den entsprechenden Geldbetrag an die Bank. Wenn die Bank das Geld erhalten hat, so signiert die Banksoftware die Daten mit dem Schlüssel S_Bi der Bank und schickt die Werte M'Pi = SBi(M'''Pi)an den Kundenrechner zurück. Die Benutzersoftware öffnet nun die blinde Signatur durch entschlüsseln der Werte M'_Pi und erhält so die Signatur für die Werte M''_Pi. Der Kunde besitzt jetzt mit anderen Worten k Werte M_Pi.In a second variant, the customer buys one-time coin acquisition pins directly from the bank. For this, the customer's user software automatically selects k random numbers M '' _pi . Where k is the number of coins the customer wants to buy, and i is the value of the desired coin, eg 1 EUR, 2 EUR, etc. Then the customer software automatically encrypts these numbers M '' _Pi for a blind signature the bank key (these new encrypted values are referred to as M ''' _Pi ) and sends them to the bank computer. The customer also transfers the corresponding amount of money to the bank. When the bank has received the money, the bank software signs the data with the key S _{Bi of} the bank and sends the values M ' pi = S Bi (M ''' pi ) back to the customer's computer. The user software now opens the blind signature by decrypting the values M ' _Pi and thus obtains the signature for the values M'' _Pi . In other words, the customer now has k values M _Pi .

In beiden Varianten erhält der Kunde anonyme Einmalmünzerwerbpins. Im zweiten Fall, also dem anonymen Erwerb über das Internet, besteht die Einmalmünzerwerbpin jedoch aus zwei Werten (M_Pi und M''_Pi). Dabei ist M''_Pi eine von der Benutzersoftware zufällig gewählte Zahl und M_Pi die Signatur der Bank für die Werte M''_Pi. Im ersten Fall wird die Anonymität durch den nicht nachverfolgbaren Bargeldeinkauf, im zweiten Fall durch die blinde Signatur der Bank gewährleistet.In both variants, the customer receives anonymous one-time coin acquisition pins. In the second case, ie the anonymous acquisition over the Internet, the one-time coin acquisition pin consists of two values (M _Pi and M '' _Pi ). Here M '' _{Pi is} a randomly chosen by the user software number and M _{Pi is} the signature of the bank for the values M '' _Pi . In the first case, the anonymity is ensured by the non-traceable cash purchase, in the second case by the blind signature of the bank.

Nach diesem vorgeschalteten, die Anonymität sicherstellenden Schritt kann der Kunde nun seine anonyme Münze erwerben. Dazu geht er wie folgt vor:
Die Benutzersoftware des Kunden wählt automatisch zufällig k Zahlen M_IDj, 1 ≤ j ≤ k. Sie sendet diese Zahlen, den anonymen Schlüssel U_AS des Kunden sowie die Werte M_Pi zu dem Bankrechner. Die Banksoftware prüft nun automatisch den anonymen Benutzerschlüssel U_AS dahingehend, ob die bankeigene Signatur S_BS enthalten ist. Darüber hinaus prüft die Banksoftware automatisch, ob die Werte M_Pi oder ({M''_Pi, M_Pi}) gültige Einmalmünzerwerbpins für diese Münzen sind. Im Fall des Erwerbs der Einmalmünzerwerbpins in einem Ladengeschäft prüft die Banksoftware, ob die Einmalmünzerwerbpins in einer von der Bank entsprechend vorgehaltenen Datenbank enthalten sind. Im Fall, das die Einmalmünzerwerbpins bei der Bank erworben wurden, prüft die Banksoftware ob die berechnete bankeigene Unterschrift M_Pi für den Wert M''_Pi gültig ist.After this step, which ensures anonymity, the customer can now buy his anonymous coin. To do this, he proceeds as follows:
The customer's customer software automatically randomly chooses k numbers M _IDj , 1 ≤ j ≤ k. It sends these numbers, the customer's anonymous key U _AS and the values M _Pi to the bank computer. The Banksoftwa re automatically checks the anonymous user key U _{AS as} to whether the bank-specific signature S _{BS is} contained. In addition, the bank software automatically checks if the values M _Pi or ({M " _Pi , M _Pi }) are valid one-time coin acquisition pins for these coins. In the case of the purchase of the one-time coin acquisition pins in a retail store, the bank software checks whether the one-time coin acquisition pins are contained in a database held accordingly by the bank. In the case where the one-time coin acquisition pins were purchased from the bank, the bank software checks if the calculated bank-own signature M _Pi is valid for the value M " _Pi .

Nach erfolgreicher Prüfung unterschreibt die Banksoftware mit dem Schlüssel für den jeweiligen Münzwert: MSj = SBi(MIDj||UAS)für 1 ≤ j ≤ k und schickt die Münzunterschriften an den Kundenrechner. Danach speichert sie die Einmalmünzerwerbpins als bereits verwendet ab.After a successful check, the bank software signs with the key for the respective coin value: M sj = S Bi (M ID j || U AS ) for 1 ≤ j ≤ k and sends the coin signatures to the customer's computer. Thereafter, she saves the one-time coin acquisition pins as already used.

Der Kunde besitzt nun seine anonymen digitalen Münzen. Diese enthalten folgendes:
M_ID: Eine zufällige Münz-Identifikation, die lang genug sein muß, daß sie kein zweites Mal gewählt werden kann, z.B. 128 Bit. Diese wird von der Banksoftware beim Einlösen der Münze in einer entsprechenden Datenbank abgespeichert, um sofort erkennen zu können, daß eine Münze bereits einmal eingelöst wurde.
U_AS: Der anonyme Schlüssel des Benutzers. Dieser muß in der Münze enthalten sein, damit der Benutzer gezwungen ist, diesen Schlüssel auch beim Kauf zu verwenden. Unterschreibt der Benutzer nämlich zwei Mal dieselbe Münze, so wird seine Identität dadurch der Bank bekannt gegeben.
M_S: Die Unterschrift der Bank. Diese dient dem Verkäufer später dazu, die Münze zu verifizieren.The customer now owns his anonymous digital coins. These contain the following:
M _ID : A random coin identification that must be long enough that it can not be dialed a second time, eg 128 bits. This is stored by the bank software when redeeming the coin in a corresponding database to immediately recognize that a coin has already been redeemed.
U _AS : The user's anonymous key. This must be included in the coin, so that the user is forced to use this key when buying. If the user signs the same coin twice, his identity is thereby communicated to the bank.
M _S : the signature of the bank. This later serves the seller to verify the coin.

Ein Kunde, der in diesem Teil des Protokolls betrügen möchte, kann lediglich versuchen, durch Diebstahl in einem Ladengeschäft eine gültige Einmalmünzerwerbpin zu erhalten. Da jedoch Diebstahl bei anderen Artikeln weitaus lukrativer ist, kann davon ausgegangen werden, daß dies eher die Ausnahme sein wird.One Customer who wants to cheat in this part of the protocol can just try by stealing in a store a valid one-time coin acquisition pin to obtain. However, theft on other items is far more lucrative is, it can be assumed that this would rather be the exception becomes.

Schritt Drei: Kauf von Online-DatenStep Three: Buying from Online data

In diesem Teil des Protokolls verkauft ein Verkäufer, bspw. ein Internethändler, einem Kunden beliebige Daten (z.B. Musikdateien, Online-Zeitungsartikel, Zugangspaßwörter ...). Da beide Parteien praktisch anonym sind, muß in diesem Schritt ein besonders großer Wert auf hohe Sicherheit gelegt werden. Sowohl der Verkäufer als auch der Kunde können an verschiedenen Stellen des Protokolls versuchen, zu betrügen (z.B. der Kunde zahlt, erhält aber nicht die Gegenleistung etc. Diese Möglichkeiten werden anschließend näher erläutert. Zunächst wird jedoch das Verfahren beschriebenIn In this part of the report, a seller, for example an internet trader, sells a Customers any data (e.g., music files, online newspaper articles, Access passwords ...). Since both parties are practically anonymous, a step must be taken in this step greater Value to be placed on high security. Both the seller as also the customer can at various points of the protocol try to cheat (e.g. the customer pays, receives but not the consideration etc. These possibilities will be explained in more detail. At first, however the method described

Der Verkäufer muß, nachdem er sich – wie der Kunde – bei der Bank angemeldet hat, zwei Arten von Vorbereitungshandlungen vornehmen. Zum einen muß der Verkäufer alle zum Download gestellten kostenpflichtigen Dateien mit einem jeweils zufällig gewählten Schlüssel A_K verschlüsseln. Dies erfolgt vorzugsweise mit Hilfe einer Sonderfunktion der Benutzersoftware des Verkäufers. Zum anderen muß er zu den von ihm angebotenen Dateien eine exakte Artikelbeschreibung A_ID im Internet veröffentlichen. Auch hierfür weist die Benutzersoftware eine entsprechende Funktionalität auf. Die Artikelbeschreibung A_ID umfaßt dabei neben einer exakten Kurzbeschreibung der Datei auch ein Identifikationsmerkmal nach Art eines digitalen Fingerabdrucks, der von einer kryptographisch sicheren „Hash-Funktion" erstellt werden muss. Des weiteren wird in der Artikelbeschreibung auch der Preis der Datei abgespeichert.The seller, after having registered with the bank, like the customer, must make two types of preparatory actions. On the one hand, the vendor must encrypt all paid files to be downloaded using a randomly selected key A _K. This is preferably done by means of a special function of the user software of the seller. On the other hand, he must publish an exact article description A _ID on the Internet for the files offered by him. Again, the user software has a corresponding functionality. In addition to an exact brief description of the file, the item description A _ID also includes an identification feature in the manner of a digital fingerprint, which must be created by a cryptographically secure "hash function." The item description also stores the price of the file.

Der zuvor erstellte Fingerabdruck dient dazu sicherzustellen, daß der Verkäufer im Falle eines Dateiverkaufs genau die Datei dem Kunden übergibt bzw. bereitstellt, die dieser zuvor ausgewählt hat. Der Verkäufer kann also während einer Transaktion die vom Kunden gewünschte Datei nicht mehr durch eine andere ersetzen.Of the previously created fingerprint is used to ensure that the seller in the Case of a file sale, transfer the file to the customer or which it has previously selected. The seller can so while a transaction the file requested by the customer no longer replace another.

Vorteilhafterweise ist die Artikelbeschreibung A_ID gemeinsam mit der jeweiligen Datei auf einer gemeinsamen Internetseite abgelegt.Advantageously, the item description A _{ID is} stored together with the respective file on a common Internet page.

Sind diese Vorbereitungshandlungen getroffen, kann der Kunde einkaufen. Hierzu wählt er in einen Artikel aus (beispielsweise durch Mausklick auf einer hierfür vorgesehenen Internetseite). Vorzugsweise vollautomatisch erkennt die Benutzersoftware des Kunden, daß eine Bezahltransaktion gewünscht wird und sendet dem Verkäuferrechner die Artikelbeschreibung A_ID, die digitale Münze M des Kunden und dessen anonymen (öffentlichen) Schlüssel U_A zu. Sollte der Kunde keine passenden Münzen besitzen, so wählt die Benutzersoftware automatisch eine Summe passender Münzen aus und führt die unten angegeben Schritte parallel für jede zu übertragene Münze aus. Parallel bedeutet dabei, dass alle Schritte gleichzeitig ausgeführt werden, z.B. wenn die Benutzersoftware für eine Münze einen Bestätigungswert übertragen soll, so überträgt sie für alle Münzen jeweils den berechneten Bestätigungswert.Once these preparatory actions have been taken, the customer can shop. For this purpose, he selects in an article (for example, by clicking on a designated Internet page). Preferably, fully automatic recognizes the user software of the customer that a payment transaction is desired and sends the seller calculator article description A _ID , the digital coin M of the customer and its anonymous (public) key U _A. If the customer does not have matching coins, the user software automatically selects a sum of matching coins and executes the steps given below in parallel for each coin to be transferred. Parallel means that all steps are executed simultaneously, eg if the user software is to transmit a confirmation value for a coin, it transmits the calculated confirmation value for all coins.

Die Benutzersoftware des Verkäufers prüft nun automatisch, ob die Münze M bis jetzt von allen Parteien richtig unterschrieben wurde. Jede Münze ist in jedem Fall bereits einmal von der Bank unterschrieben worden. Falls die Münze von einem Verkäufer wieder erneut für einen Einkauf eingesetzt wird, so ergänzt sich die Münze bei jeder Transaktion zusätzlich um eine weitere Unterschrift. Diese Unterschriften werden, falls vorhanden, von der Benutzersoftware automatisch überprüft, da sonst mehrere Verkäufer und Käufer zusammenarbeiten könnten, um einen anderen Benutzer des Bezahlsystems zu betrügen.The seller's user software now automatically checks to see if coin M has been properly signed by all parties. Each coin has already been signed by the bank in each case. If the coin is from a Ver Buyer is again used for a purchase, so complemented the coin for each transaction in addition to another signature. These signatures, if any, are automatically checked by the user software, otherwise multiple sellers and buyers could work together to cheat another user of the payment system.

Darüber hinaus prüft die Benutzersoftware des Verkäufers, ob der Verkäufer einen Artikel mit der vom Kunden angegeben Artikelbeschreibung A_ID führt.In addition, the seller's user software checks to see if the seller is tracking an item with the item description A _ID specified by the customer.

Schließlich überprüft die Benutzersoftware des Verkäufers, ob der anonyme Schlüssel U_A des Kunden gültig und von der Bank noch nicht widerrufen wurde (dies geschieht, wenn eine betrügerische Aktion mit diesem durchgeführt wurde).Finally, the seller's user software verifies that the client's anonymous key U _{A has been} valid and has not been revoked by the bank (this happens when a fraudulent action has been taken with it).

Wurden diese Prüfungen erfolgreich abgeschlossen, berechnet die Benutzersoftware des Verkäufers einen Bestätigungswert CV1 = SVn(AID||M||UA) und schickt diesen Bestätigungswert an den Kundenrechner. Hierbei beschreibt V_N den nichtanonymen öffentlichen Schlüssel des Verkäufers (oben allgemein mit U_N bezeichnet). S_Vn beschreibt dabei, daß die der Wert in der Klammer mit dem privaten Schlüsselteil des nicht anonymen Schlüssels des Verkäufers unterschrieben wird.If these checks have been completed successfully, the seller's user software calculates a confirmation value C V1 = S Vn (A ID || M || U A ) and sends this confirmation value to the customer's computer. Here, V _N describes the seller's non-anonymous public key (generally referred to as U _N above). S _Vn describes that the value in parenthesis is signed with the private key part of the non-anonymous key of the seller.

Darüber hinaus übermittelt die Benutzersoftware des Verkäufers dem Kundenrechner den anonymen Schlüssel des Verkäufers (in diesem Protokollteil V_A genannt) sowie eine zufällige Zahl r, die weiter unten näher erläutert wird.In addition, the seller's user software transmits to the customer's computer the seller's anonymous key (called V _A in this protocol part) and a random number r, which will be discussed further below.

Die Benutzersoftware des Kunden prüft, ob der Bestätigungswert C_V1 korrekt berechnet wurde. Hierzu prüft sie sowohl die Unterschrift S_VN, als auch den an die Benutzersoftware des Kunden zurück übermittelten Inhalt A_ID, M und U_A auf Übereinstimmung mit den ursprünglichen Werten. Darüber hinaus prüft die Benutzersoftware des Kunden, ob der anonyme Verkäuferschlüssel V_A nicht bereits durch die Bank widerrufen wurde.The user software of the customer checks whether the confirmation value C _{V1 was} calculated correctly. For this purpose, it checks both the signature S _VN and the content A _ID , M and U _A returned to the user software of the customer for conformity with the original values. In addition, the customer's user software checks to see if the anonymous vendor key V _{A has} not already been revoked by the bank.

Anschließend unterschreibt die Benutzersoftware des Kunden mit dem anonymen Schlüssel K_A des Kunden (oben allgemein mit U_A bezeichnet) und erhält MKS = SKa(M||VA) sowie M'ID = Sr Ka(M) Subsequently, the user software of the customer signs with the customer's anonymous key K _A (generally referred to as U _A above) and receives M KS = S ka (M || V A ) such as M ' ID = S r ka (M)

Dabei ist M_KS die Signatur der Münze, die den Schlüssel des Verkäufers an diese bindet. M'_ID stellt die von der Benutzersoftware des Kunden signierte Münze dar und ermöglicht der Bank bei zweifacher Bezahlung (mit der gleichen Münze), die Identität des Kunden zu ermitteln. Da es sich dabei um eine spezielle im Text noch beschriebene Signatur handelt, wird in diesem Fall von der am Anfang festgelegten Notation (S_Ka(M)) abgewichen und statt dessen die in der Beschreibung dieses speziellen Signaturverfahrens verwendete Notation (S^r _Ka(M)) verwendet.Here, M _{KS is} the signature of the coin, which binds the key of the seller to this. M ' _ID represents the coin signed by the customer's user software and allows the bank to identify the identity of the customer by paying twice (using the same coin). Since this is a special signature that is still described in the text, in this case, the notation (S _Ka (M)) specified at the beginning is deviated, and instead the notation (S ^r _Ka (M) used in the description of this special signature method is used )).

Die Benutzersoftware des Kunden verschlüsselt außerdem E_B(M_KS||M'_ID) und signiert diesen Wert mit dem anonymen Schlüssel K_a des Kunden. Dabei bezeichnet E_B, dass die Werte in der Klammer mit dem öffentlichen Bankschlüssel B verschlüsselt werden. Anschließend wird dieses Wertepaar durch die Benutzersoftware des Kunden als Bestätigung C1 = {EB(MKS||M'ID),SKa(EB(MKS||M'ID))an den Verkäuferrechner übermittelt. Es sei angemerkt, daß K_a den Schlüssel des Käufers bezeichnet und S_Ka(x) bedeutet, daß der Wert x mit dem privaten Schlüsselteil des Schlüssels K_a unterschrieben wird.The customer's software also encrypts E _B (M _KS || M ' _ID ) and signs this value with the customer's anonymous key K _a . E _B denotes that the values in the bracket are encrypted with the public bank key B. Subsequently, this value pair by the user software of the customer as confirmation C 1 = {E B (M KS || M ' ID ), S ka (e B (M KS || M ' ID )) sent to the seller computer. It should be noted that K _a denotes the key of the buyer and S _Ka (x) means that the value x is signed with the private key part of the key K _a .

Der Verkäufer kann den Inhalt der Bestätigung C₁ jedoch noch nicht nutzen, da C₁ mit dem Bankschlüssel B verschlüsselt ist. Die Benutzersoftware des Verkäufers prüft, ob die Unterschrift S_Ka(E_B(M_KS||M'_ID)) gültig ist. Sie berechnet außerdem die Bestätigung C2 = {EB(AK||AID),SVn(EB(AK||AID))und sendet diese Bestätigung wiederum an den Kundenrechner.However, the seller can not yet use the contents of the acknowledgment C ₁ because C ₁ is encrypted with the bank key B. The seller's user software checks to see if the signature S _Ka (E _B (M _KS || M ' _ID )) is valid. It also calculates the confirmation C 2 = {E B (A K A || ID ), S Vn (e B (A K A || ID )) and in turn sends this confirmation to the customer's computer.

Die Benutzersoftware des Kunden prüft nun ihrerseits die Händlersignatur S_Vn von C₂. Ist diese gültig, so unterschreibt sie die Bestätigung und gibt diesen Wert S_Ka(C₂) an den Verkäuferrechner zurück, zusammen mit M_KS, M'_ID und S_Ka(M_KS||M'_ID)The user software of the customer checks in turn the dealer signature S _Vn of C ₂ . If this is valid, it will sign the acknowledgment and return this value S _Ka (C ₂ ) to the seller computer, together with M _KS , M ' _ID and S _Ka (M _KS || M' _ID )

Die Benutzersoftware des Verkäufers überprüft diese Werte und übermittelt dem Kundenrechner im Gegenzug das zur Entschlüsselung der gekauften Datei erforderliche Paßwort A_K. Damit hat der Kunde den Artikel erworben. Er kann nun das Paßwort verwenden, um die bereits herunter geladene Datei anzuzeigen. Vorzugsweise wird hierzu die Datei automatisch mit Hilfe des von der Benutzersoftware des Kunden bereitgestellten Paßwortes entschlüsselt. Der Verkäufer ist im Besitz der digitalen Münze, die nun folgende Form aufweist Mneu = {M, VA, MKS, M'ID}. The seller's user software checks these values and, in return, transmits the password A _K required for decrypting the purchased file to the customer's computer. With this the customer has purchased the article. He can now use the password to display the already downloaded file. For this purpose, the file is preferably decrypted automatically with the aid of the password provided by the customer's user software. The seller owns the digital coin, which now has the following form M New = {M, V A , M KS 'M' ID }.

Dabei ist der anonyme Schlüssel des Verkäufers an die Münze gebunden.there is the anonymous key of the seller to the coin bound.

Diese Münze kann der Verkäufer mit Hilfe seiner Benutzersoftware an den Bankrechner übermitteln und gegen reelles Geld zurücktauschen, wie weiter unten beschrieben wird. Selbstverständlich ist es jedoch ebenfalls denkbar, daß der Verkäufer die Münze weiterverwendet, um nun seinerseits einen Artikel zu bezahlen.These Coin can the seller with the help of his user software to the bank computer and swap it for real money, as described below. Of course it is, too conceivable that the Seller the coin used to pay an article in turn.

Einige mögliche Attacken für diesen Protokollteil werden nachfolgend diskutiert. Es wird außerdem angegeben, wie der Betroffene und die Bank sich jeweils zu verhalten hat.Some possible Attacks for this protocol section will be discussed below. It is also stated how the person affected and the bank has to behave in each case.

In dem Fall, daß der Verkäufer die Transaktion nach Erhalt der digitalen Münze beendet, ohne dem Kundenrechner das Paßwort A_K zu übergeben, wendet sich der Kunde an die Bank und übermittelt dem Bankrechner die Werte C₁, C₂, S_Vn(C₁), S_Vn(A_ID||M||K_A), M, V_N und A_ID sowie seinen eigenen anonymen Schlüssel K_A. Hierfür kann die Benutzersoftware des Kunden eine entsprechende Sonderfunktion aufweisen. Die Banksoftware prüft alle Werte und entschlüsselt, falls alle fehlerfrei berechnet wurden, dem Kunden das Dateipaßwort A_K aus C₂ und übermittelt es an den Kundenrechner. Da der Verkäufer sein Geld bereits erhalten hat, wovon der Kunde die Bank mit den übermittelten Werten überzeugen kann, kann die Bank auch das Dateipaßwort für den Kunden entschlüsseln.In the event that the seller terminates the transaction after receipt of the digital coin without handing over the password A _K to the customer's computer, the customer turns to the bank and transmits to the banker the values C ₁ , C ₂ , S _Vn (C ₁ ), S _Vn (A _ID || M || K _A ), M, V _N and A _ID and its own anonymous key K _A. For this purpose, the user software of the customer can have a corresponding special function. The bank software checks all values and decrypts, if all were calculated error-free, the customer the file password A _K from C ₂ and transmits it to the customer computer. Since the seller has already received his money, from which the customer can convince the bank with the transmitted values, the bank can also decrypt the file password for the customer.

In dem Fall, daß der Kunde die Transaktion beendet, nachdem der Verkäufer ihm C₂ übersandt hat, und der Kunde zugleich behauptet, daß er bezahlt, jedoch keine Ware erhalten habe, muß der Kunde dem Bankrechner V_A, M, M_KS, M'_ID, K_A sowie C₁ und C₂ übermitteln. Auch hierfür kann die Benutzersoftware des Kunden eine entsprechende Sonderfunktion aufweisen. Die Banksoftware prüft die Münze M und M_KS sowie M'_ID. Sind diese gültig, so verschlüsselt sie mit dem anonymen öffentlichen Schlüssel des Verkäufers diese Werte und hinterlegt sie dem Verkäufer zum Download auf einer hierfür vorgesehenen Internetseite. Außerdem entschlüsselt die Banksoftware dem Kunden das Dateipaßwort A_K aus C₂ und übermittelt es dem Kundenrechner. Somit erhält der Verkäufer trotz allem sein Geld und auch der Kunde die Ware, trotzdem er diese ursprünglich durch Betrug (ohne Bezahlung) erwerben wollte.In the event that the customer ends the transaction after the seller has sent him C ₂ , and the customer also claims that he has paid, but has not received any goods, the customer must the bank computer V _A , M, M _KS , M ' _ID , K _A and C ₁ and C ₂ submit. Again, the user software of the customer may have a corresponding special function. The bank software checks the coin M and M _KS and M ' _ID . If these are valid, they encrypt these values with the anonymous public key of the seller and deposit them with the seller for download on a dedicated website. In addition, the bank software decrypts the customer the file password A _K from C ₂ and transmits it to the customer's computer. Thus, despite everything, the seller receives his money and also the customer the goods, although he originally wanted to acquire them by fraud (without payment).

In einem weiteren Fall hat die Benutzersoftware des Kunden, beispielsweise aufgrund einer Manipulation, C₁ nicht korrekt berechnet. Die Benutzersoftware hat mit anderen Worten die Münzdaten nicht korrekt verschlüsselt, aber diesen falschen Wert trotz allem mit dem Schlüssel des Kunden unterschrieben (dies muß erfolgt sein oder die Benutzersoftware des Verkäufers hätte bei der Überprüfung der Unterschrift S_Ka(E_B(M_KS||M'_ID)) im nächsten Schritt die Transaktion beendet). Dennoch versucht sich der Kunde an die Bank zu wenden, um das Dateipaßwort A_K von dieser zu erhalten. In den beiden zuvor beschriebenen Fällen prüft die Banksoftware jeweils alle vom Kunden übertragenen Daten und stellt daher diese Manipulation sofort fest. Da der kriminelle Benutzer aber bereits seinen anonymen Schlüssel der Bank zugesendet hat, kann diese den betreffenden Schlüssel widerrufen. Die Banksoftware speichert den anonymen Schlüssel des Benutzers dazu auf ihrer Internetseite als widerrufen ab. Diese Liste muß von jedem Benutzer des Protokolls (Kunde oder Verkäufer) in regelmäßigen Abstand herunter geladen werden. Der Betrüger kann also in Zukunft keine Transaktion mehr durchführen, ohne sich erneut anzumelden. Besonders vorteilhaft ist es, wenn die Benutzersoftware zur Überprüfung der Liste mit widerrufenen Schlüsseln selbsttätig Kommunikationsverbindungen zum Bankrechner aufbaut und die im Kunden- oder Verkäuferrechner vorgehaltenen Daten aktualisiert. Selbstverständlich ist es ebenfalls möglich, daß diese Abfrage durch die Benutzersoftware stets transaktionsaktuell durchgeführt wird.In another case, the user software of the customer, for example, due to a manipulation, C _{1 has} not calculated correctly. In other words, the user software did not encrypt the coin data correctly, but signed the wrong value despite everything with the customer's key (this must have been done or the seller's user software would have checked the signature S _Ka (E _B (M _KS || M ' _ID )) in the next step, the transaction ends). Nevertheless, the customer tries to contact the bank to get the file password A _K from this. In the two cases described above, the bank software checks all data transmitted by the customer and therefore determines this manipulation immediately. However, as the criminal user has already sent his anonymous key to the bank, it can revoke the relevant key. The bank software stores the user's anonymous key as revoked on their website. This list must be downloaded by each user of the protocol (customer or seller) at regular intervals. The cheater can therefore no longer carry out a transaction in the future without logging in again. It is particularly advantageous if the user software automatically establishes communication links to the bank computer for checking the list of revoked keys and updates the data stored in the customer or vendor computer. Of course, it is also possible that this query is always carried out by the user software transactional.

In einem weiteren Betrugsfall hat schließlich der Verkäufer, beispielsweise mit Hilfe einer manipulierten Benutzersoftware, dem Kunden ein falsches Dateipaßwort übergeben. Der Kunde wendet sich an die Bank und übermittelt dem Bankrechner mit Hilfe seiner Benutzersoftware sowohl die verschlüsselte Datei als auch A_K, C₂, V_N, K_A und S_Vn (A_K||K_A). Die Banksoftware prüft alle übermittelten Daten auf ihre Gültigkeit. Anschließend entschlüsselt sie das Dateipaßwort A_K aus C₂ und testet dieses an der vom Kunden der Bank zugeschickten Datei. Falls dieser Test erfolgreich ist, übermittelt die Banksoftware dem Kundenrechner das funktionierende Paßwort. Ist der Test jedoch nicht erfolgreich, so ist sofort ersichtlich, daß der Verkäufer den Kunden betrügen wollte. Aus diesem Grund wird sein nicht anonymer Schlüssel widerrufen. Eine weitere Benachrichtigung des Verkäufers durch die Bank ist nicht notwendig, da mit der Originalsoftware der Bank vom beschriebenen Protokoll nicht abgewichen werden kann. Aus diesem Grund muß der Verkäufer ein Betrüger sein.Finally, in another fraud case, the seller, for example with the help of a manipulated user software, has given the customer an incorrect file password. The customer turns to the bank and transmits the encrypted file as well as A _K , C ₂ , V _N , K _A and S _Vn (A _K | K _A ) to the bank computer by means of his user software. The bank software checks all submitted data for their validity. Subsequently, it decrypts the file password A _K from C ₂ and tests it on the file sent by the customer of the bank. If this test is successful, the bank software transmits the working password to the customer's computer. However, if the test is not successful, it is immediately apparent that the seller wanted to cheat the customer. For this reason, his non-anonymous key is revoked. Further notification of the seller by the bank is not necessary as the original software of the bank can not be deviated from the described protocol. For that reason, the seller must be a cheater.

Dies ist eine Auswahl an verschiedenen Versuchen, den hier vorgestellten Bezahlmechanismus zu überlisten. Es würde den Rahmen dieser Beschreibung sprengen, weitere Möglichkeiten anzugeben. Es soll jedoch darauf hingewiesen werden, daß selbst im Betrugsfall die Anonymität erhalten bleiben kann, solange keine Partei entsprechende Schritte unternimmt. Des weiteren wird darauf hingewiesen, dass alle Fälle, die durch technisches Versagen (z.B. Zusammenbrechen der Internetverbindung während der Bezahlung) entstehen könnten (jedoch auch von einer Partei bewusst herbeigeführt werden können), sowohl für den Verkäufer als auch für den Käufer problemlos gelöst werden können. In diesen Fall bleibt die Anonymität erhalten.This is a selection of different attempts to outsmart the payment mechanism presented here. It would go beyond the scope of this description to state other possibilities. However, it should be noted that even in cases of fraud, anonymity can be maintained as long as no party takes appropriate action. It should also be noted that all cases that could result from technical failure (eg breakdown of the internet connection during payment) (but can also be deliberately brought about by one party) for both the seller and the buyer per can be solved without a problem. In this case, the anonymity is preserved.

Da mit diesem Geldtransferverfahren nur kleine Summen übertragen werden, ist der Schaden im Betrugsfall nicht sehr groß. Viele betrügerische Aktionen können außerdem ohne Schaden für alle Parteien einfach gelöst werden. Des Weiteren ist ein Betrug (z.B. zweifaches Bezahlen mit einer Münze) nur einmal (oder sehr wenige Male) möglich, bis die Bank dies entdeckt. Aus diesem Grund ist es vollkommen ausreichend, wenn die Bank den entsprechenden Kunden von diesem Dienst ausschließt. Rechtsfälle, in denen ein Kunde behauptet, ein Trojaner hätte sein Paßwort gestohlen usw., können so vermieden werden.There transfer only small sums of money with this money transfer procedure the damage in the case of fraud is not very great. Lots fraudulent actions can Furthermore without harm to all parties simply solved become. Furthermore, fraud (e.g., double payment with a coin) only once (or very few times) possible, until the bank discovers this. For that reason, it is perfectly sufficient if the bank excludes the corresponding customer from this service. Legal cases, in If a customer claims that a Trojan stole his password, etc., they can avoid it become.

Schritt Vier: Einlösen der Münze bei der BankStep Four: Redeem the Coin at the bank

Der Verkäufer möchte nach dem Verkauf die erhaltene digitale Münze seinem (echten) Konto gutschreiben aber dennoch bei diesem Schritt seine Anonymität bewahren. Dies wird im letzten Teil des Protokolls wie folgt bewerkstelligt.Of the Seller would like to after the sale, credit the received digital coin to his (real) account but still keep your anonymity at this step. This will last Part of the protocol accomplished as follows.

Die Banksoftware sendet dem Benutzerrechner zunächst eine zufällige Zahl r zu. Dieser Wert wird später bei der Beschreibung des speziellen Signaturverfahren näher erläutert.The Bank software first sends the user's computer a random number to. This value will be later explained in more detail in the description of the special signature method.

Die Benutzersoftware des Verkäufers (oder auch des Kunden, wenn dieser seine digitale Münze unbenutzt an die Bank zurückgeben will) wählt für jede einzulösende Münze eine zufällige Zahl G_j und verschlüsselt diese für eine blinde Signatur mit dem Bankschlüssel B_i, wobei i auch hier wieder für den Münzwert steht. Sie sendet diese verschlüsselten Werte G'_j und die dazugehörigen digitalen Münzen, sowie die Zahlen M'_ID = S^r _Ka(M) (dies ist wieder dieselbe spezielle Unterschrift, die bereits bei dem Verkauf einer Datei verwendet wurde) anschließend an den Bankrechner.The user software of the seller (or the customer, if he wants to return his digital coin unused to the bank) selects for each coin to be redeemed a random number G _j and encrypts this for a blind signature with the bank key B _i , where i again here stands for the coin value. It sends these encrypted values G ' _j and the associated digital coins, as well as the numbers M' _ID = S ^r _Ka (M) (this is again the same special signature that was already used when selling a file) then to the bank computer.

Die Banksoftware prüft, ob die Münzen gültig sind und ob dies das erste Mal ist, daß die Münzen eingelöst werden sollen. Für diese Prüfung speichert die Banksoftware bei jeder Münzeinlösung die Münz-Identifikation M_ID in einer dafür vorgesehenen Datenbank ab. Findet die Banksoftware dabei jedoch die Münz-Identifikation M_ID, so muss diese Münze bereits einmal bei der Bank eingelöst worden sein. Falls diese Prüfung erfolgreich verläuft, signiert die Banksoftware mit dem jeweiligen Schlüssel B_i die Zahlen G'_j und sendet diese Signaturen B_S (G'_j) diese dem Verkäufer- (bzw. Kunden-) rechner.The bank software checks whether the coins are valid and whether this is the first time that the coins are to be redeemed. For this check, the bank software stores the coin identification M _ID for each coin deposit in a dedicated database. However, if the bank software finds the coin identification M _ID , then this coin must have been redeemed once at the bank. If this check is successful, the bank software uses the respective key B _i to sign the numbers G ' _j and sends these signatures B _S (G' _j ) to the seller (or customer) computer.

Die Benutzersoftware entschlüsselt die Zahlen B_S (G'_j) (und erhält somit die Signatur B_S (G_j)), wartet eine Zeit lang und sendet dem Bankrechner die G_j mit der dazugehörigen Unterschrift B_S (G_j) sowie der Kontonummer des Benutzers. Die Wartezeit ist wichtig, da andernfalls die Banksoftware prüfen könnte, wer in den letzten Sekunden eine Münze eingelöst hat und daraus schließen könnte, welche Identität zu welchem anonymen Schlüssel gehört.The user software decrypts the numbers B _S (G ' _j ) (and thus obtains the signature B _S (G _j )), waits for a while and sends the bank computer G _j with the associated signature B _S (G _j ) and the account number the user. The wait time is important because otherwise the bank software could check who has cashed a coin in the last few seconds and could deduce which identity belongs to which anonymous key.

Die Banksoftware überprüft die Unterschriften der G_j und veranlaßt, daß auf das angegebene Konto der entsprechende Betrag überwiesen wird. Hierzu ist die Banksoftware vorzugsweise direkt mit den entsprechenden, bereits aus dem Stand der Technik bekannten Softwarelösungen für Banken verbunden. Außerdem werden die G_j-Werte durch die Banksoftware abgespeichert, damit sie kein zweites Mal verwendet werden können.The bank software checks the signatures of G _j and causes the appropriate amount to be transferred to the specified account. For this purpose, the bank software is preferably connected directly to the corresponding, already known from the prior art software solutions for banks. In addition, the G _j values are stored by the bank software so that they can not be used a second time.

Der Benutzer hat nun anstelle der digitalen Münzen wieder reelles Geld auf seinem Konto. Die Bank kann bei diesem Schritt eine Bearbeitungsgebühr verlangen. Vorzugsweise wird die Bearbeitungsgebühr automatisch vom Münzwert der eingelösten Münzen abgezogen (d.h. wird z.B. eine 1 Euro Münze eingelöst, so werden dem Kundenkonto nur z.B. 90 Cent gutgeschrieben)Of the User now has real money instead of digital coins his account. The bank may charge a processing fee at this step. Preferably, the processing fee is automatically calculated from the coin value of redeemed coins deducted (i.e., for example, a 1 euro coin is redeemed, so will the customer's account only e.g. 90 cents credited)

Für diesen Protokollteil sind keine Attacken bekannt, da alle Werte auf ihre Gültigkeit überprüft werden und diese nicht gefälscht werden können.For this Logs are not aware of any attacks because all the values are on theirs Validity to be checked and these are not fake can be.

Blinde SignaturBlind signature

Das Prinzip der blinden Signatur ist an sich bekannt und u.a. beschrieben in "Applied cryptography, second edition", Bruce Schneier, John Wiley & Son, Inc., 1996 sowie in "Handbook of applied cryptography", A. Menezes, P. van Oorschot, S. Vanstone, CRC Press, 1996.The Principle of the blind signature is known per se and u.a. described in "Applied cryptography, second edition ", Bruce Schneier, John Wiley & Son, Inc., 1996, as well as in Handbook of applied cryptography ", A. Menezes, P. van Oorschot, S. Vanstone, CRC Press, 1996.

Mit Hilfe dieser Signaturen ist es möglich, ein Dokument digital unterschreiben zu lassen, so daß der Signierende das Dokument nicht sieht. Dies ist ein wichtiger Bestandteil des erfindungsgemäßen Protokolls, um die Anonymität sicherzustellen. Zur Schlüsselerstellung wählt der Schlüsselinhaber (also die Person, die später mit diesem Schlüssel unterschreiben wird) zunächst zwei zufällige Primzahlen p und q und berechnet n = p·q sowie φ = (p – 1)·(q – 1). With the help of these signatures, it is possible to digitally sign a document so that the signer does not see the document. This is an important part of the protocol of the invention to ensure anonymity. For key generation, the key holder (ie the person who will later sign with this key) first selects two random primes p and q and calculates n = p · q as well φ = (p-1) · (q-1).

Anschließend wählt der Schlüsselinhaber eine zufällige Zahl e = ]2,φ[, so daß gilt ggT(e,φ) = 1 und berechnet d = e–1 Mod φ,wobei „ggT" den größten gemeinsamen Teiler bezeichnet. Der öffentliche Schlüssel besteht aus n und e, der private Schlüssel aus n und d. Zum Unterschreiben der Zahl m wählt derjenige, der etwas unterschrieben haben möchte zunächst eine zufällige Zahl v ∊ ]0;p[ und berechnet m' = m·ve Mod n. Then the keyholder chooses a random number e =] 2, φ [, so that gcT (e, φ) = 1 and calculates d = e -1 Mod φ, where "gcd" denotes the largest common divisor, the public key consists of n and e, the private key from n and d. To sign the number m, the person who wishes to sign something first chooses a random number v ∈] 0; p [and calculates m '= m · v e Mod n.

Dieser Schritt wurde in der vorliegenden Beschreibung wie folgt bezeichnet: einen Wert für eine blinde Signatur für den öffentlichen Schlüssel X (= {n, e} für dieses Verfahren) verschlüsseln. Derjenige, welcher die Unterschrift anfordert, speichert also, bis er die blinde Unterschrift zurückerhält den Wert v als Schlüssel für die blinde Signatur ab.This Step has been referred to in the present specification as follows: a value for a blind signature for the public key X (= {n, e} for encrypt this procedure). The one who requests the signature, so stores until he the blind signature gets the value back v as a key for the blind signature.

Diese Zahl m' schickt man dem Schlüsselinhaber, also dem, der der Unterschreiben soll, zum Signieren. Dieser Unterschrifteninhaber berechnet s' = m'd Mod nund schickt die Signatur zurück. Nun kann derjenige, welcher die Unterschrift angefordert hat, berechnen s = s'·v–1 Mod n. This number m 'is sent to the key holder, ie the one who is to sign, for signing. This signature owner calculates s '= m' d Mod n and send the signature back. Now the person who requested the signature can calculate s = s' · v -1 Mod n.

Dieser Schritt wurde in der vorliegenden Beschreibung als Entschlüsseln oder Öffnen der blinden Signatur bezeichnet.This Step was in the present description as decrypting or opening the blind signature.

Dies ist nun eine gültige Unterschrift für m. Zum Prüfen der Unterschrift prüft man, also jeder, der die Unterschrift prüfen möchte, ob se Mod n = m. This is now a valid signature for m. To check the signature, one checks, so anyone who wants to check the signature, whether s e Mod n = m.

Der spezielle anonyme BenutzerschlüsselOf the special anonymous user keys

Wird zweimal mit derselben digitalen Münze bezahlt, so soll die Identität des Benutzers offen gelegt werden. Das wird folgendermaßen bewerkstelligt:
Die Benutzersoftware wählt zunächst eine zufällige Primzahl p, so dass p – 1 auch einen großen Primfaktor q enthält. Anschließend wählt die Benutzersoftware eine zufällige Zahl r ∊ ]0;p[ und berechnet α = (rc(p–1)/q) Mod p. If you pay twice with the same digital coin, the identity of the user should be disclosed. This is done as follows:
The user software first selects a random prime number p, so that p - 1 also contains a large prime factor q. Then the user software selects a random number r ε] 0; p [and calculates α = (rc (P-1) / q ) Mod p.

Ist α = 0, wiederholt die Benutzersoftware diesen Schritt. Schließlich wählt die Benutzersoftware eine zufällige Zahl g ∊ ]0;q[ und eine Zahl h im selben Intervall, welche die Identität des Benutzers und einen zufälligen Anteil enthält, und berechnet y1 = αg Mod p sowie y2 = αh Mod p. If α = 0, the user software repeats this step. Finally, the user software selects a random number g ε] 0; q [and a number h in the same interval containing the identity of the user and a random fraction, and calculates y 1 = α G Mod p as well y 2 = α H Mod p.

P, α und q sind öffentliche Parameter, die alle Benutzer verwenden können. Der private Schlüssel besteht aus g und h, der öffentliche Schlüssel aus y₁ und y₂. Die Benutzersoftware wählt außerdem für jede Münze eine zufällige Zahl s ∊ ]0;q[ und berechnet U = αs Mod p. P, α and q are public parameters that all users can use. The private key consists of g and h, the public key of y ₁ and y ₂ . The user software also selects for each coin a random number s ε] 0; q [and calculates U = α s Mod p.

Diesen Wert (U) übergibt die Benutzersoftware vor jeder Transaktion oder jedem Münzerwerb der anderen Partei zusammen mit dem anonymen Schlüssel des Benutzers. Der Wert s muß von der Benutzersoftware weiter abgespeichert werden, da sonst die Münzsignatur M'_ID = S^r _Ka(M) nicht berechnet werden kann.This value (U) is provided by the user software prior to each transaction or coin acquisition of the other party together with the user's anonymous key. The value s must be further stored by the user software, otherwise the coin signature M ' _ID = S ^r _Ka (M) can not be calculated.

Die Benutzersoftware des Verkäufers übergibt nun bei der Übermittlung des anonymen Verkäuferschlüssels dem Kundenrechner eine zufällige Zahl r ∊ ]0;q[, wie oben bereits beschrieben. Damit kann die Benutzersoftware des Kunden nun die spezielle Signatur M'_ID = S^r _Ka(M) wie folgt berechnen M'ID = (M·g + r·h + s) Mod q. The seller's user software now hands over to the customer's computer a random number r ε] 0; q [as described above] when transmitting the anonymous vendor key. Thus, the user software of the customer can now calculate the special signature M ' _ID = S ^r _Ka (M) as follows M ' ID = (M * g + r * h + s) Mod q.

Die von der Benutzersoftware des Verkäufers übergebene Zahl r ist mit anderen Worten ein Bestandteil der Signatur und wird mit der Münze weitergegeben. Würde der Bestandteil r nicht verwendet werden, könnte man den privaten Schlüssel auch nach zweifachem Signieren nicht zurückberechnen.The number r passed from the seller's user software is with others Words a part of the signature and is passed on with the coin. Would the If you do not use the component, you could also use the private key do not recalculate twice.

Die Signatur kann folgendermaßen überprüft werden: αM'ID Mod p = y1 M·y2 r·U Mod p. The signature can be checked as follows: α M'ID Mod p = y 1 M · y 2 r · U Mod p.

Wenn diese Gleichung erfüllt wird, ist die Signatur gültig.If this equation is fulfilled is, the signature is valid.

Stellt nun die Banksoftware fest, daß mit einer Münze zweimal bezahlt wurde, so ermittelt sie den anonymen Schlüssel, mit dem diese Unterschrift doppelt berechnet wurde und erhält so das Gleichungssystem M'ID1 = (M·g + r1·h + s) Mod q und M'ID2 = (M·g + r2·h + s) Mod q. If the bank software then determines that a coin has been paid twice, it determines the anonymous key with which this signature was calculated twice and thus obtains the system of equations M ' ID1 = (M * g + r 1 · H + s) Mod q and M ' ID2 = (M * g + r 2 · H + s) Mod q.

Anschließend berechnet die Banksoftware M'ID1 – M'ID2 = (r1 – r2)·h Mod q. Subsequently, the bank software calculates M ' ID1 - M ' ID2 = (r 1 - r 2 ) · H Mod q.

Da alle Werte außer h bekannt sind, kann h, und damit die Identität des Kunden, problemlos berechnet werden.There all values except h, and thus the customer's identity, can be easily calculated become.

Claims

Method for payment in a computer network, especially the Internet, where digital value units with security features be provided and the anonymity of a user is maintained until a check of the Security features a scam is detected, being in this Case both the identity the cheating one User as well as a proof of the fraud attempt can be determined automatically.

Computer program for payment in a computer network, in particular user program, with program code means for oversight of digital value units with security features and with program code means to preserve the anonymity of a User until a security check a scam is detected.

Computer program for payment in a computer network, in particular bank program, with program code means for automatic Determination of identity a cheating one User as well as a proof of the fraud attempt.

Computer program product, with on a computer readable Medium stored program code means for providing digital Value units with security features and with on a computer readable Medium stored program code means to maintain the anonymity of a User when paying in a computer network until, when checking the Security features a scam is detected when the computer program product on a computer, especially on a customer or vendor computer, accomplished becomes.

Computer program product, with on a computer readable Medium stored program code means for automatic detection the identity a cheating one User when paying in a computer network as well as a proof of the fraud attempt, if the computer program product on a computer, in particular on a bank computer, executed becomes.

disk with program code means for providing digital value units with security features and with program code means to safeguard the anonymity of a user while paying in a computer network until, until at a review of the Security features a scam is detected.

disk with program code means for automatically determining the identity of a cheating User when paying in a computer network as well as a proof for the Attempted fraud.

Computer system, in particular bank computer trained for execution program code means for automatically determining the identity of a cheating user when paying in a computer network as well as a proof of the attempted fraud.

Computer system, in particular customer or vendor computer, designed for execution program code means for providing digital value units with security features and program code means to safeguard the anonymity of a User when paying in a computer network until, when checking the Security features a scam is detected.