DE102018009943A1 - Process for creating a blind signature - Google Patents

Process for creating a blind signature Download PDF

Info

Publication number
DE102018009943A1
DE102018009943A1 DE102018009943.2A DE102018009943A DE102018009943A1 DE 102018009943 A1 DE102018009943 A1 DE 102018009943A1 DE 102018009943 A DE102018009943 A DE 102018009943A DE 102018009943 A1 DE102018009943 A1 DE 102018009943A1
Authority
DE
Germany
Prior art keywords
emd
signature
generated
subscriber
publisher
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102018009943.2A
Other languages
German (de)
Inventor
Tilo Fritzhanns
Florian Gawlas
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient Advance52 GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Priority to DE102018009943.2A priority Critical patent/DE102018009943A1/en
Priority to PCT/EP2019/025438 priority patent/WO2020126078A1/en
Priority to EP19824235.6A priority patent/EP3899844A1/en
Publication of DE102018009943A1 publication Critical patent/DE102018009943A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/06Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
    • G06Q20/065Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash
    • G06Q20/0658Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash e-cash managed locally
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/22Payment schemes or models
    • G06Q20/29Payment schemes or models characterised by micropayments
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3678Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes e-cash details, e.g. blinded, divisible or detecting double spending
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • G06Q20/38215Use of certificates or encrypted proofs of transaction rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/383Anonymous user system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3257Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using blind signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce

Abstract

Die Erfindung betrifft ein Verfahren zum Erzeugen einer blinden Signatur für einen elektronischen Münzdatensatz, eMD, mit den Verfahrensschritten: Erhalten eines unsignierten verblendeten eMD von einem Teilnehmer bei einem Signatur-Herausgeber; Erweitern des unsignierten verblendeten eMD mit einer Herausgeberinformation durch den Signatur-Herausgeber zum Erhalten eines erweiterten unsignierten eMD; Signieren des erweiterten unsignierten eMD unter Verwendung einer herausgebergenerierten Zufallszahl und eines geheimen Schlüssels des Signatur-Herausgebers zum Erhalten eines erweiterten signierten verblendeten eMD; und Senden des erweiterten signierten verblendeten eMD und der Herausgeberinformation an den Teilnehmer. Die Erfindung betrifft auch Verfahren zum Überprüfen der erzeugten und/oder erhaltenen blinden Signatur. Weiterhin betrifft die Erfindung ein Bezahlsystem zum Übertragen eines elektronischen Münzdatensatzes zwischen zumindest zwei Teilnehmern.The invention relates to a method for generating a blind signature for an electronic coin data record, eMD, with the method steps: receiving an unsigned, blinded eMD from a subscriber at a signature issuer; Expanding the unsigned, blinded eMD with a publisher information by the signature publisher to obtain an expanded unsigned eMD; Signing the expanded unsigned eMD using a publisher-generated random number and a secret key of the signature publisher to obtain an expanded signed, blinded eMD; and sending the expanded signed blinded eMD and publisher information to the subscriber. The invention also relates to methods for checking the generated and / or received blind signature. Furthermore, the invention relates to a payment system for transmitting an electronic coin data record between at least two participants.

Description

TECHNISCHES GEBIET DER ERFINDUNGTECHNICAL FIELD OF THE INVENTION

Die Erfindung betrifft ein Verfahren zum Erzeugen einer blinden Signatur für einen elektronischen Münzdatensatz, eMD. Die Erfindung betrifft auch ein Verfahren zum Erhalten einer blinden Signatur in einem Teilnehmer. Die Erfindung betrifft auch ein Verfahren zum Ableiten eines geldwerten Teilbetrags von einer bereits blind signierten eMD durch einen Teilnehmer. Die Erfindung betrifft auch mehrere Verfahren zum Überprüfen der erzeugten/erhaltenen blinden Signatur. Weiterhin betrifft die Erfindung ein Bezahlsystem zum Übertragen eines elektronischen Münzdatensatzes zwischen zumindest zwei Teilnehmern.The invention relates to a method for generating a blind signature for an electronic coin data record, eMD . The invention also relates to a method for obtaining a blind signature in a subscriber. The invention also relates to a method for deriving a partial monetary amount from an already blindly signed one eMD by a participant. The invention also relates to several methods for checking the blind signature generated / obtained. Furthermore, the invention relates to a payment system for transmitting an electronic coin data record between at least two participants.

TECHNISCHER HINTERGRUND DER ERFINDUNGTECHNICAL BACKGROUND OF THE INVENTION

Zum anonymisierten Austauschen elektronischer Münzdatensätze auf Basis von sogenannten blinden Signaturen gibt es das Verfahren „DigiCash“. Ein Prinzip, dass dem „DigiCash“ Verfahren mit blinden Signaturen ähnelt, ist in 1 dargestellt.The "DigiCash" process is available for the anonymous exchange of electronic coin data records based on so-called blind signatures. A principle that is similar to the "DigiCash" process with blind signatures is in 1 shown.

Blinde digitale Signaturen können beispielsweise über einen Elliptic Curve Digital Signature Algorithm, ECDSA, erzeugt werden, einer Variante des Digitalen Signatur Algorithmus, DSA, in welcher eine Elliptische-Kurven-Kryptographie angewendet wird. Ein ECDSA ist beispielsweise in 2 dargestellt.Blind digital signatures can be generated, for example, using an elliptic curve digital signature algorithm, ECDSA, a variant of the digital signature algorithm, DSA, in which elliptic curve cryptography is used. For example, an ECDSA is in 2nd shown.

Keines der bekannten Konzepte ermöglicht eine Vervielfältigung des geldwerten Betrags (Münznominal) der signierten digitalen Münze. Das bedeutet, wenn ein Münzdatensatz beispielsweise einen geldwerten Betrag von 1€ aufweist, so ist man für ein Bezahlen eines geldwerten Betrags von 100€ gezwungen, einhundert generierte elektronische Münzdatensätze zu versenden und verifizieren zu lassen. Dies erschwert das Verifizieren und erhöht die Datenmenge zum Übertragen hoher geldwerter Beträge enorm.None of the known concepts enables the monetary amount (coin denomination) of the signed digital coin to be duplicated. This means that, for example, if a coin data record has a monetary amount of € 1, then for payment of a monetary amount of € 100, one is forced to send and have one hundred generated electronic coin data records verified. This makes verification difficult and increases the amount of data for transferring large amounts of money.

Keines der bekannten Konzepte ermöglicht eine Teilung des geldwerten Betrags (=Münznominal) der signierten digitalen Münze. Das bedeutet, wenn ein Münzdatensatz einen geldwerten Betrag von 1€ aufweist, so ist das Bezahlen eines Bruchteils dieses geldwerten Betrags, beispielsweise 0,50€ oder eines gemischten Bruchteils, beispielsweise 1,50€ nicht möglich. Mitunter verhindern diese Konzepte dann ein passendes Bezahlen.None of the known concepts enables the monetary amount (= coin denomination) of the signed digital coin to be divided. This means that if a coin data record has a monetary amount of € 1, then it is not possible to pay a fraction of this monetary amount, for example € 0.50 or a mixed fraction, for example € 1.50. Sometimes these concepts prevent appropriate payment.

Diese bekannten Konzepte sehen zudem keine Rückgeldzahlung vor, beispielsweise wenn ein Teilnehmer einen zu zahlenden Betrag mit einem größeren Münzwert begleicht, kann der Bezahlte keinen geldwerten Betrag in Form von Rückgeld bzw. Wechselgeld auf Basis der erhaltenen eMD generieren und versenden. Dies macht die bisherigen Konzepte unattraktiv und unflexibel.These known concepts also do not provide for a change in payment, for example if a participant pays an amount to be paid with a larger coin value, the person paid cannot make any monetary amount in the form of change or change based on the amount received eMD generate and send. This makes the previous concepts unattractive and inflexible.

Zudem sind die bekannten Konzepte intransparent für eine Prüfinstanz und lediglich die Echtheit einer Signatur kann überprüft werden, ohne dabei sicher zu sein, ob ein Teilnehmer den eMD manipuliert hat. Tatsächlich werden blinde Signaturen in vielen Verkaufsstellen aufgrund dieser Intransparenz nicht akzeptiert.In addition, the known concepts are opaque for a test authority and only the authenticity of a signature can be checked without being sure whether a participant is the eMD manipulated. In fact, blind signatures are not accepted in many retail outlets due to this lack of transparency.

Es ist somit Aufgabe der vorliegenden Erfindung, ein Verfahren und ein System zu schaffen, bei welchem transparent überprüfbar ist, ob ein Signatur-Herausgeber einer blinden Signatur tatsächlich einen eMD signiert hat. Zudem soll der geldwerte Betrag (Münzwert) eines signierten eMD einfach teilbar sein, ohne dass eine blinde Signatur ihre Ungültigkeit verliert. Dabei soll ein direkter Austausch zwischen Teilnehmern bzw. den entsprechenden Endgeräten geschaffen werden, der unkompliziert und schnell ist. Ein Teilnehmer soll ebenfalls dazu in der Lage sein, passendes Rückgeld (Wechselgeld) in Form eines vom erhaltenen eMD geteilten eMD zurückzugeben. Das Verfahren soll für einen Dritten intransparent bleiben, um ein anonymes Bezahlen zu gewährleisten.It is therefore an object of the present invention to provide a method and a system in which it can be transparently checked whether a signature issuer of a blind signature actually has one eMD signed. In addition, the monetary amount (coin value) of a signed eMD be easily divisible without a blind signature losing its invalidity. The aim is to create a direct exchange between participants and the corresponding end devices, which is uncomplicated and fast. A participant should also be able to receive appropriate change (change) in the form of one received eMD shared eMD return. The process should remain non-transparent for a third party in order to guarantee anonymous payment.

ZUSAMMENFASSUNG DER ERFINDUNGSUMMARY OF THE INVENTION

Die gestellte Aufgabe wird mit den Merkmalen der unabhängigen Patentansprüche gelöst. Weitere vorteilhafte Ausgestaltungen sind in den jeweils abhängigen Patentansprüchen beschrieben.The object is achieved with the features of the independent claims. Further advantageous configurations are described in the respective dependent claims.

Die Aufgabe wird insbesondere durch ein Verfahren zum Erzeugen einer blinden Signatur für einen elektronischen Münzdatensatz, eMD, gelöst. Das Verfahren umfasst dabei die folgenden Schritte: Erhalten eines unsignierten verblendeten eMD von einem Teilnehmer bei einem Signatur-Herausgeber; Erweitern des unsignierten verblendeten eMD mit einer Herausgeberinformation durch den Signatur-Herausgeber zum Erhalten eines erweiterten unsignierten eMD; Signieren des erweiterten unsignierten eMD unter Verwendung einer herausgebergenerierten Zufallszahl und eines geheimen Schlüssels des Signatur-Herausgebers zum Erhalten eines erweiterten signierten verblendeten eMD; und Senden des erweiterten signierten verblendeten eMD und der Herausgeberinformation an den Teilnehmer, wobei die gesendete Herausgeberinformation ein Teil der blinden Signatur ist.The object is achieved in particular by a method for generating a blind signature for an electronic coin data record, eMD , solved. The process comprises the following steps: Obtaining an unsigned blinded eMD from a subscriber to a signature publisher; Expanding the unsigned blinded eMD with publisher information by the signature publisher to obtain an expanded unsigned eMD ; Sign the extended unsigned eMD using a publisher-generated random number and a secret key of the signature publisher to obtain an expanded signed blinded eMD ; and sending the expanded signed blinded eMD and the publisher information to the subscriber, the publisher information sent being part of the blind signature.

Beim (digitalen) blinden Signaturverfahren ist es möglich, als Besitzer einer eMD anonym zu bleiben, sodass Bezahlvorgänge, die ein Teilnehmer tätigt, nicht von dem Signatur-Herausgeber oder einer Prüfinstanz nachgeprüft werden können. Der Signatur-Herausgeber kennt demnach die eMD nicht, da er nur eine verblendete eMD empfängt. Als Verblendung wird beispielsweise eine Addition oder Subtraktion der eMD mit einer ganzzahligen teilnehmergenerierten Zufallszahl verstanden. Ein Rückschluss auf den Teilnehmer bei Besitz der verblendeten unsignierten eMD ist somit nicht möglich.In the (digital) blind signature process, it is possible to own one eMD to remain anonymous so that payment transactions made by a subscriber are not made by the signature publisher or an inspection body can be checked. The signature editor knows accordingly eMD not because he only blinded one eMD receives. An addition or subtraction of the eMD understood with an integer randomly generated subscriber number. A conclusion about the participant in possession of the blinded unsigned eMD is not possible.

Erfindungsgemäß wird nun der Signatur eine Herausgeberinformation, auch als Herausgebernachricht bezeichnet, durch den Herausgeber hinzugefügt. Durch das erfindungsgemäße Erweitern wird diese Herausgeberinformation unveränderlicher Teil der blinden Signatur des eMD. Diese Herausgeberinformation wird - ebenso wie der signierte verblendete eMD - dem Teilnehmer, beispielsweise im Klartext, zur Verfügung gestellt. Als Herausgeberinformation wird jegliche unmanipulierbare Information eines Herausgebers angesehen. Die Herausgeberinformation ist eigenständig und somit nicht vom eMD oder dem Teilnehmer abhängig. Eine eigenständige Information ist daher eine unabhängige, nicht von anderen Instanzen bedingte Information.According to the invention, the publisher adds the publisher information, also referred to as the publisher message, to the signature. By expanding according to the invention, this publisher information becomes an invariable part of the blind signature of the eMD . This publisher information is blinded - just like the signed one eMD - made available to the participant, for example in plain text. Any unmanipulable information from a publisher is regarded as publisher information. The publisher information is independent and therefore not dated eMD or depending on the participant. Independent information is therefore independent information that is not dependent on other entities.

Auf diese Weise kann bei einem späteren Prüfen der Signatur festgestellt werden, ob diese gesendete Herausgeberinformation mit der, in der Signatur befindlichen Herausgeberinformation übereinstimmt oder im Rahmen eines Manipulationsversuchs verändert wurde. Die mit diesem Verfahren erzeugte blinde Signatur ermöglicht es jedem Teilnehmer am Bezahlsystem, eine Urheberschaft der Signatur über eine verblendete eMD verbessert nachzuprüfen. Die Herausgeberinformation dient in einem Überprüfen-Schritt also dazu, den Teil der Signatur, der von der Herausgeberinformation gebildet wurde, gründlicher zu verifizieren. Die Herausgeberinformation ist nicht geheim und kann beispielsweise im Senden-Schritt als Klartext-Information übertragen werden.In this way, when the signature is checked later, it can be determined whether the publisher information sent corresponds to the publisher information located in the signature or has been changed as part of a manipulation attempt. The blind signature generated with this method enables every participant in the payment system to authorship the signature over a blinded one eMD improved to check. In a check step, the publisher information thus serves to more thoroughly verify the part of the signature that was formed by the publisher information. The publisher information is not secret and can be transmitted as plain text information in the sending step, for example.

Bevorzugt wird die Herausgeberinformation unabhängig von der signierten verblendeten eMD als eigenständige Information bereitgestellt wird. Mit dieser unabhängigen Bereitstellung ist gewährleistet, dass die Herausgeberinformation und die eMD vollkommen getrennte Informationen sind und ursprünglich von unterschiedlichen Instanzen generiert wurden. Während die eMD vom Teilnehmer selbst generiert werden kann, ist die Herausgeberinformation von dem (vertrauenswürdigen) Signatur-Herausgeber generiert worden. Auf diese Weise wird einerseits die Anonymität im Bezahlsystem gewahrt, andererseits wird durch diese Herausgeberinformation eine zusätzliche eMD unabhängige Information mitsigniert. Es ist darüber hinaus auch denkbar, dass die Herausgeberinformation in einem Prüfungsverfahren direkt einer Prüfinstanz zur Verfügung gestellt wird.The publisher information is preferably independent of the signed blinded eMD is provided as independent information. This independent provision ensures that the publisher information and the eMD is completely separate information and was originally generated by different instances. While the eMD can be generated by the subscriber himself, the publisher information has been generated by the (trustworthy) signature publisher. In this way, anonymity is preserved in the payment system on the one hand, and on the other hand, this information from the publisher provides additional information eMD independent information co-signed. It is also conceivable that the publisher information is made available directly to a test body in an examination procedure.

Bevorzugt ist die zum Erweitern der unsignierten verblendeten eMD verwendete Herausgeberinformation das Ergebnis einer Streuwertfunktion (Hashfunktion) mit einem Herausgeberwert, wobei der Herausgeberwert als die Herausgeberinformation gesendet wird.Preferred is to expand the unsigned blinded eMD publisher information used is the result of a spread value function (hash function) with a publisher value, the publisher value being sent as the publisher information.

Eine Streuwertfunktion (auch Hashfunktion) ist eine Abbildung, die eine große Eingabemenge (beispielsweise die Herausgeberwert oder geheime Schlüssel) auf eine kleinere Zielmenge (die Hashwerte, beispielsweise die Herausgeberinformation) abbildet. Eine Hashfunktion ist daher im Allgemeinen nicht injektiv. Die Eingabemenge kann Elemente unterschiedlicher Längen enthalten, die Elemente der Zielmenge haben dagegen meist eine feste Länge. Auf diese Weise kann die Signatur in ihrer Größe reduziert werden, ohne jedoch das Sicherheitsniveau zu verringern.A scatter value function (also hash function) is a mapping that maps a large input quantity (for example the publisher value or secret key) to a smaller target quantity (the hash values, for example the publisher information). A hash function is therefore generally not injective. The input quantity can contain elements of different lengths, whereas the elements of the target quantity usually have a fixed length. In this way, the signature can be reduced in size without reducing the level of security.

Die Streuwertfunktion ist bevorzugt eine, im Signier-Verfahren grundsätzlich vereinbarte, Streuwertfunktion, beispielsweise bei Verwendung eines ECDSA, bei dem neben den Kurvenparametern auch die zu wählende Streuwertfunktion festgelegt wird. Durch Verwenden eines Hashwertes als Herausgeberinformation anstelle des Herausgeberwertes selbst, wird die Sicherheit weiter erhöht und die Manipulation weiter erschwert. Zudem wird die zu sendende Datenmenge bestehend aus Herausgeberinformation und signiertem verblendeten eMD minimiert. Dies ist beispielsweise bei M2M-Anwendungen vorteilhaft.The scatter value function is preferably a scatter value function that is fundamentally agreed in the signing method, for example when using an ECDSA, in which, in addition to the curve parameters, the scatter value function to be selected is also specified. By using a hash value as publisher information instead of the publisher value itself, security is further increased and manipulation is made more difficult. In addition, the amount of data to be sent consists of publisher information and signed blinded eMD minimized. This is advantageous for M2M applications, for example.

Der Herausgeberwert kann dabei mindestens einer der folgenden Werte sein: ein Zeitwert, beispielsweise ein Zeitstempel oder eine Datumsangabe; eine Identifikation des Herausgebers, beispielsweise eine ID, Seriennummer, Vertragsnummer; und/oder eine Kennung des Herausgebers im Signierverfahren; und/oder ein herausgebergenerierter Wert, beispielsweise eine Zufallszahl oder eine sonst wie erzeugtes Datum. Der Herausgeberwert wird bevorzugt im Klartext übertragen und als Hashwert in der blinden Signatur unterbracht. Ist man im Besitz der Herausgeberinformation kann man durch erneute Streuwertberechnung prüfen, ob die blinde Signatur korrekt ist und so, die Echtheit der blinden Signatur verbessert verifizieren.The publisher value can be at least one of the following values: a time value, for example a time stamp or a date; an identification of the publisher, for example an ID, serial number, contract number; and / or an identifier of the publisher in the signing process; and / or a publisher-generated value, for example a random number or some other date generated. The publisher value is preferably transmitted in plain text and placed as a hash value in the blind signature. If you are in possession of the publisher's information, you can check whether the blind signature is correct and thus verify the authenticity of the blind signature in an improved way by calculating the scatter value.

Das Erzeugen der blinden Signatur basiert bevorzugt auf einem Standard für digitale Signaturen, beispielsweise dem Digitalen Signatur Algorithmus, kurz DSA. Der DSA basiert auf dem diskreten Logarithmus in endlichen Körpern. Wie bei allen Signaturverfahren, die auf dem diskreten Logarithmus basieren, insbesondere für Verfahren, die auf elliptischen Kurven beruhen, hängt die Sicherheit ganz wesentlich von den Eigenschaften der verwendeten Zufallszahl des Signatur-Herausgebers ab.The generation of the blind signature is preferably based on a standard for digital signatures, for example the digital signature algorithm, or DSA for short. The DSA is based on the discrete logarithm in finite fields. As with all signature methods that are based on the discrete logarithm, especially for methods based on elliptic curves, security depends very much on the properties of the random number used by the signature issuer.

Für jede Signatur muss ein Zufallswert von dem Signatur-Herausgeber generiert werden. Dieser muss ausreichend Entropie besitzen, geheim gehalten werden und darf nur einmal im System verwendet werden. Diese Anforderungen sind kritisch, denn wird die Zufallszahl bekannt, so kann aus der Signatur der geheime Signaturschlüssel des Signatur-Herausgebers berechnet werden. Falls die Zufallszahl eine geringe Entropie hat, kann ein Angreifer für jede mögliche Zufallszahl einen geheimen Schlüssel berechnen und dann mit Hilfe des öffentlichen Verifikationsschlüssels testen, welcher davon der Richtige ist. A random value must be generated by the signature publisher for each signature. This must have sufficient entropy, be kept secret and may only be used once in the system. These requirements are critical, because if the random number is known, the signature issuer's secret signature key can be calculated from the signature. If the random number has a low entropy, an attacker can calculate a secret key for every possible random number and then use the public verification key to test which one is the right one.

Bevorzugt ist der eMD das Ergebnis einer Streuwertfunktion aus einer teilnehmergenerierten Seriennummer und einem teilnehmerberechneten Punkt einer elliptischen Kurve. Damit wird eine Variante eines Digitalen Signatur Algorithmus, kurz DSA, nämlich ein Elliptische-Kurven-Kryptographie, ECDSA verwendet. Die Übertragung des DSA auf elliptischen Kurven ist in ANSI X9.62 standardisiert. Somit ist ein hohes Maß an Sicherheit bei minimaler Schlüssellänge möglich. Das Prinzip des ECDSA ist in 2 erläutert.The is preferred eMD the result of a scatter value function from a subscriber-generated serial number and a subscriber-calculated point of an elliptic curve. A variant of a digital signature algorithm, or DSA for short, namely an elliptic curve cryptography, ECDSA, is thus used. The transmission of the DSA on elliptic curves is standardized in ANSI X9.62. This enables a high level of security with a minimal key length. The principle of the ECDSA is in 2nd explained.

Der DSA ist ein beispielhafter Standard für digitale Signaturen. Andere Algorithmen, beispielsweise kann auch ein asymmetrisches kryptographisches Verfahren, RSA, zum digitalen Signieren verwendet werden. RSA verwendet ein Schlüsselpaar, bestehend aus einem privaten Schlüssel (das Geheimnis), der zum Entschlüsseln oder Signieren von Daten verwendet wird, und einem öffentlichen Schlüssel, mit dem man verschlüsselt oder Signaturen prüft. Der private Schlüssel wird geheim gehalten und kann nur mit hohem Rechenaufwand aus dem öffentlichen Schlüssel berechnet werden.The DSA is an exemplary standard for digital signatures. Other algorithms, for example an asymmetric cryptographic method, RSA, can also be used for digital signing. RSA uses a key pair consisting of a private key (the secret), which is used to decrypt or sign data, and a public key, which is used to encrypt or check signatures. The private key is kept secret and can only be calculated from the public key with a great deal of computing effort.

Bevorzugt ist der eMD das Ergebnis einer Streuwertfunktion aus einem teilnehmergenerierten öffentlichen Schlüssel und einem teilnehmerberechneten Punkt einer elliptischen Kurve, wobei der teilnehmergenerierte öffentliche Schlüssel von der teilnehmergenerierten Seriennummer abgeleitet ist. Über die jeweiligen Kurvenparameter haben sich die beteiligten Instanzen im Vorfeld des Signier-Verfahrens geeinigt. In dieser Ausgestaltung verbleibt die teilnehmergenerierte Seriennummer beim Teilnehmer als ein Geheimnis (also ein privater Schlüssel) und dem Signatur-Herausgeber wird ein von der Seriennummer abgeleiteter öffentlicher Schlüssel bereitgestellt. Beispielsweise wird dieser öffentliche Schlüssel teilnehmerseitig dadurch generiert, dass die Seriennummer mit einem Basispunkt der elliptischen Kurve verknüpft wird, beispielsweise eine logische Verknüpfung oder eine einfache mathematische Operation, beispielsweise eine Multiplikation. Auf diese Weise können erfindungsgemäß auch Teile eines geldwerten Betrags einer eMD von einem Teilnehmer auf einen anderen Teilnehmer übertragen werden, was später noch erläutert wird. Die Signatur wird dabei über den gesamten geldwerten Betrag der eMD erstellt, einen zweiten Teilnehmer berechtigt dies nach Übertragen der eMD noch nicht automatisch zum Besitzen des gesamten Betrags, da ihm die Kenntnis über der teilnehmergenerierten Seriennummer verborgen bleibt, wenn nur Teilbeträge übertragen werden sollen.The is preferred eMD the result of a scatter value function from a subscriber-generated public key and a subscriber-calculated point of an elliptic curve, the subscriber-generated public key being derived from the subscriber-generated serial number. The parties involved agreed on the respective curve parameters in advance of the signing process. In this embodiment, the subscriber-generated serial number remains with the subscriber as a secret (ie a private key) and the signature issuer is provided with a public key derived from the serial number. For example, this public key is generated on the subscriber side in that the serial number is linked to a base point of the elliptic curve, for example a logical link or a simple mathematical operation, for example a multiplication. In this way, according to the invention, parts of a monetary amount can also be eMD transferred from one participant to another participant, which will be explained later. The signature is over the entire monetary amount of eMD created, a second participant authorizes this after transferring the eMD not yet automatically to own the entire amount, since the knowledge of the subscriber-generated serial number remains hidden if only partial amounts are to be transferred.

Erfindungsgemäß ist nun zudem ein Verfahren zum Überprüfen einer blinden Signatur eines eMD vorgesehen, wobei die blinde Signatur gemäß dem vorhergehenden Verfahren erzeugt wurde. Zum Überprüfen der Signatur wird der unsignierte, nicht verblendete (unverblendete) eMD und eine zum Erzeugen des eMD verwendete Seriennummer und eine signierte nicht verblendete (unverblendete) eMD und die Herausgeberinformation erhalten. Damit kann der vollständige geldwerte Betrag der eMD geprüft werden und bei erfolgreichem Überprüfen aufgrund der Kenntnis der (geheimen) Seriennummer den Besitzer wechseln. Im Unterschied zum bisherigen Überprüfen von blind signierten eMD, wird nun der eMD unter Verwendung der erhaltenen Seriennummer, des signierten unverblendeten eMD, der Herausgeberinformation und einem öffentlichen Schlüssel des Signatur-Herausgebers berechnet. Da die Herausgeberinformation auch unveränderlicher Teil der blinden Signatur ist, kann durch das Erhalten der (Klartext) Herausgeberinformation nun auch die blinde Signatur auf Korrektheit der Herausgeberinformation geprüft werden. Dabei erfolgt ein Vergleichen des berechneten eMD mit dem erhaltenen eMD und ein Verifizieren der Echtheit der blinden Signatur, wenn der berechnete eMD mit dem erhaltenen eMD übereinstimmt.According to the invention is now also a method for checking a blind signature of a eMD provided, the blind signature was generated according to the previous method. To verify the signature, the unsigned, not veneered (uncovered) eMD and one for generating the eMD serial number used and a signed unblended (unblended) eMD and get the publisher information. This means that the full monetary amount of eMD be checked and, if the check is successful, change the owner based on knowledge of the (secret) serial number. In contrast to the previous verification of blindly signed eMD , now the eMD using the received serial number, the signed unveiled eMD , which calculates publisher information and a public key of the signature publisher. Since the publisher information is also an unchangeable part of the blind signature, the blind signature can now be checked for correctness of the publisher information by receiving the (plain text) publisher information. This compares the calculated eMD with the received eMD and verifying the authenticity of the blind signature if the calculated one eMD with the received eMD matches.

Bevorzugt ist der erhaltene eMD das Ergebnis einer Streuwertfunktion aus einer Verknüpfung einer teilnehmergenerierten Seriennummer mit einem Basispunkt und einem teilnehmerberechneten Punkt einer elliptischen Kurve, wobei vor dem Berechnen der eMD ein teilnehmergenerierter öffentlicher Schlüssel von der teilnehmergenerierten Seriennummer abgeleitet wird. In dieser Ausgestaltung wurde die blinde Signatur der eMD mit dem teilnehmergenerierten öffentlichen Schlüssel anstelle der teilnehmergenerierten Seriennummer erstellt. Beispielsweise wird dieser öffentliche Schlüssel teilnehmerseitig dadurch generiert, dass die Seriennummer mit einem Basispunkt der elliptischen Kurve verknüpft wird, beispielsweise durch eine logische Verknüpfung oder eine einfache mathematische Operation, beispielsweise durch eine Multiplikation. Auf diese Weise können erfindungsgemäß auch Teile eines geldwerten Betrags einer eMD von einem Teilnehmer auf einen anderen Teilnehmer übertragen werden, was später noch erläutert wird. Die blinde Signatur wird dabei dennoch über den gesamten geldwerten Betrag der eMD erstellt. Zum Verifizieren der Echtheit der eMD muss dann der teilnehmergenerierte öffentliche Schlüssel bereitgestellt werden.The one obtained is preferred eMD the result of a scatter value function from a combination of a subscriber-generated serial number with a base point and a subscriber-calculated point of an elliptic curve, whereby before the calculation of the eMD a subscriber-generated public key is derived from the subscriber-generated serial number. In this embodiment, the blind signature of the eMD created with the subscriber-generated public key instead of the subscriber-generated serial number. For example, this public key is generated on the subscriber side in that the serial number is linked to a base point of the elliptic curve, for example by a logical link or a simple mathematical operation, for example by multiplication. In this way, according to the invention, parts of a monetary amount can also be a eMD transferred from one participant to another participant, which will be explained later. The blind signature is nevertheless over the entire monetary amount of eMD created. To verify the authenticity of the eMD the subscriber-generated public key must then be provided.

Beim bisher beschriebenen eMD ist ein geldwerter Betrag (=Maximalbetrag des eMD) mit der teilnehmergenerierten Seriennummer gekoppelt, das heißt die blinde Signatur des Herausgebers ist für den Gesamtbetrag des geldwerten Betrags gültig. Dies verhindert bislang das Senden von Teilen des geldwerten Gesamtbetrags von eMD, da die Signaturprüfung für Teilbeträge ungültig ist. Zudem wird mit der Überprüfung auch die Seriennummer (das Geheimnis) des eMD übertragen und bei erfolgreichem Verifizieren ist das Geheimnis entlüftet und der geldwerte Betrag kann - ähnlich wie bei DigiCash - eingelöst werden. Nun ist es oft wünschenswert, die eMD zu teilen und nur Teilbeträge der signierten eMD zu übergeben.With the previously described eMD is a monetary amount (= maximum amount of eMD ) coupled with the subscriber generated serial number, i.e. the blind signature of the publisher is valid for the total amount of the monetary amount. So far, this has prevented parts of the monetary total amount from being sent eMD , because the signature check for partial amounts is invalid. In addition, the serial number (the secret) of the eMD transferred and upon successful verification the secret is released and the monetary amount can be redeemed - similar to DigiCash. Now it is often desirable that eMD to share and only partial amounts of the signed eMD to hand over.

Erfindungsgemäß ist dazu nun ein Verfahren zum Überprüfen einer blinden Signatur eines eMD vorgesehen, wobei die blinde Signatur ebenfalls nach dem zuvor beschriebenen Verfahren erzeugt wurde. Erhalten wird dabei der eMD; ein zum Erzeugen des eMD verwendeter teilnehmergenerierter öffentlicher Schlüssel; ein signierter unverblendeter eMD; ein geldwerter Teilbetrag der eMD; eine (echte) Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und einem weiteren teilnehmergenerierten öffentlichen Schlüssel; das teilnehmergenerierte Geheimnis; und die Herausgeberinformation.According to the invention there is now a method for checking a blind signature of a eMD provided, the blind signature was also generated by the previously described method. The will be preserved eMD ; one to generate the eMD subscriber generated public key used; a signed unblended eMD ; a partial monetary amount of eMD ; a (real) signature via a link between the monetary partial amount and another subscriber-generated public key; the participant-generated secret; and the publisher information.

Der geldwerte Teilbetrag ist ein Bruchteil des mit dem eMD verbundenen geldwerten Gesamtbetrags. Dieser geldwerte Teilbetrag kann einen beliebigen Wert annehmen, er kann unrund sein und/oder er kann das Rückgeld in einem Bezahlvorgang sein. In dem Verfahren wird nun absichtlich die teilnehmergenerierte Seriennummer (das Geheimnis) nicht zum Überprüfen übertragen, um das Einlösen des Gesamtbetrages des eMD zu verhindern. Dementgegen wird ein neues (weiteres) Geheimnis teilnehmerseitig generiert, welches von der teilnehmergenerierten Seriennummer verschieden ist. Dieses teilnehmergenerierte Geheimnis wird zum Prüfen anstelle der teilnehmergenerierten Seriennummer übertragen. Zudem wird ein weiterer öffentlicher Schlüssel teilnehmerseitig von diesem Geheimnis abgeleitet. Dieses Ableiten ist beispielsweise eine mathematische Operation oder eine logische Verknüpfung des teilnehmergenerierten Geheimnisses mit einem Basispunkt (Generatorpunkt) oder einem alternativen vereinbarten Wert.The monetary component is a fraction of that with the eMD associated monetary total. This monetary partial amount can have any value, it can be out of round and / or it can be the change in a payment process. In the process, the subscriber-generated serial number (the secret) is now intentionally not transmitted for checking in order to redeem the total amount of the eMD to prevent. In contrast, a new (further) secret is generated on the subscriber side, which is different from the subscriber-generated serial number. This subscriber-generated secret is transmitted for checking instead of the subscriber-generated serial number. In addition, another public key is derived from this secret on the subscriber side. This derivation is, for example, a mathematical operation or a logical combination of the subscriber-generated secret with a base point (generator point) or an alternative agreed value.

Im Überprüfen-Verfahren erfolgt nach dem Erhalten-Schritt das Berechnen des weiteren öffentlichen Schlüssels aus dem erhaltenen teilnehmergenerierten Geheimnis. Dazu wird der vereinbarte Wert, beispielsweise ein Basispunkt, verwendet. Zudem erfolgt das Berechnen der Signatur aus der Verknüpfung aus dem geldwerten Teilbetrag und dem berechneten weiteren öffentlichen Schlüssel. Somit ist die (echte) Signatur errechenbar und kann mit der erhaltenen (echten) Signatur verglichen werden.In the checking process, the further public key is calculated from the received subscriber-generated secret after the receiving step. The agreed value, for example a base point, is used for this. In addition, the signature is calculated from the combination of the monetary partial amount and the calculated further public key. The (real) signature can thus be calculated and compared with the (real) signature obtained.

Hier wird der Teilbetrag echt signiert, das heißt ohne zusätzliche Verblendung, da sonst ein Empfänger des Teilbetrags die Echtheit und die korrekte Ableitung nicht verifizieren kann.Here the partial amount is authentically signed, i.e. without additional blinding, otherwise a recipient of the partial amount cannot verify the authenticity and the correct derivation.

Im darauffolgenden Überprüfen-Verfahren erfolgt sodann ein Vergleichen der berechneten echten Signatur mit der erhaltenen echten Signatur und so ein Verifizieren des Besitzes des geldwerten Teilbetrags. Auf diese Weise kann die Echtheit der erhaltenen echten Signatur geprüft werden und es wird sichergestellt, dass das teilnehmergenerierte Geheimnis tatsächlich von dem Teilnehmer generiert wurde. Somit ist der Teilbetrag gültig.In the subsequent checking process, the calculated real signature is then compared with the received real signature and thus the ownership of the monetary partial amount is verified. In this way, the authenticity of the received real signature can be checked and it is ensured that the participant-generated secret was actually generated by the participant. The partial amount is therefore valid.

Schließlich wird der eMD berechnet unter Verwendung des teilnehmergenerierten öffentlichen Schlüssels, dem signierten unverblendeten eMD, der Herausgeberinformation und einem öffentlichen Schlüssel des Signatur-Herausgebers. Schließlich erfolgt ein Vergleichen des berechneten eMD mit dem erhaltenen eMD und ein Verifizieren der Echtheit der blinden Signatur, wenn der berechnete eMD mit dem erhaltenen eMD übereinstimmt. Während dieses Berechnens und Verifizierens kann nicht auf die teilnehmergenerierte Seriennummer des eMD geschlossen werden, sodass zwar die blinde Signatur geprüft werden kann, allerdings der volle geldwerte Betrag der eMD nicht entschlüsselt werden kann. Lediglich der mit der echten Signatur bestätigte Teilbetrag kann so übertragen werden und vom Empfänger (Teilnehmer, Prüfinstanz) weiterverwendet werden.Finally the eMD calculated using the subscriber-generated public key, the signed uncovered eMD , the publisher information and a public key of the signature publisher. Finally, the calculated is compared eMD with the received eMD and verifying the authenticity of the blind signature if the calculated one eMD with the received eMD matches. During this calculation and verification, the subscriber-generated serial number of the eMD be closed so that the blind signature can be checked, but the full monetary amount of eMD cannot be decrypted. Only the partial amount confirmed with the real signature can be transferred and used by the recipient (participant, test authority).

Bevorzugt erfolgt das Überprüfen durch den Signatur-Herausgeber oder einer, von dem Signatur-Herausgeber verschiedenen, Prüfinstanz. Darin kann ein wesentlicher Vorteil des Verfahrens gesehen werden, denn der Teilnehmer ist nun nicht gezwungen, seinen eMD bei dem Signatur-Herausgeber überprüfen zu lassen, wodurch weniger Rückschlüsse auf das Bezahlverhalten eines Teilnehmers gezogen werden können und die Anonymität erhöht wird.The verification is preferably carried out by the signature publisher or by a test body different from the signature issuer. This can be seen as a major advantage of the procedure, because the participant is now not forced to eMD Have it checked by the signature publisher, which means that less conclusions can be drawn about a participant's payment behavior and anonymity is increased.

Bevorzugt wird beim Überprüfen auch die Herausgeberinformation verifiziert. So kann festgestellt werden, ob die Herausgeberinformation in der eMD verändert wurde und ein Manipulationsversuch unternommen wurde.The publisher information is preferably also verified during the checking. It can thus be determined whether the publisher information is in the eMD was changed and a manipulation attempt was made.

Bevorzugt wurde die blinde Signatur mit einem ECDSA erzeugt, wobei zum Überprüfen der blinden Signatur die im ECDSA vereinbarte Kurvenparameter der elliptischen Kurve bereitgestellt werden.The blind signature was preferably generated with an ECDSA, the curve parameters of the elliptical curve agreed in the ECDSA being provided for checking the blind signature.

In einem anderen Aspekt der Erfindung umfasst ein Bezahlsystem zum Übertragen eines elektronischen Münzdatensatzes zwischen zumindest zwei Teilnehmern einen ersten Teilnehmer zum Erzeugen eines unsignierten verblendeten eMD; einen Signaturherausgeber zum Erzeugen einer blinden Signatur gemäß dem vorhergehend beschriebenen Verfahren und einen zweiten Teilnehmer zum Erhalten des erzeugten eMD, eines signierten unverblendeten eMD und einer zum Erzeugen des eMD verwendeten Seriennummer. In another aspect of the invention, a payment system for transmitting an electronic coin data record between at least two participants comprises a first participant for generating an unsigned blinded one eMD ; a signature issuer for generating a blind signature according to the previously described method and a second participant for obtaining the generated one eMD , a signed unvarnished eMD and one to generate the eMD serial number used.

In einer bevorzugten Ausgestaltung überprüft der zweite Teilnehmer den erhaltenen erzeugten eMD, den signierten unverblendeten eMD und die zum Erzeugen des eMD verwendeten Seriennummer mittels dem zuvor beschrieben Überprüfen-Verfahren.In a preferred embodiment, the second participant checks the generated generated eMD , the signed unvarnished eMD and those for generating the eMD serial number used using the previously described verification procedure.

Bevorzugt ist der eMD das Ergebnis einer Streuwertfunktion aus einer Verknüpfung eines teilnehmergenerierten öffentlichen Schlüssels mit einem teilnehmerberechneten Punkt. Dabei ist der teilnehmergenerierte öffentliche Schlüssel von der teilnehmergenerierten Seriennummer abgeleitet. Auf diese Weise wird nicht die teilnehmergenerierte Seriennummer versendet, sondern ein davon abgeleiteter öffentlicher Schlüssel, wodurch eine Teilbarkeit eines eMD ermöglicht wird.The is preferred eMD the result of a scatter value function from a link between a subscriber-generated public key and a subscriber-calculated point. The subscriber-generated public key is derived from the subscriber-generated serial number. In this way, it is not the subscriber-generated serial number that is sent, but a public key derived from it, which makes a eMD is made possible.

In einem Aspekt der Erfindung wird die gestellte Aufgabe durch ein Verfahren zum Erhalten einer blinden Signatur für einen elektronischen Münzdatensatz, eMD in einem Teilnehmer gelöst. Dieses Verfahren umfasst die Verfahrensschritte: Erzeugen eines öffentlichen Schlüssels aus einer teilnehmergenerierten Seriennummer durch den Teilnehmer; Erzeugen eines eMD unter Verwendung des erzeugten öffentlichen Schlüssels durch den Teilnehmer; Verblenden des erzeugten eMD zum Erhalten eines verblendeten unsignierten eMD durch den Teilnehmer; Senden des verblendeten unsignierten eMD von dem Teilnehmer zu einem Signatur-Herausgeber; Erhalten eines signierten verblendeten eMD von dem Signatur-Herausgeber durch den Teilnehmer; und Entfernen der Verblendung zum Erhalten eines signierten unverblendeten eMD durch den Teilnehmer.In one aspect of the invention, the object is achieved by a method for obtaining a blind signature for an electronic coin data set, eMD solved in one participant. This method comprises the steps of: generating a public key from a subscriber-generated serial number by the subscriber; Create one eMD using the generated public key by the subscriber; Blending the generated eMD to get a blinded unsigned eMD by the participant; Send the blinded unsigned eMD from the subscriber to a signature publisher; Obtained a signed blinded eMD from the signature publisher by the subscriber; and removing the bezel to obtain a signed unblended eMD by the participant.

Das teilnehmerseitige Erzeugen des öffentlichen Schlüssels aus einer teilnehmergenerierten Seriennummer durch den Teilnehmer wurde bereits mehrfach erläutert. Dabei wird ein im Verfahren zwischen den Teilnehmern, dem Signatur-Herausgeber und/oder der Prüfinstanz bereits vereinbarter Wert verwendet. Der Wert ist beispielsweise ein Basispunkt der elliptischen Kurve. Dieser vereinbarte Wert wird logisch mit der teilnehmergenerierten Seriennummer verknüpft, beispielsweise über eine logische Verknüpfung, wie AND; OR; XOR; NAND; NOR, oder über eine einfache mathematische Operation, beispielsweise eine Multiplikation oder eine Addition.The subscriber-side generation of the public key from a subscriber-generated serial number by the subscriber has already been explained several times. A value already agreed in the process between the participants, the signature issuer and / or the testing authority is used. For example, the value is a base point of the elliptic curve. This agreed value is logically linked to the subscriber-generated serial number, for example via a logical link, such as AND; OR; XOR; NAND; NOR, or a simple mathematical operation, such as multiplication or addition.

Bevorzugt umfasst der Schritt des Erzeugens des eMD die Schritte: Errechnen eines Punktes einer elliptischen Kurve unter Verwendung von vereinbarten Kurvenparametern; Verknüpfen des errechneten Punktes mit dem erzeugten öffentlichen Schlüssel; Berechnen einer Streuwertfunktion aus der Verknüpfung aus errechnetem Punkt und dem erzeugten öffentlichen Schlüssel, wobei das Ergebnis der Streuwertfunktion der eMD ist.Preferably, the step of generating the eMD the steps: calculating a point of an elliptic curve using agreed curve parameters; Linking the calculated point with the generated public key; Calculate a scatter value function from the combination of the calculated point and the generated public key, the result of the scatter value function being the eMD is.

Zum Erhalten der blinden Signatur wird nun der abgeleitete öffentliche Schlüssel verwendet anstelle der teilnehmergenerierten Seriennummer. Diese teilnehmergenerierte Seriennummer ist demnach für den Signatur-Herausgeber geheim und bleibt geheim.The derived public key is now used to obtain the blind signature instead of the subscriber-generated serial number. This subscriber-generated serial number is therefore secret for the signature issuer and remains secret.

Dieses Verfahren ermöglicht es, dass der eMD nicht mit seinem vollen geldwerten Betrag (Maximalbetrag des eMD) zwischen Teilnehmern übertragen werden muss, sondern, dass auch beliebige Teilbeträge von dem vollen geldwerten Betrag abgeleitet und übertragen werden können.This procedure allows the eMD not with its full monetary amount (maximum amount of eMD ) must be transferred between participants, but that any partial amounts can be derived and transferred from the full monetary amount.

In einer bevorzugten Ausgestaltung ist der erhaltene signierte verblendete eMD ein, mit einer Herausgeberinformation erweiterter signierter verblendeter eMD. Dabei ist insbesondere die zum Erweitern des unsignierten verblendeten eMD verwendete Herausgeberinformation das Ergebnis einer Streuwertfunktion mit einem Herausgeberwert, wobei der Herausgeberwert als die Herausgeberinformation gesendet wird und der Teil der blinden Signatur ist. Der Herausgeberwert ist bevorzugt ein Zeitwert, eine Identifikation des Herausgebers und/oder ein herausgebergenerierter Wert.In a preferred embodiment, the signed sign is veneered eMD a, with a publisher information expanded signed blinded eMD . In particular, it is blinded to expand the unsigned eMD publisher information used is the result of a spread value function with a publisher value, the publisher value being sent as the publisher information and being part of the blind signature. The publisher value is preferably a time value, an identification of the publisher and / or a publisher-generated value.

In einer bevorzugten Ausgestaltung wird zusammen mit dem erweiterten signierten verblendeten eMD die Herausgeberinformation erhalten, wobei bevorzugt die Herausgeberinformation unabhängig von der signierten verblendeten eMD als eigenständige Information bereitgestellt wird.In a preferred embodiment, the expanded signed is blinded eMD receive the publisher information, preferably the publisher information regardless of the signed blinded eMD is provided as independent information.

Diese Herausgeberinformation und das entsprechende Erweitern des signierten verblendeten eMD sind bereits oben ausführlich beschrieben worden. Auf diese Beschreibung wird ausdrücklich Bezug genommen. Die Herausgeberinformation dient also dazu, das blinde Signieren transparenter auszugestalten, indem (vom Teilnehmer) nicht manipulierbare, nicht-geheime Herausgeberinformationen Teil der blinden Signatur werden und geprüft werden können.This publisher information and the corresponding expansion of the signed blinded eMD have already been described in detail above. Reference is expressly made to this description. The publisher information thus serves to make blind signing more transparent by making non-manipulable, non-secret publisher information (which can be manipulated by the subscriber) part of the blind signature and can be checked.

In einer bevorzugten Ausgestaltung ist ein Verfahren zum Ableiten eines geldwerten Teilbetrags eines signierten verblendeten eMD in einem Teilnehmer vorgesehen. Der eMD ist dabei gemäß dem vorherig beschriebenen Verfahren erhalten. Dieses Ableiten-Verfahren umfasst die Schritte: Erzeugen eines teilnehmergenerierten Geheimnisses und eines weiteren öffentlichen Schlüssels aus dem teilnehmergenerierten Geheimnis durch den Teilnehmer; Festlegen eines geldwerten Teilbetrags des eMD; und Errechnen einer Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und dem weiteren öffentlichen Schlüssel.In a preferred embodiment, there is a method for deriving a monetary partial amount a signed blinded eMD provided in a participant. Of the eMD is obtained according to the previously described method. This deriving method comprises the steps: generating a subscriber-generated secret and a further public key from the subscriber-generated secret by the subscriber; Determination of a monetary part of the eMD ; and calculating a signature via a link between the monetary partial amount and the further public key.

Der Teilbetrag kann beliebig festgelegt werden. Er kann das Rückgeld in einer Bezahltransaktion sein oder ein x-beliebiger Wert sein.The partial amount can be determined arbitrarily. It can be the change in a payment transaction or it can be any value.

Das teilnehmergenerierte Geheimnis ist von der teilnehmergenerierten Seriennummer verschieden und wird anstelle der Seriennummer verwendet, um zwischen Teilnehmern geldwerte Beträge zu übertragen. Dabei kann in vorteilhafter Weise anstelle des vollen geldwerten Betrages des eMD lediglich ein Teilbetrag übertragen werden. Mit diesem Ableiten wird also eine bereits blind signierte eMD für das Übertragen von geldwerten Teilbeträgen eingerichtet.The subscriber-generated secret is different from the subscriber-generated serial number and is used instead of the serial number in order to transfer monetary amounts between subscribers. In this case, instead of the full monetary amount of the eMD only a partial amount can be transferred. With this derivation, one is already blindly signed eMD set up for the transfer of non-cash partial amounts.

Das Erzeugen des teilnehmergenerierten Geheimnisses kann sowohl von einem ersten Teilnehmer erfolgen, wenn er einen Teilbetrag von dem Gesamtbetrag abteilen möchte. Bevorzugt erfolgt dieses Erzeugen durch einen weiteren Teilnehmer, der die teilnehmergenerierte Seriennummer nicht generiert hat. Somit kann ein Teilbetrag auch von einem beliebigen weiteren Teilnehmer abgeteilt werden, der die eMD legitim erworben hat. Auf diese Weise können eMDs geteilt werden, wobei dennoch die blinde Signatur des eMD gültig bleibt. Zudem können nun Bezahlvorgänge mittels eMD ermöglicht werden, bei denen der eMD Empfänger (Bezahlte) einen abgeteilten eMD zurücksenden kann, beispielsweise vergleichbar zu Rückgeld oder Wechselgeld im Bargeldverkehr oder im Rahmen einer Rabattaktion.The generation of the participant-generated secret can be done by a first participant if he wants to divide a partial amount from the total amount. This generation is preferably carried out by a further subscriber who has not generated the subscriber-generated serial number. Thus, a partial amount can also be divided by any other participant who is the eMD legitimately acquired. In this way, eMDs can be shared, although the blind signature of the eMD remains valid. In addition, payment transactions can now be made using eMD be made possible where the eMD Recipient (Paid) a compartmentalized eMD can return, for example, comparable to change or change in cash transactions or as part of a discount campaign.

Bevorzugt ist der weitere öffentliche Schlüssel eine Verknüpfung eines Basispunkts der elliptischen Kurve mit dem teilnehmergenerierten Geheimnis. Diese Verknüpfung ist beispielsweise eine logische Verknüpfung oder eine einfache mathematische Operation, wodurch der Rechenaufwand minimiert wird, ohne die Sicherheit und Manipulationsfestigkeit des Verfahrens zu gefährden. Alternativ zum Basispunkt kann auch ein anderer vereinbarter Wert verwendet werden.The further public key is preferably a link between a base point of the elliptic curve and the subscriber-generated secret. This link is, for example, a logical link or a simple mathematical operation, as a result of which the computation effort is minimized without endangering the security and manipulation resistance of the method. As an alternative to the base point, another agreed value can be used.

In einer bevorzugten Ausgestaltung umfasst das Ableiten weiter das Erzeugen eines zweiten teilnehmergenerierten Geheimnisses und eines zweiten weiteren öffentlichen Schlüssels aus dem zweiten teilnehmergenerierten Geheimnis durch den Teilnehmer oder einen anderen Teilnehmer; Festlegen eines zweiten geldwerten Teilbetrags des eMD, wobei der zweite geldwerte Teilbetrag kleiner ist als der geldwerte Teilbetrag und Errechnen einer zweiten Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und dem zweiten weiteren öffentlichen Schlüssel.In a preferred embodiment, the derivation further comprises generating a second subscriber-generated secret and a second further public key from the second subscriber-generated secret by the subscriber or another subscriber; Determination of a second partial monetary amount of the eMD , wherein the second monetary partial amount is smaller than the monetary partial amount and calculating a second signature via a combination of the monetary partial amount and the second further public key.

Das Erzeugen des zweiten teilnehmergenerierten Geheimnisses kann sowohl von dem ersten Teilnehmer erfolgen, wenn er einen Teilbetrag weiter aufteilen möchte. Bevorzugt erfolgt dieses Erzeugen durch einen Teilnehmer, der das (erste) teilnehmergenerierte Geheimnis nicht generiert hat. Somit kann der Teilbetrag auch von einem beliebigen weiteren Teilnehmer weiter geteilt werden. Auf diese Weise können eMDs mehrfach geteilt werden, wobei dennoch die blinde Signatur gültig bleibt. Zudem können nun Bezahlvorgänge mittels eMD ermöglicht werden, bei denen der eMD Empfänger (Bezahlte) einen geteilten eMD zurücksenden kann, beispielsweise vergleichbar zu Rückgeld oder Wechselgeld im Bargeldverkehr oder im Rahmen einer Rabattaktion. Der zweite Teilbetrag kann beliebig festgelegt werden, also ein x-beliebiger Wert kleiner dem (ersten) Teilbetrag sein.The second participant-generated secret can be generated by the first participant if he wishes to further divide a partial amount. This generation is preferably carried out by a subscriber who has not generated the (first) subscriber-generated secret. This means that the partial amount can also be shared by any other participant. In this way, eMDs can be shared several times, although the blind signature remains valid. In addition, payment transactions can now be made using eMD be made possible where the eMD Recipient (Paid) a shared eMD can return, for example, comparable to change or change in cash transactions or as part of a discount campaign. The second partial amount can be set as desired, i.e. it can be any value less than the (first) partial amount.

Bevorzugt ist der zweite weitere öffentliche Schlüssel eine Verknüpfung eines Basispunkts der elliptischen Kurve mit dem zweiten teilnehmergenerierten Geheimnis. Diese Verknüpfung ist beispielsweise eine logische Verknüpfung oder eine einfache mathematische Operation, wodurch der Rechenaufwand minimiert wird, ohne die Sicherheit und Manipulationsfestigkeit des Verfahrens zu gefährden. Alternativ zum Basispunkt kann auch ein anderer vereinbarter Wert verwendet werden.
In einer bevorzugten Ausgestaltung ist ein Verfahren zum Überprüfen einer blinden Signatur eines eMD vorgesehen, wobei die blinde Signatur gemäß dem oben beschriebenen Verfahren erhalten wurde. Das Überprüfen umfasst die folgenden Schritte: Erhalten des eMD, einer zum Erzeugen des eMD verwendeten Seriennummer und eines signierten unverblendeten eMD. Da die Seriennummer und nicht der davon abgeleitete öffentliche Schlüssel erhalten wird, kann nun der gesamte geldwerte Betrag der eMD geprüft, entschlüsselt und übertragen werden. Das Übertragen der Seriennummer ermöglicht generell die Verfügung über den gesamten geldwerten Betrag. Zum Überprüfen wird der öffentliche Schlüssel aus der teilnehmergenerierten Seriennummer berechnet. Zudem wird der eMD unter Verwendung des berechneten öffentlichen Schlüssels, des signierten unverblendeten eMD und einem öffentlichen Schlüssel des Signatur-Herausgebers berechnet. Es gilt zu beachten, dass der berechnete öffentliche Schlüssel zum Verifizieren verwendet wird anstelle der Seriennummer, denn in diesem Aspekt der Erfindung bleibt die Seriennummer dem Signatur-Herausgeber verborgen und die blinde Signatur wird über den öffentlichen Schlüssel erstellt. Zum Prüfen der Signatur ist dann der berechnete öffentliche Schlüssel zu verwenden.The second further public key is preferably a link between a base point of the elliptic curve and the second subscriber-generated secret. This link is, for example, a logical link or a simple mathematical operation, as a result of which the computation effort is minimized without endangering the security and manipulation resistance of the method. As an alternative to the base point, another agreed value can be used.
In a preferred embodiment, a method for checking a blind signature is a eMD provided, the blind signature was obtained according to the method described above. Verification involves the following steps: Obtaining the eMD , one to generate the eMD used serial number and a signed unvarnished eMD . Since the serial number and not the public key derived from it is received, the entire monetary amount of the eMD checked, decrypted and transmitted. The transfer of the serial number generally enables the disposal of the entire monetary amount. For checking purposes, the public key is calculated from the subscriber-generated serial number. In addition, the eMD using the calculated public key, the signed uncovered eMD and a public key of the signature publisher. It should be noted that the calculated public key is used for verification instead of the serial number, because in this aspect of the invention the serial number remains hidden from the signature issuer and the blind signature is created using the public key. The calculated public key must then be used to check the signature.

Schließlich wird der berechnete eMD mit dem erhaltenen eMD verglichen und die Echtheit der blinden Signatur verifiziert, wenn der berechnete eMD mit dem erhaltenen eMD übereinstimmt.Finally the calculated one eMD with the received eMD compared and verified the authenticity of the blind signature when the calculated one eMD with the received eMD matches.

In einer bevorzugten Ausgestaltung ist ein weiteres Verfahren zum Überprüfen einer blinden Signatur eines eMD vorgesehen, bei dem ebenfalls die blinde Signatur nach einem vorhergehend beschriebenen Verfahren erzeugt/erhalten wurde. Das weitere Verfahren umfasst: Erhalten des eMD, des teilnehmergenerierten öffentlichen Schlüssel, eines signierten unverblendeten eMD, eines geldwerten Teilbetrag der eMD, einer Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und eines weiteren teilnehmergenerierten öffentlichen Schlüssel; und eines teilnehmergenerierten Geheimnisses. Der Teilbetrag ist bevorzugt der oben erwähnte (erste) Teilbetrag des geldwerten Gesamtbetrags. Nun erfolgt ein Berechnen des weiteren öffentlichen Schlüssels aus dem teilnehmergenerierten Geheimnis; ein Berechnen der Signatur über die Verknüpfung aus dem geldwerten Teilbetrag und dem berechneten weiteren teilnehmergenerierten öffentlichen Schlüssel; ein Vergleichen der berechneten Signatur mit der erhaltenen Signatur und ein Verifizieren der Echtheit des geldwerten Teilbetrags; und das bereits oben beschriebene Berechnen des eMD unter Verwendung des erhaltenen öffentlichen Schlüssels, des signierten unverblendeten eMD und einem öffentlichen Schlüssel des Signatur-Herausgebers, sodass - wie bereits erwähnt - der berechneten eMD mit dem erhaltenen eMD verglichen werden kann und die Echtheit der blinden Signatur verglichen wird, wenn der berechnete eMD mit dem erhaltenen eMD übereinstimmt.In a preferred embodiment there is a further method for checking a blind signature of a eMD provided, in which the blind signature was also generated / obtained according to a previously described method. The further procedure includes: obtaining the eMD , the subscriber-generated public key, a signed uncovered eMD , a partial monetary amount of eMD , a signature via a combination of the monetary partial amount and another subscriber-generated public key; and a subscriber-generated secret. The partial amount is preferably the above-mentioned (first) partial amount of the total monetary amount. Now the further public key is calculated from the subscriber-generated secret; calculating the signature via the link from the monetary partial amount and the calculated further subscriber-generated public key; comparing the calculated signature with the received signature and verifying the authenticity of the monetary partial amount; and the calculation of the already described above eMD using the received public key, the signed unveiled eMD and a public key of the signature publisher, so that - as already mentioned - the calculated one eMD with the received eMD can be compared and the authenticity of the blind signature is compared when the calculated eMD with the received eMD matches.

Das weitere Verfahren ermöglicht somit das Verifizieren der Echtheit des eMD anhand des gesamten Geldbetrags, so wie sie von dem Signatur-Herausgeber (blind) signiert wurde. Zudem kann der Teilbetrag verifiziert werden und für weitere Bezahlvorgänge verwendet werden. Dabei muss das teilnehmergenerierte Geheimnis nicht von dem Teilnehmer generiert worden sein, der die Seriennummer generiert hat, wodurch eine übertragene eMD weiter teilbar ist ohne neu signiert werden zu müssen.The further method thus enables the authenticity of the eMD based on the total amount of money, as it was signed by the signature issuer (blind). In addition, the partial amount can be verified and used for further payment processes. The subscriber-generated secret need not have been generated by the subscriber who generated the serial number, which means that a transmitted one eMD is further divisible without having to be re-signed.

In einer bevorzugten Ausgestaltung ist noch ein weiteres Verfahren zum Überprüfen einer blinden Signatur eines eMD vorgesehen, bei dem ebenfalls die blinde Signatur nach einem vorhergehend beschriebenen Verfahren erzeugt/erhalten wurde. Das noch weitere Verfahren umfasst die Verfahrensschritten: Erhalten des eMD, des teilnehmergenerierten öffentlichen Schlüssels, eines signierten unverblendeten eMD, eines geldwerten Teilbetrags der eMD, einer Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und einem weiteren teilnehmergenerierten öffentlichen Schlüssels, des weiteren teilnehmergenerierten öffentlichen Schlüssels; eines zweiten geldwerten Teilbetrag der eMD; einer zweiten Signatur über eine Verknüpfung aus dem zweiten geldwerten Teilbetrag und einem zweiten weiteren teilnehmergenerierten öffentlichen Schlüssel; und eines zweiten teilnehmergenerierten Geheimnisses. Zu beachten ist, dass das (erste) teilnehmergenerierte Geheimnis und auch die Seriennummer nicht erhalten werden, da deren Weitergabe auch den Besitz des (ersten) geldwerten Teilbetrags oder des geldwerten Gesamtbetrags ermöglichen würden. Der zweite Teilbetrag ist bevorzugt der oben erwähnte zweite Teilbetrag des geldwerten Gesamtbetrags, der kleiner ist als der (erste) Teilbetrag.In a preferred embodiment, yet another method for checking a blind signature of a eMD provided, in which the blind signature was also generated / obtained according to a previously described method. The still further process comprises the process steps: obtaining the eMD , the subscriber-generated public key, a signed unblended eMD , a partial monetary amount of eMD , a signature via a link between the monetary partial amount and another subscriber-generated public key, the further subscriber-generated public key; a second partial monetary amount of eMD ; a second signature via a combination of the second monetary partial amount and a second further subscriber-generated public key; and a second subscriber-generated secret. It should be noted that the (first) subscriber-generated secret and also the serial number are not received, since their disclosure would also enable the (first) monetary partial amount or the total monetary amount to be held. The second partial amount is preferably the above-mentioned second partial amount of the total monetary amount, which is smaller than the (first) partial amount.

Es erfolgt ein Berechnen des zweiten weiteren öffentlichen Schlüssels aus dem zweiten teilnehmergenerierten Geheimnis; ein Berechnen der zweiten Signatur über die Verknüpfung aus dem geldwerten Teilbetrag und dem berechneten zweiten weiteren teilnehmergenerierten öffentlichen Schlüssel; ein Vergleichen der berechneten zweiten Signatur mit der erhaltenen zweiten Signatur und Verifizieren der Echtheit des zweiten geldwerten Teilbetrags.The second further public key is calculated from the second subscriber-generated secret; calculating the second signature via the link from the monetary partial amount and the calculated second further subscriber-generated public key; comparing the calculated second signature with the received second signature and verifying the authenticity of the second monetary partial amount.

Zudem erfolgt das bereits erwähnte Berechnen der Signatur über die Verknüpfung aus dem geldwerten Teilbetrag und dem berechneten weiteren teilnehmergenerierten öffentlichen Schlüssel; das Vergleichen der berechneten Signatur mit der erhaltenen Signatur und das Verifizieren der Echtheit des geldwerten Teilbetrags; das Berechnen der eMD unter Verwendung des erhaltenen öffentlichen Schlüssels, der signierten unverblendeten eMD und einem öffentlichen Schlüssel des Signatur-Herausgebers; das Vergleichen der berechneten eMD mit dem erhaltenen eMD und Verifizieren der Echtheit der blinden Signatur, wenn der berechnete eMD mit dem erhaltenen eMD übereinstimmt.In addition, the aforementioned calculation of the signature takes place via the link from the monetary partial amount and the calculated further subscriber-generated public key; comparing the calculated signature with the received signature and verifying the authenticity of the monetary partial amount; computing the eMD using the received public key, the signed uncovered eMD and a signature publisher public key; comparing the calculated eMD with the received eMD and verifying the authenticity of the blind signature if the calculated one eMD with the received eMD matches.

Bevorzugt werden der (erste) geldwerte Teilbetrag und die (erste) Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und einem weiteren teilnehmergenerierten öffentlichen Schlüssel gemäß dem oben beschriebenen Ableiten-Verfahren von einem Teilnehmer erstellt. Der Teilnehmer muss nicht der Teilnehmer sein, der die Seriennummer generiert hat. Dies ermöglicht ein Teilen des eMD unter voller Gültigkeit der blinden Signatur.The (first) monetary partial amount and the (first) signature are created by a subscriber using a combination of the monetary partial amount and another subscriber-generated public key in accordance with the derivation method described above. The participant does not have to be the participant who generated the serial number. This enables sharing of eMD with the blind signature fully valid.

Bevorzugt werden der zweite geldwerte Teilbetrag und die zweite Signatur über eine Verknüpfung aus dem zweiten geldwerten Teilbetrag und einem zweiten weiteren teilnehmergenerierten öffentlichen Schlüssel gemäß dem oben beschriebenen Ableiten-Verfahren von einem Teilnehmer erstellt.The second monetary partial amount and the second signature are preferably generated by a subscriber by linking the second monetary partial amount and a second further subscriber-generated public key in accordance with the derivation method described above.

Bevorzugt wird im Erhalten-Schritt zudem die Herausgeberinformation erhalten und diese wird im Berechnen-Schritt zum Berechnen des eMD ebenfalls verwendet werden. The publisher information is also preferably obtained in the receive step and this is used in the calculate step to calculate the eMD can also be used.

Bevorzugt wird das Überprüfen durch den Signatur-Herausgeber oder einer, von dem Signatur-Herausgeber verschiedene, Prüfinstanz, beispielsweise auch einem weiteren Teilnehmer durchgeführt.The verification is preferably carried out by the signature issuer or a testing entity other than the signature issuer, for example also another participant.

Bevorzugt wird beim Überprüfen auch die Herausgeberinformation verifiziert.The publisher information is preferably also verified during the checking.

Die blinde Signatur wird bevorzugt mit einem Elliptische-Kurven-Signieralgorithmus, ECDSA, erzeugt und zum Prüfen der blinden Signatur werden vereinbarte Kurvenparameter der elliptischen Kurve bereitgestellt.The blind signature is preferably generated with an elliptical curve signing algorithm, ECDSA, and agreed curve parameters of the elliptical curve are provided for checking the blind signature.

In einem weiteren Aspekt der Erfindung ist ein Bezahlsystem zum Übertragen eines elektronischen Münzdatensatzes, eMD zwischen zumindest zwei Teilnehmern vorgesehen. Das Bezahlsystem umfasst einen ersten Teilnehmer zum Erhalten einer blinden Signatur für einen eMD gemäß dem beschrieben Erhalten-Verfahren; einen Signatur-Herausgeber zum Erzeugen der blinden Signatur und einem zweiten Teilnehmer zum Erhalten des erzeugten eMD, eines signierten unverblendeten eMD und einer zum Erzeugen des eMD verwendeten Seriennummer.In a further aspect of the invention is a payment system for transmitting an electronic coin data record, eMD provided between at least two participants. The payment system includes a first participant to receive a blind signature for one eMD according to the described receiving method; a signature publisher to generate the blind signature and a second participant to receive the generated one eMD , a signed unvarnished eMD and one to generate the eMD serial number used.

Das Bezahlsystem umfasst zudem, dass der zweite Teilnehmer den erhaltenen erzeugten eMD, den signierten unverblendeten eMD und die zum Erzeugen des eMD verwendeten Seriennummer überprüft. Dabei ist vorgesehen, dass der zweite Teilnehmer das Geheimnis generiert und den Teilbetrag sowie die zu dem Teilbetrag gehörige ableitet. Dieser Teilbetrag wird in einem Bezahlverfahren verwendet, wobei die blinde Signatur über den eMD gültig bleibt.The payment system also includes that the second participant generates the received one eMD , the signed unvarnished eMD and those for generating the eMD used serial number checked. It is provided that the second participant generates the secret and derives the partial amount and the one belonging to the partial amount. This partial amount is used in a payment process, the blind signature over the eMD remains valid.

Ein eMD ist insbesondere ein elektronischer Datensatz, der einen geldwerten Betrag repräsentiert und umgangssprachlich auch als „digitale Münze“ oder „elektronische Münze“ bezeichnet wird. Das Recht an diesem geldwerten Betrag wechselt bei dem Verfahren von einem ersten Konto zu einem anderen Konto. Als ein geldwerter Betrag wird im Folgenden ein digitaler Betrag verstanden, der auf einem Konto eines Geldinstituts gutgeschrieben werden kann. Der eMD repräsentiert also Bargeld in elektronischer Form.A eMD is, in particular, an electronic data record that represents a monetary amount and is colloquially referred to as “digital coin” or “electronic coin”. The right to this monetary amount changes in the process from a first account to another account. In the following, a monetary amount is understood to be a digital amount that can be credited to an account of a financial institution. Of the eMD therefore represents cash in electronic form.

Die eMD unterscheiden sich wesentlich von elektronischen Datensätzen zum Datenaustausch oder Datentransfer, da beispielsweise eine klassische Datentransaktion auf Basis eines Frage-Antwort-Prinzips bzw. auf einer Interkommunikation zwischen den Datentransferpartnern stattfindet. EMD kennzeichnen sich dementgegen durch Einmaligkeit, Eindeutigkeit und Sicherheitsmerkmale (Signaturen, Verschlüsselungen) aus. In einem eMD sind prinzipiell alle Daten enthalten, die für eine empfangende Instanz bezüglich Verifikation, Authentisierung und Weitergeben an andere Instanzen benötigt werden. Eine Interkommunikation ist daher bei dieser Art Datensätze grundsätzlich nicht erforderlich. Ausnahmen bilden die Wechselgeld-Bezahltransaktionen.The eMD differ significantly from electronic data records for data exchange or data transfer, since, for example, a classic data transaction takes place on the basis of a question-answer principle or on intercommunication between the data transfer partners. In contrast, EMD are characterized by uniqueness, uniqueness and security features (signatures, encryption). In one eMD In principle, all data is contained that is required for a receiving instance with regard to verification, authentication and forwarding to other instances. Intercommunication is therefore generally not necessary with this type of data record. Exceptions are the change payment transactions.

Zur Übertragung kann ein Sicherheitselement in einem Endgerät eines Teilnehmers vorgesehen sein. Ein Sicherheitselement ist bevorzugt eine spezielle Software, insbesondere in Form einer abgesicherten Laufzeitumgebung innerhalb eines Betriebssystems eines Endgeräts, englisch Trusted Execution Environments, TEE. Alternativ ist das Sicherheitselement beispielsweise als spezielle Hardware, insbesondere in Form eines gesicherten Hardware-Plattform-Moduls, englisch Trusted Platform Module, TPM oder als ein eingebettetes Sicherheitsmodul, eUICC, eSIM, ausgebildet. Das Sicherheitselement stellt eine vertrauenswürdige Umgebung bereit und sichert beispielsweise auch eine Machine-2-Machine, M2M Anwendung ab.A security element can be provided in a subscriber's terminal for transmission. A security element is preferably special software, in particular in the form of a secure runtime environment within an operating system of a terminal device, English Trusted Execution Environments, TEE. Alternatively, the security element is designed, for example, as special hardware, in particular in the form of a secured hardware platform module, English Trusted Platform Module, TPM or as an embedded security module, eUICC, eSIM. The security element provides a trustworthy environment and also secures, for example, a machine-2-machine, M2M application.

Die Kommunikation zwischen zwei Endgeräten bzw. Sicherheitselement kann kontaktlos oder kontaktbehaftet erfolgen und kann als ein gesicherter Kanal ausgebildet sein. Somit ist der Austausch des eMD durch kryptografische Schlüssel, beispielsweise einem für einen Münzdatensatz-Austausch ausgehandelten Sitzungsschlüssel oder einem symmetrischen oder asymmetrischen Schlüsselpaar.The communication between two end devices or security element can take place without contact or with contact and can be designed as a secure channel. Thus the exchange of the eMD by cryptographic keys, for example a session key negotiated for an exchange of coin records or a symmetrical or asymmetrical pair of keys.

Als ein Endgerät wird jegliches ein Programmcode verarbeitendes Endgerät mit Benutzer-Ein-Ausgabe abgesehen, beispielsweise ein PC, ein Smartphone, ein Tablet. Zudem kann das Endgerät auch Teil einer M2M-Umgebung sein, beispielsweise eine Maschine, Werkzeug, Automat oder auch Behälter und Fahrzeug verstanden. Ein erfindungsgemäßes Endgerät ist somit entweder stationär oder mobil. M2M steht dabei für den (voll-) automatisierten Informationsaustausch zwischen diesen Endgeräten, beispielsweise unter Nutzung des Internets und den entsprechenden Zugangsnetzen, wie dem Mobilfunknetz.Any terminal processing a program code with user input / output is excluded as a terminal, for example a PC, a smartphone, a tablet. In addition, the terminal can also be part of an M2M environment, for example a machine, tool, machine or container and vehicle understood. A terminal device according to the invention is thus either stationary or mobile. M2M stands for the (fully) automated exchange of information between these devices, for example using the Internet and the corresponding access networks, such as the mobile network.

FigurenlisteFigure list

Nachfolgend wird anhand von Figuren die Erfindung bzw. weitere Ausführungsformen und Vorteile der Erfindung näher erläutert, wobei die Figuren lediglich Ausführungsbeispiele der Erfindung beschreiben. Gleiche Bestandteile in den Figuren werden mit gleichen Bezugszeichen versehen. Die Figuren sind nicht als maßstabsgetreu anzusehen, es können einzelne Elemente der Figuren übertrieben groß bzw. übertrieben vereinfacht dargestellt sein.The invention and further embodiments and advantages of the invention are explained in more detail below with reference to figures, the figures merely describing exemplary embodiments of the invention. Identical components in the figures are provided with the same reference symbols. The figures are not to be regarded as true to scale, individual elements of the figures can be shown in an exaggeratedly large or exaggeratedly simplified manner.

Es zeigen:

  • 1 Prinzip des Digi-Cash Verfahrens mit blinden Signaturen;
  • 2 ein bekanntes Beispiel zum Erstellen und Prüfen einer Signatur mittels ECDSA;
  • 3 ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Signatur-Erzeugen Verfahrens;
  • 4 ein Ausführungsbeispiel eines Verfahrensablaufs zum Erzeugen und Überprüfen einer blinden Signatur für einen eMD gemäß der Erfindung;
  • 5 ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens;
  • 6 ein Ausführungsbeispiel eines Verfahrensablaufs zum Erzeugen und Überprüfen einer blinden Signatur für einen eMD mit ganzem geldwerten Betrag und davon abgeteilten geldwerten Teilbeträgen gemäß der Erfindung; und
  • 7 ein Ausführungsbeispiel eines Verfahrensablaufs zum Erzeugen und Überprüfen einer blinden Signatur für einen eMD mit ganzem geldwerten Betrag und davon abgeteilten geldwerten Teilbeträgen gemäß der Erfindung.
Show it:
  • 1 Principle of the Digi-Cash process with blind signatures;
  • 2nd a well-known example of creating and verifying a signature using ECDSA;
  • 3rd an embodiment of a process flow diagram of a signature generating method according to the invention;
  • 4th an embodiment of a process flow for generating and checking a blind signature for a eMD according to the invention;
  • 5 an embodiment of a process flow diagram of a method according to the invention;
  • 6 an embodiment of a process flow for generating and checking a blind signature for a eMD with the whole monetary amount and the monetary partial amounts divided therefrom according to the invention; and
  • 7 an embodiment of a process flow for generating and checking a blind signature for a eMD with a whole monetary amount and monetary partial amounts divided therefrom according to the invention.

FIGURENBESCHREIBUNGFIGURE DESCRIPTION

1 zeigt das Prinzip des „DigiCash“ Verfahrens mit blinden Signaturen. Hierbei überträgt ein erster Teilnehmer (Käufer) T1, einem zweiten Teilnehmer (Verkäufer) T2 eine vom Signatur-Herausgeber H signierte Münze. Dazu tauscht der erste Teilnehmer T1 einen geldwerten Betrag durch eine digitale Münze, deren eindeutige Kennung, beispielsweise eine Seriennummer, er selbst im Schritt 1 generiert. Die eindeutige Kennung wird im Schritt 2 verschlüsselt und im Schritt 3 dem Signatur-Herausgeber H zusammen mit dem Wert der digitalen Münze übertragen. Der Signatur-Herausgeber H bestätigt die Gültigkeit der digitalen Münze durch Signieren der verschlüsselten eindeutigen Kennung im Schritt 4 und sendet die so signierte digitale Münze im Schritt 5 zurück an den ersten Teilnehmer T1. Im Schritt 6 entschlüsselt der ersten Teilnehmer T1 die Signatur und überträgt (bezahlt) im Schritt 7 die digitale Münze bestehend aus der eindeutigen Kennung und der entschlüsselten Signatur an den zweiten Teilnehmer T2. Der zweite Teilnehmer T2 fordert den Signatur-Herausgeber H im Schritt 8 zum Einlösen der digitalen Münze auf. Der Signatur-Herausgeber H verifiziert die Echtheit der digitalen Münze anhand der Signatur im Schritt 9 und ermöglicht so das Einlösen des geldwerten Betrags der digitalen Münze im Schritt 10. 1 shows the principle of the "DigiCash" process with blind signatures. Here, a first participant (buyer) transmits T1 , a second participant (seller) T2 one from the signature editor H signed coin. To do this, the first participant swaps T1 a monetary amount through a digital coin, the unique identifier, for example a serial number, he himself in the step 1 generated. The unique identifier is in the step 2nd encrypted and in step 3rd the signature editor H transferred along with the value of the digital coin. The signature editor H confirms the validity of the digital coin by signing the encrypted unique identifier in step 4th and sends the signed digital coin in step 5 back to the first participant T1 . In step 6 decrypts the first participant T1 the signature and transfers (paid) in step 7 the digital coin consisting of the unique identifier and the decrypted signature to the second participant T2 . The second participant T2 requests the signature editor H in step 8th to redeem the digital coin. The signature editor H verifies the authenticity of the digital coin based on the signature in the crotch 9 and thus enables the monetary amount of the digital coin to be redeemed in step 10th .

In 2 wird ein Verfahrensablauf 100 bestehend aus einem Verfahren S zum Erstellen einer Signatur zwischen einem ersten Teilnehmer T1 bzw. dessen ersten Endgerät M1 und einem Herausgeber H und einem Verfahren P zum Überprüfen der erstellten Signatur zwischen einen ersten Teilnehmer T1 und einer Prüfinstanz PI dargestellt.In 2nd becomes a process flow 100 consisting of a process S to create a signature between a first participant T1 or its first terminal M1 and an editor H and a process P to check the signature created between a first participant T1 and an inspection body PI shown.

Im Signierverfahren S einigen sich im Schritt 101 alle beteiligten Instanzen T1, H und P über die Kurvenparameter, f, p, a, b, G, n, h einer elliptischen Kurve. Diese Kurvenparameter beschreiben eine verwendete Kurve, wobei f die Ordnung des Körpers ist, auf dem die Kurve definiert ist; p die Angabe der verwendeten Basis ist; a, b zwei Körperelemente, die die Gleichung der Kurve beschreiben sind; G der Erzeugerpunkt (Generatorpunkt, Basispunkt) der Kurve ist; n, die Ordnung des Punktes G ist; und h der Kofaktor ist. Zudem einigt man sich über eine zu verwendende kryptografische Streuwertfunktion H(), auch als Hashfunktion bezeichnet, beispielsweise ein SHA-2 Algorithmus.In the signing process S agree in step 101 all involved instances T1 , H and P about the curve parameters, f , p , a , b , G , n , H an elliptic curve. These curve parameters describe a curve used, where f is the order of the body on which the curve is defined; p is the indication of the basis used; a , b two body elements that describe the equation of the curve; G is the generator point (generator point, base point) of the curve; n, the order of the point G is; and h is the cofactor. In addition, an agreement is reached on a cryptographic scatter value function to be used H() , also referred to as a hash function, for example a SHA-2 algorithm.

Im Schritt 102 generiert der Herausgeber H ein kryptografisches Schlüsselpaar d, D basierend auf dem Basispunkt G und teilt den öffentlichen Teil D dem ersten Teilnehmer T1 und der Prüfinstanz PI im Schritt 103, 103' mit. Der öffentliche Schlüsselteil D wird auch als Verifizierschlüssel D bezeichnet. Der private Schlüsselteil d wird als Geheimnis nicht ausgegeben.In step 102 the publisher generates H a cryptographic key pair d , D based on the base point G and shares the public part D the first participant T1 and the reviewing body PI in step 103 , 103 ' With. The public key part D is also used as a verification key D designated. The private key part d is not given out as a secret.

Im Schritt 104 erzeugt der erste Teilnehmer T1 eine Seriennummer m und verknüpft diese mit einem geldwerten Betrag zum elektronischen Münzdatensatz, eMD. Zudem erzeugt der erste Teilnehmer T1 zwei ganzzahlige Zufallszahlen γ, δ. Im Schritt 105 erzeugt der Herausgeber H eine Zufallszahl r, und errechnet einen Punkt R der Kurve, der an den ersten Teilnehmer T1 übertragen wird.In step 104 creates the first participant T1 a serial number m and links this with a monetary amount to the electronic coin record, eMD . The first participant also creates T1 two integer random numbers γ , δ . In step 105 the publisher creates H a random number r , and calculates a point R the curve leading to the first participant T1 is transmitted.

Im Schritt 106 errechnet der erste Teilnehmer T1 einen Punkt der Kurve mit der Gleichung (1): A = R + γ G + δ D

Figure DE102018009943A1_0001
In step 106 the first participant calculates T1 a point of the curve with equation (1): A = R + γ G + δ D
Figure DE102018009943A1_0001

Der Punkt A wird durch eine x-Koordinate Ax und eine y-Koordinate Ay repräsentiert. Die x-Koordinate Ax wird mit der Seriennummer m als Eingangsparameter der Hashfunktion H() in Gleichung (2) verwendet, um einen unsignierten unverblendeten eMD c zu erhalten: c = H ( m A x )

Figure DE102018009943A1_0002
The point A is through an x coordinate A x and a y coordinate A y represents. The x coordinate A x comes with the serial number m as input parameters of the hash function H() in equation (2) used an unsigned unshielded eMD c to obtain: c = H ( m A x )
Figure DE102018009943A1_0002

Der unsignierte unverblendete eMD c wird mit Gleichung (3) in einen unsignierte verblendeten eMD c' umgesetzt: c ' = c δ

Figure DE102018009943A1_0003
The unsigned face-to-face eMD c is faded into an unsigned one with equation (3) eMD c 'implemented: c ' = c - δ
Figure DE102018009943A1_0003

Im Schritt 107 wird dieser unsignierte verblendete eMD c' an den Herausgeber H gesendet und dort im Schritt 108 mittels Gleichung (4) wird der signierte verblendete eMD s' erhalten und im Schritt 109 an den ersten Teilnehmer T1 übertragen: s ' = r c ' d

Figure DE102018009943A1_0004
In step 107 this unsigned is blinded eMD c 'to the editor H sent and there in step 108 Equation (4) blinds the signed eMD s' received and in step 109 to the first participant T1 transfer: s ' = r - c ' d
Figure DE102018009943A1_0004

Im Schritte 110 wird der signierte, verblendete eMD s' mittels Gleichung (5) in einen unverblendeten signierten eMD s umgesetzt: s = s ' + γ

Figure DE102018009943A1_0005
In steps 110 the signed, blinded eMD s' by means of equation (5) into an unblended signed eMD s implemented: s = s ' + γ
Figure DE102018009943A1_0005

Im Ergebnis des Signierverfahrens S ist ein eMD c erhalten, dessen teilnehmergenerierte Seriennummer m die Signatur (s, c) aufweist, siehe Gleichung (6): s i g ( m ) = ( s , c )

Figure DE102018009943A1_0006
As a result of the signing process S is a eMD c received its subscriber-generated serial number m the signature ( s , c ), see equation (6): s i G ( m ) = ( s , c )
Figure DE102018009943A1_0006

Im Prüfverfahren PR kann nun jeder, der in Kenntnis der o.g. Kurvenparameter und des Verifizier-Schlüssels D (öffentlicher Schlüssel des Herausgebers H) ist, die blinde Signatur des eMD c prüfen, was beispielsweise mittels einer Prüfinstanz PI oder eines beliebigen Teilnehmers T1,T2, T3, die alle nicht der Herausgeber H sein müssen, erfolgt. Dazu wird im Schritt 111 der unsignierte unverblendete eMD c, der signierte unverblendete eMD s und die teilnehmergenerierte Seriennummer m vom Teilnehmer T1 and die Prüfinstanz PI übertragen. Dort wird im Schritt 112 die blinde Signatur über folgende Gleichungen (7) bis (10) verifiziert:                           ( c D ) + ( s G )                                    = ( c d G ) + ( r G ) ( c d G ) + ( δ d G ) + ( γ G )                            = R + δ D + γ G ) = A                              

Figure DE102018009943A1_0007
c = = H ( m A x )
Figure DE102018009943A1_0008
 In the test procedure PR Anyone who is familiar with the above curve parameters and the verification key can now D (publisher's public key H ) is the blind signature of the eMD c check what, for example, by means of an inspection body PI or any participant T1 , T2 , T3 , all not the editor H must be done. This is done in step 111 the unsigned blunt eMD c , the signed unvarnished eMD s and the subscriber generated serial number m from the participant T1 and the reviewing body PI transfer. There is in the crotch 112 verified the blind signature using the following equations (7) to (10): ( c D ) + ( s G ) = ( c d G ) + ( r G ) - ( c d G ) + ( δ d G ) + ( γ G ) = R + δ D + γ G ) = A
Figure DE102018009943A1_0007
 c = = H ( m A x )
Figure DE102018009943A1_0008

Wenn der in Gleichung (10) errechnete eMD c dem in Schritt 111 gesendeten (erhaltenen) eMD c entspricht, so gilt die blinde Signatur als bestätigt und der eMD als echt.If the one calculated in equation (10) eMD c the one in step 111 sent (received) eMD c corresponds, the blind signature is considered confirmed and the eMD as real.

3 zeigt ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Signatur-Erzeugen Verfahrens 100. In 4 ist ein Ausführungsbeispiel eines Verfahrensablaufs zum Erzeugen und Überprüfen einer blinden Signatur für einen eMD gemäß der Erfindung gezeigt. Das Verfahren in 3 wird in Verbindung mit 4 erläutert. 3rd shows an embodiment of a process flow diagram of a signature generating method according to the invention 100 . In 4th is an embodiment of a process flow for generating and checking a blind signature for a eMD shown according to the invention. The procedure in 3rd is used in conjunction with 4th explained.

Das Verfahren 100 zum Erstellen einer blinden Signatur gemäß 3 und 4 ist an das Erstellen einer blinden Signatur mit entsprechender Überprüfung durch eine Prüfinstanz PI gemäß der 2 angelehnt und spiegelt einen Verfahrensablauf in einem ECDSA Verfahren wieder. Zu beachten ist, dass das Prüfen mit den Schritten 111 und 112 auch von einem anderen Teilnehmer T2, T3 vorgenommen werden kann, beispielsweise um den geldwerten Betrag oder Teilbetrag zu verifizieren. Zu beachten ist weiter, dass das Prüfen PR mit den Schritten 111 und 112 auch zwischen zwei Teilnehmern T2, T3 stattfinden kann, die nicht die Seriennummer m des eMD c generiert haben. Diese Teilnehmer wollen dann beispielsweise einen geldwerten Gesamtbetrag oder einen davon abgeleiteten Teilbetrag oder einen davon abgeleiteten zweiten Teilbetrag verifizieren und übertragen.The procedure 100 to create a blind signature according to 3rd and 4th is about to create a blind signature with a corresponding review by an inspection body PI according to the 2nd based on and reflects a procedure in an ECDSA procedure. It should be noted that testing with the steps 111 and 112 also from another participant T2 , T3 can be made, for example, to verify the monetary amount or partial amount. It should also be noted that testing PR with the steps 111 and 112 also between two participants T2 , T3 can take place that is not the serial number m of eMD c have generated. These participants then want to verify and transmit, for example, a total monetary amount or a partial amount derived therefrom or a second partial amount derived therefrom.

Die Verwendung des ECDSA ist dabei lediglich beispielhaft und jegliches Verfahren zum Erzeugen einer blinden Signatur, beispielsweise DAS oder RSA basiert, kann mit dem erfindungsgemäßen Grundgedanken, nämlich dem Hinzufügen einer Herausgeberinformation ggf. in Verbindung mit dem Ableiten von geldwerten Teilbeträgen betrieben werden. Dies wird durch die gestrichelten Linien der Schritte 101 bis 105 in der 4 angedeutet, die somit als optionale Schritte anzusehen sind. Auf die Wiederholung der Erläuterung dieser Schritte 101 bis 105 der 2 wird somit verzichtet, obwohl Sie bei Verwendung eines ECDSA Verfahrens Bestandteil des erfindungsgemäßen Verfahrens sind.The use of the ECDSA is only exemplary and any method for generating a blind signature, for example DAS or RSA based, can be operated with the basic idea according to the invention, namely the addition of publisher information, possibly in connection with the derivation of monetary partial amounts. This is indicated by the dashed lines of the steps 101 to 105 in the 4th indicated, which are therefore to be regarded as optional steps. On repeating the explanation of these steps 101 to 105 of the 2nd is therefore dispensed with, even though you are part of the method according to the invention when using an ECDSA method.

Die Verfahrensschritte 101 bis 107 der 3 und 4 gleichen den Verfahrensschritten 101 bis 107 der 2 und für weitere Erläuterungen wird auf diese 2 verwiesen.The procedural steps 101 to 107 of the 3rd and 4th same as the procedural steps 101 to 107 of the 2nd and for further explanations is on this 2nd referred.

Im Schritt 107 wird der mit Gleichung (3) beschriebene unsignierte verblendete eMD c' an den Herausgeber H gesendet.In step 107 the unsigned one described with equation (3) is blinded eMD c 'to the editor H sent.

Dort wird im Schritt 113 ein Herausgeberwert w generiert. Der Herausgeberwert w ist beispielsweise ein Zeitstempel oder ein Zufallswert. Dieser Herausgeberwert w wird mittels einer Streuwertfunktion H() in eine Herausgeberinformation u umgesetzt. Diese Streuwertfunktion H() ist bevorzugt die Streuwertfunktion, die im Schritt 101 vereinbart wurde. Dies vereinfacht das Verfahren bezüglich Kompatibilität und Vereinbarung von zu verwendenden kryptografischen Funktionen.There is in the crotch 113 a publisher value w generated. The publisher value w is, for example, a timestamp or a random value. This publisher value w is by means of a scatter value function H() converted into a publisher information u. This scatter value function H() is preferably the scatter value function that in step 101 was agreed. This simplifies the process regarding the compatibility and agreement of the cryptographic functions to be used.

Mit dieser Herausgeberinformation u wird in Gleichung (11) der unsignierte verblendete eMD c' gemäß Schritt 113 erweitert: c ' + u

Figure DE102018009943A1_0009
With this publisher information u, the unsigned is blended in equation (11) eMD c 'according to step 113 extended: c ' + u
Figure DE102018009943A1_0009

Im Schritt 108 wird mittels Gleichung (12) der erweiterte signierte verblendeten eMD s" erhalten: s ' ' = r ( c ' + u ) d

Figure DE102018009943A1_0010
In step 108 is the extended signed blinded using equation (12) eMD s "received: s ' ' = r - ( c ' + u ) d
Figure DE102018009943A1_0010

Im Schritt 109 wird der erweiterte signierte verblendete eMD s" zusammen mit dem Herausgeberwert w an den ersten Teilnehmer T1 übertragen.In step 109 the expanded signed is blinded eMD s "along with the editor value w to the first participant T1 transfer.

Im Schritte 110 wird der signierte verblendete eMD s" mittels Gleichung (13) unverblendet: s = s ' ' + γ

Figure DE102018009943A1_0011
In steps 110 the signed is blinded eMD s "unblended using equation (13): s = s ' ' + γ
Figure DE102018009943A1_0011

Im Ergebnis des Signierverfahrens S hat ein eMD c mit der teilnehmergenerierten Seriennummer m die Signatur (s, c, w), siehe Gleichung (14): s i g ( m ) = ( s , c , w )

Figure DE102018009943A1_0012
As a result of the signing process S has a eMD c with the subscriber generated serial number m the signature ( s , c , w ), see equation (14): s i G ( m ) = ( s , c , w )
Figure DE102018009943A1_0012

Erfindungsgemäß generiert der Teilnehmer T1 den eMD c und verblendet diesen in c' mit der Zufallszahl γ, sodass der eMD c nicht beim Herausgeber H bekannt wird. According to the invention, the participant generates T1 the eMD c and blinds this in c 'with the random number γ so that the eMD c not with the publisher H becomes known.

Dem eMD c ist neben der eindeutigen Seriennummer m auch ein geldwerter Maximalbetrag zugeordnet.The eMD c is next to the unique serial number m also assigned a monetary maximum amount.

Der Herausgeber H signiert den verblendeten unsignierten eMD c', ohne dass er den eMD c oder die Seriennummer m kennt. Das wird als blindes Signieren bezeichnet. Der Herausgeber H fügt erfindungsgemäß einen herausgebergenerierten Wert w in Form einer Herausgeberinformation u an. Diese Herausgeberinformation u wird unveränderbarer Teil der signierten verblendeten eMD s" und nach Gleichung (13) als Herausgeberwert w auch Teil der signierten unverblendeten eMD s.The Publisher H signed the blinded unsigned eMD c 'without him eMD c or the serial number m knows. This is called blind signing. The Publisher H adds a publisher-generated value according to the invention w in the form of publisher information u. This publisher information u becomes an unchangeable part of the signed blinded eMD s "and according to equation (13) as editor value w also part of the signed unvarnished eMD s.

Im Prüfverfahren PR kann nun jeder, der in Kenntnis der o.g. Kurvenparameter und des Verifizierschlüssels D ist, die Signatur (s, c, w) des eMD c mit der Seriennummer m und dem Herausgeberwert w prüfen, was beispielsweise mittels einer Prüfinstanz PI, T2, T3, die nicht zwangsläufig der Herausgeber H ist, erfolgt. Beim Überprüfen im Verfahren PR der 4 erfolgt sodann ein Überprüfen, ob m verändert wurde und ob w verändert wurde, was nachfolgend beschrieben ist.In the test procedure PR Anyone who is familiar with the curve parameters and the verification key D is the signature ( s , c , w ) of eMD c with the serial number m and the publisher value w check what, for example, by means of an inspection body PI , T2 , T3 who is not necessarily the editor H is done. When checking in the process PR of the 4th a check is then carried out to determine whether m has been changed and whether w has been changed, which is described below.

Dazu wird im Schritt 111 der unsignierte unverblendete eMD c, der signierte unverblendete eMD s, die teilnehmergenerierte Seriennummer m und der Herausgeberwert w vom Teilnehmer T1 and die Prüfinstanz PI, T2, T3 übertragen. Dort wird im Schritt 112 die Signatur über folgende Gleichungen (15) bis (17) verifiziert: u = H ( w )

Figure DE102018009943A1_0013
A = s G + ( c + u ) D
Figure DE102018009943A1_0014
 c = = H ( m A x )
Figure DE102018009943A1_0015
 This is done in step 111 the unsigned blunt eMD c , the signed unvarnished eMD s, the subscriber generated serial number m and the editor value w from the participant T1 and the reviewing body PI , T2 , T3 transfer. There is in the crotch 112 verified the signature using the following equations (15) to (17): u = H ( w )
Figure DE102018009943A1_0013
 A = s G + ( c + u ) D
Figure DE102018009943A1_0014
 c = = H ( m A x )
Figure DE102018009943A1_0015

Wird mit Gleichung (17) festgestellt, dass der im Schritt 111 erhaltene unsignierte unverblendete eMD c dem errechneten eMD entspricht, so gilt die blinde Signatur als echt.It is determined with equation (17) that the step 111 preserved unsigned unblended eMD c the calculated eMD corresponds, the blind signature is considered genuine.

5 zeigt ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Signatur-Erhalten Verfahrens. In 6 ist ein Ausführungsbeispiel eines Verfahrensablaufs zum Erhalten S einer blinden Signatur und auch zum Überprüfen PR einer blinden Signatur für einen eMD gemäß der Erfindung gezeigt. Das Überprüfen-Verfahren PR weist dabei drei unterschiedliche Szenarien PR1, PR2, PR3 auf. Das Verfahren in 5 wird in Verbindung mit 6 erläutert. 5 shows an embodiment of a process flow diagram of a signature obtaining method according to the invention. In 6 is an embodiment of a process flow for obtaining S a blind signature and also for checking PR a blind signature for one eMD shown according to the invention. The review process PR shows three different scenarios PR1 , PR2 , PR3 on. The procedure in 5 is used in conjunction with 6 explained.

Das Verfahren zum Erhalten einer blinden Signatur gemäß 5 und 6 ist an das Erstellen einer blinden Signatur mit entsprechender Überprüfung durch eine Prüfinstanz PI, T2, T3 gemäß der 2 angelehnt und spiegelt einen Verfahrensablauf in einem ECDSA Verfahren wieder. Zu beachten ist, dass das Prüfen PR1, PR2, PR3 mit den Schritten 111, 111', 111" und 112, 112', 112" auch von einem anderen Teilnehmer T2, T3 vorgenommen werden kann, beispielsweise um den geldwerten Betrag oder Teilbetrag zu verifizieren. Zu beachten ist weiter, dass das Prüfen PR1, PR2, PR3 mit den Schritten 111, 111', 111" und 112, 112', 112" auch zwischen zwei Teilnehmern T2, T3 stattfinden kann, die nicht die Seriennummer m des eMD c generiert haben, beispielsweise um einen geldwerten Gesamtbetrag oder einen davon abgeleiteten Teilbetrag υ oder einen davon abgeleiteten zweiten Teilbetrag ε zu verifizieren und übertragen zu bekommen. Nachfolgend wird die Prüfinstanz PI einem anderen Teilnehmer T2, T3 gleichgesetzt.The procedure for obtaining a blind signature according to 5 and 6 is about to create a blind signature with a corresponding review by an inspection body PI , T2 , T3 according to the 2nd based on and reflects a procedure in an ECDSA procedure. It should be noted that testing PR1 , PR2 , PR3 with the steps 111 , 111 ' , 111 " and 112 , 112 ' , 112 " also from another participant T2 , T3 can be made, for example, to verify the monetary amount or partial amount. It should also be noted that testing PR1 , PR2 , PR3 with the steps 111 , 111 ' , 111 " and 112 , 112 ' , 112 " also between two participants T2 , T3 can take place that is not the serial number m of eMD c have generated, for example, by a total monetary amount or a partial amount derived from it υ or a second partial amount derived from it ε to verify and get transmitted. Below is the reviewer PI another participant T2 , T3 equated.

Die Verwendung des ECDSA ist dabei lediglich beispielhaft und jegliches Verfahren zum Erzeugen/Erhalten einer blinden Signatur, beispielsweise DAS- oder RSAbasiert, kann mit dem erfindungsgemäßen Grundgedanken, nämlich dem Ableiten von geldwerten Teilbeträgen, ggf. unter Verwendung von Herausgeberinformationen des Signatur-Herausgebers H erfolgen. Auf die Wiederholung der Schritte 101 bis 105 der 2 wird somit verzichtet, obwohl Sie bei Verwendung eines ECDSA Verfahrens Bestandteil des erfindungsgemäßen Verfahrens sind.The use of the ECDSA is only exemplary and any method for generating / receiving a blind signature, for example DAS or RSA-based, can be carried out with the basic idea according to the invention, namely the derivation of partial monetary amounts, if necessary using publisher information from the signature publisher H respectively. On repeating the steps 101 to 105 of the 2nd is therefore dispensed with, even though you are part of the method according to the invention when using an ECDSA method.

Die Verfahrensschritte 101 bis 105 der 5 und 6 gleichen den Verfahrensschritten 101 bis 105 der 2 und für weitere Erläuterungen wird auf diese 2 verwiesen.The procedural steps 101 to 105 of the 5 and 6 same as the procedural steps 101 to 105 of the 2nd and for further explanations is on this 2nd referred.

Im Schritt 114 erfolgt ein mit Gleichung (18) beschriebenes Erzeugen eines öffentlichen Schlüssels M im Teilnehmer T1: M = m G

Figure DE102018009943A1_0016
In step 114 a public key is generated as described in equation (18) M in the participant T1 : M = m G
Figure DE102018009943A1_0016

Dabei ist die teilnehmergenerierte Seriennummer m als ein Geheimnis anzusehen und der öffentliche Schlüssel G wird unter Verwendung des (vereinbarten) Basispunktes G der elliptischen Kurve abgeleitet. Alternativ können andere vereinbarte Werte zum Erzeugen des öffentlichen Schlüssels M verwendet werden.Here is the subscriber generated serial number m to be regarded as a secret and the public key G is calculated using the (agreed) basis point G derived from the elliptic curve. Alternatively, other agreed values for generating the public key can be used M be used.

Im Schritt 106 errechnet der erste Teilnehmer T1 einen Punkt der Kurve mit der Gleichung (1) Der Punkt A wird durch eine x-Koordinate Ax und eine y-Koordinate Ay repräsentiert. Die x-Koordinate Ax wird mit dem öffentlichen Schlüssel M als Eingangsparameter der Hashfunktion H() in Gleichung (19) verwendet, um einen unsignierten unverblendeten eMD c zu erhalten: c = H ( m A x )

Figure DE102018009943A1_0017
In step 106 the first participant calculates T1 a point of the curve with equation (1) the point A is through an x coordinate A x and a y coordinate A y represents. The x coordinate A x comes with the public key M as input parameters of the hash function H() in equation (19) used an unsigned unblended eMD c to obtain: c = H ( m A x )
Figure DE102018009943A1_0017

Der unsignierte unverblendete eMD c wird mit Gleichung (20) in einen unsignierte verblendeten eMD c'(M) umgesetzt: c ' ( M ) = c δ

Figure DE102018009943A1_0018
The unsigned face-to-face eMD c is faded into an unsigned one with equation (20) eMD c '(M) implemented: c ' ( M ) = c - δ
Figure DE102018009943A1_0018

Im Schritt 107 wird der mit Gleichung (20) beschriebene unsignierte verblendete eMD c'(M) an den Herausgeber H gesendet. Im Schritt 108 wird mittels Gleichung (21) der signierte verblendete eMD s' erhalten und im Schritt 109 an den ersten Teilnehmer T1 übertragen: s ' = r c ' ( M ) d

Figure DE102018009943A1_0019
In step 107 the unsigned one described with equation (20) is blinded eMD c '(M) to the editor H sent. In step 108 the signed is blinded using equation (21) eMD s' received and in step 109 to the first participant T1 transfer: s ' = r - c ' ( M ) d
Figure DE102018009943A1_0019

Im Schritte 110 wird der signierte, verblendete eMD s' mittels Gleichung (5) erhalten. Im Ergebnis des Signierverfahrens S ist ein eMD c erhalten, dessen öffentlicher Schlüssel M die Signatur (s, c) aufweist, siehe Gleichung (22): s i g ( M ) = ( s , c )

Figure DE102018009943A1_0020
In steps 110 the signed, blinded eMD s' obtained using equation (5). As a result of the signing process S is a eMD c get whose public key M the signature ( s , c ), see equation (22): s i G ( M ) = ( s , c )
Figure DE102018009943A1_0020

Gemäß 5 und 6 generiert der Teilnehmer T1 den eMD c unter Verwendung eines öffentlichen Schlüssels M anstelle der Seriennummer m. Diese Seriennummer m ist dem Signatur-Herausgeber H geheim. Dies ermöglicht es, den geldwerten Betrag der eMD c zu teilen und Teilbeträge u oder zweite Teilbeträge ε zwischen Teilnehmern T1, T2, T3 zu übertragen, ohne dass die blinde Signatur ungültig wird. Dies vereinfacht den Verwaltungsaufwand beim Signatur-Herausgeber H und ermöglicht ein Bezahlsystem mit eMD c bei dem auch Wechselgeld gezahlt werden kann oder bei dem unrunde Beträge übertragen werden können oder dessen geldwertere Betrag an verschiedene Instanzen gesendet werden kann. In 6 sind nun drei Szenarien dargestellt, mit denen ein mit dem in 6 erhaltenen Signierverfahren S teilbarer eMD übertragbar ist, wobei dennoch die blinde Signatur gültig bleibt.According to 5 and 6 the participant generates T1 the eMD c using a public key M instead of the serial number m . This serial number m is the signature editor H secret. This enables the monetary amount of the eMD c to divide and installments u or second installments ε between participants T1 , T2 , T3 to be transmitted without the blind signature becoming invalid. This simplifies the administrative work for the signature publisher H and enables a payment system with eMD c in which change can also be paid or in which non-circular amounts can be transferred or whose monetary value can be sent to different instances. In 6 three scenarios are now shown, one with the one in 6 obtained signature process S divisible eMD is transferable, but the blind signature remains valid.

Mit den Prüfverfahren PR1, PR2, PR3 können nun unrunde Beträge sehr genau übertragen werden oder entsprechendes Rückgeld (Wechselgeld) generiert werden. Beispielsweise könnte der maximale geldwerte Betrag einer eMD c im Prüfverfahren PR1 von einem ersten Teilnehmer T1 an einen zweiten Teilnehmer T2 gesendet werden. Im Prüfverfahren PR2 wird dann vom zweiten Teilnehmer T2 ein Teilbetrag u als Wechselgeld an den ersten Teilnehmer T1 zurückübertragen. Der erste Teilnehmer T1 kann nun den Teilbetrag u weiter aufteilen und den zweiten Teilbetrag ε an den dritten Teilnehmer T3 im Prüfverfahren PR3 übertragen:

  • Im Prüfverfahren PR1 der 6 ist zunächst dargestellt, dass der gesamte geldwerte Betrag eines eMD geprüft und ggf. bei einem zweiten Teilnehmer T2, T3 eingelöst werden soll.
With the test procedures PR1 , PR2 , PR3 non-circular amounts can now be transferred very precisely or corresponding change (change) can be generated. For example, the maximum monetary amount could be one eMD c in the test procedure PR1 from a first participant T1 to a second participant T2 be sent. In the test procedure PR2 is then from the second participant T2 a partial amount u as change to the first participant T1 retransfer. The first participant T1 can now further split the partial amount u and the second partial amount ε to the third participant T3 in the test procedure PR3 transfer:
  • In the test procedure PR1 of the 6 It is initially shown that the total monetary amount is one eMD checked and possibly with a second participant T2 , T3 to be redeemed.

Im Prüfverfahren PR1 der 6 kann jede Instanz (PI, T2, T3), die in Kenntnis der o.g. Kurvenparameter und des Verifizier-Schlüssels D (öffentlicher Schlüssel des Herausgebers H) ist, die blinde Signatur des eMD c prüfen, was beispielsweise mittels der Prüfinstanz PI, die nicht zwangsläufig der Herausgeber H ist, erfolgt.In the test procedure PR1 of the 6 can every instance ( PI , T2 , T3 ), knowing the curve parameters mentioned above and the verification key D (publisher's public key H ) is the blind signature of the eMD c check what, for example, by means of the test authority PI who is not necessarily the editor H is done.

Dazu wird im Schritt 111 der unsignierte unverblendete eMD c, der signierte unverblendete eMD s und die teilnehmergenerierte Seriennummer m vom Teilnehmer T1 an die Prüfinstanz PI übertragen. Dort wird im Schritt 112 die blinde Signatur verifiziert. Mit Gleichung (23) wird zunächst der teilnehmergenerierte öffentliche Schlüssel M errechnet. M = m G

Figure DE102018009943A1_0021
This is done in step 111 the unsigned blunt eMD c , the signed unvarnished eMD s and the subscriber generated serial number m from the participant T1 to the inspection body PI transfer. There is in the crotch 112 the blind signature verified. With equation (23) the subscriber generated public key is first M calculated. M = m G
Figure DE102018009943A1_0021

Gemäß den Gleichungen (7) bis (9) wird dann die eMD c errechnet und mit Gleichungen (24) wird dann geprüft, ob die errechnet eMD der erhaltenen eMD c entspricht: c , s = = b . s i g ( M ) ; c = = H ( M A x )

Figure DE102018009943A1_0022
According to equations (7) to (9), the eMD c is calculated and with equations (24) it is then checked whether it is calculated eMD of the received eMD c corresponds to: c , s = = b . s i G ( M ) ; c = = H ( M A x )
Figure DE102018009943A1_0022

Stimmt die errechnete eMD c mit der erhaltenen eMD c überein, so ist die blinde Signatur gültig und die eMD c kann von der Prüfinstanz PI, oder auch den anderen Teilnehmern T2, T3, für weitere Bezahlvorgänge verwendet werden. Is the calculated eMD c with the received eMD c match, the blind signature is valid and the eMD c can be from the test body PI , or the other participants T2 , T3 , can be used for further payment processes.

Wenn der in Gleichung (24) erhaltene eMD c dem in Schritt 111 gesendeten eMD c entspricht, so gilt die blinde Signatur als bestätigt und der eMD als echt.If the one obtained in equation (24) eMD c the one in step 111 sent eMD c corresponds, the blind signature is considered confirmed and the eMD as real.

Im Prüfverfahren PR2 der 6 ist nun zunächst mit Schritt 115 das Ableiten eines Teilbetrags u vom geldwerten Gesamtbetrag gezeigt. Dazu generiert der Teilnehmer T1 (oder ein anderer Teilnehmer, der im Besitz der eMD c ist) ein Geheimnis p und einen weiteren öffentlichen Schlüssel P unter Verwendung des teilnehmergenerierten Geheimnisses p. Das Geheimnis p ist von der Seriennummer m verschieden. Der weitere teilnehmergenerierte Schlüssel P ist vom teilnehmergenerierten öffentlichen Schlüssel M verschieden. Beispielsweise kann der teilnehmergenerierte öffentliche Schlüssel P durch Multiplikation mit dem Basispunkt G erhalten werden, siehe Gleichung (25): P = p G

Figure DE102018009943A1_0023
In the test procedure PR2 of the 6 is now with step 115 the derivation of a partial amount u from the monetary total amount is shown. To do this, the participant generates T1 (or another participant who owns the eMD c It's a secret p and another public key P using the subscriber generated secret p . The secret p is from the serial number m different. The further subscriber generated key P is from the subscriber generated public key M different. For example, the subscriber generated public key P by multiplying by the base point G can be obtained, see equation (25): P = p G
Figure DE102018009943A1_0023

Für das Ableiten 115 wird mit Gleichung (26) zudem eine echte Signatur σm erstellt: σ m = s i g m ( P υ )

Figure DE102018009943A1_0024
For deriving 115 becomes a real signature with equation (26) σ m created: σ m = s i G m ( P υ )
Figure DE102018009943A1_0024

Dabei ist υ der abzuleitende Teilbetrag, der kleiner ist als der geldwerte Gesamtbetrag der eMD c. Die echte Signatur σm ist hier eine logische ODER Verknüpfung aus dem öffentlichen Schlüssel P und dem Teilbetrag υ. Andere logische Verknüpfungen oder mathematische Operationen sind für das Erstellen der echten Signatur σm ebenfalls denkbar. Im Schritt 111' werden nun folgende Variablen zwischen zwei Teilnehmern T1, T2, T3 ausgetauscht:

  • • der eMD c
  • • der teilnehmergenerierte öffentliche Schlüssel M
  • • der signierte unverblendete eMD s
  • • die echte Signatur σm
  • • der Teilbetrag υ
  • • das teilnehmergenerierte Geheimnis p
It is υ the partial amount to be derived, which is smaller than the total monetary amount of eMD c . The real signature σ m here is a logical OR link from the public key P and the partial amount υ . Other logical links or mathematical operations are for creating the real signature σ m also conceivable. In step 111 ' are the following variables between two participants T1 , T2 , T3 exchanged:
  • • of the eMD c
  • The subscriber-generated public key M
  • • the signed unblended eMD s
  • • the real signature σ m
  • • the partial amount υ
  • • the participant-generated secret p

Im Schritt 112' kann nun die Echtheit der blinden Signatur und die Echtheit der echten Signatur σm überprüft werden, wodurch der Teilbetrag u als - zwischen den Teilnehmern T1, T2, T3 -übertragen gilt. Dazu wird zunächst mittels des teilnehmergenerierten Geheimnisses p und dem vereinbarten Basispunkt G der weitere öffentliche Schlüssel P errechnet, siehe Gleichung (25). Zudem wird die blinde Signatur gemäß den Gleichungen (7) bis (9) und (24) geprüft. Zudem wird die echte Signatur σm aus dem errechneten weiteren teilnehmergenerierten öffentlichen Schlüssel P und dem erhaltenen Teilbetrag υ errechnet und bei Übereinstimmung der Gleichung (27) σ m = = s i g m ( P υ )

Figure DE102018009943A1_0025
gilt der Teilbetrag υ als verifiziert und ist durch das Übertragen des Geheimnisses p auch übertragen. Es gilt zu beachten, dass die Prüfinstanz PI, T2, T3 nicht im Besitz der teilnehmergenerierten Seriennummer m ist und somit zwar die blinde Signatur verifizieren kann (durch den Schlüssel M) aber nicht in den Besitz des geldwerten Gesamtbetrags gelangt.In step 112 ' can now check the authenticity of the blind signature and the authenticity of the real signature σ m be checked, whereby the partial amount u as - between the participants T1 , T2 , T3 -transfer applies. To do this, first use the participant-generated secret p and the agreed base point G the other public key P calculated, see equation (25). In addition, the blind signature is checked according to equations (7) to (9) and (24). In addition, the real signature σ m from the calculated further subscriber-generated public key P and the partial amount received υ calculated and if equation (27) matches σ m = = s i G m ( P υ )
Figure DE102018009943A1_0025
 the partial amount applies υ as verified and is by transmitting the secret p also transferred. It should be noted that the inspection body PI , T2 , T3 does not have the subscriber generated serial number m and can thus verify the blind signature (using the key M ) but did not get the total monetary amount.

Im Prüfverfahren PR3 der 6 ist nun zunächst mit Schritt 116 das Ableiten eines zweiten Teilbetrags ε vom Teilbetrag υ gezeigt. Dazu generiert der Teilnehmer T1 (oder ein anderer Teilnehmer, der im Besitz der eMD c ist) ein zweites Geheimnis q und einen zweiten weiteren öffentlichen Schlüssel Q unter Verwendung des teilnehmergenerierten Geheimnisses q. Das zweite Geheimnis q ist von der Seriennummer m und vom Geheimnis p verschieden. Der zweite weitere teilnehmergenerierte Schlüssel Q ist vom teilnehmergenerierten öffentlichen Schlüssel M und dem weiteren teilnehmergenerierten Schlüssel P verschieden. Beispielsweise kann der zweite weitere teilnehmergenerierte öffentliche Schlüssel Q durch Multiplikation mit dem Basispunkt G erhalten werden, siehe Gleichung (28): Q = q G

Figure DE102018009943A1_0026
In the test procedure PR3 of the 6 is now with step 116 deriving a second partial amount ε of the partial amount υ shown. To do this, the participant generates T1 (or another participant who owns the eMD c is) a second secret q and a second further public key Q using the subscriber generated secret q . The second secret q is from the serial number m and the secret p different. The second further subscriber generated key Q is from the subscriber generated public key M and the further subscriber generated key P different. For example, the second additional subscriber-generated public key Q by multiplying by the base point G can be obtained, see equation (28): Q = q G
Figure DE102018009943A1_0026

Für das Ableiten 116 wird mit Gleichung (28) zudem eine zweite echte Signatur σp erstellt: σ p = s i g p ( Q     ε )

Figure DE102018009943A1_0027
For deriving 116 equation (28) also becomes a second real signature σ p created: σ p = s i G p ( Q ε )
Figure DE102018009943A1_0027

Dabei ist ε der abzuleitende zweite Teilbetrag, der kleiner ist als der geldwerte Gesamtbetrag und der auch kleiner ist als der Teilbetrag u der eMD c. Die echte Signatur σp ist hier eine logische ODER Verknüpfung aus dem öffentlichen Schlüssel Q und dem Teilbetrag ε. Andere logische Verknüpfungen oder mathematische Operationen sind für das Erstellen der echten Signatur σp ebenfalls denkbar. Im Schritt 111" werden nun folgende Variablen zwischen zwei Teilnehmern T1, T2, T3 ausgetauscht:

  • • der eMD c
  • • der teilnehmergenerierte öffentliche Schlüssel M
  • • der signierte unverblendete eMD s
  • • die echte Signatur σm
  • • der Teilbetrag υ
  • • der weitere teilnehmergenerierte öffentliche Schlüssel P
  • • die zweite echte Signatur σp
  • • der zweite Teilbetrag ε
  • • das zweite teilnehmergenerierte Geheimnis q
It is ε the second partial amount to be derived, which is less than the total monetary amount and also less than the partial amount u der eMD c . The real signature σ p here is a logical OR link from the public key Q and the partial amount ε . Other logical links or mathematical operations are for creating the real signature σ p also conceivable. In step 111 " are the following variables between two participants T1 , T2 , T3 exchanged:
  • • of the eMD c
  • • the subscriber generated public key M
  • • the signed unblended eMD s
  • • the real signature σ m
  • • the partial amount υ
  • • the further subscriber-generated public key P
  • • the second real signature σ p
  • • the second partial amount ε
  • • the second subscriber generated secret q

Im Schritt 112" kann nun die Echtheit der blinden Signatur, die Echtheit der echten Signatur σm und auch die Echtheit der zweiten echten Signatur σp überprüft werden, wodurch der zweite Teilbetrag ε als - zwischen den Teilnehmern T1, T2, T3 - übertragen gilt. Dazu wird zunächst mittels des zweiten teilnehmergenerierten Geheimnisses q und dem vereinbarten Basispunkt G der zweite weitere teilnehmergenerierte öffentliche Schlüssel Q errechnet, siehe Gleichung (28). Zudem wird die blinde Signatur gemäß den Gleichungen (7) bis (9) und (24) geprüft. Zudem wird die zweite echte Signatur σp aus dem errechneten zweiten weiteren teilnehmergenerierten öffentlichen Schlüssel Q und dem erhaltenen zweiten Teilbetrag ε errechnet und bei Übereinstimmung der Gleichung (30) σ p = = s i g p ( Q     ε )

Figure DE102018009943A1_0028
gilt der Teilbetrag ε als verifiziert und ist durch das Übertragen des zweiten Geheimnis q auch übertragen. Es gilt zu beachten, dass die Prüfinstanz PI, T2, T3 nicht im Besitz der teilnehmergenerierten Seriennummer m oder des teilnehmergenerierten Geheimnisses p ist. Somit kann zwar die blinde Signatur und die echte Signatur σm verifiziert werden (durch die teilnehmergenerierten öffentlichen Schlüssel M und P), aber die Prüfinstanz PI, T2, T3 gelangt nicht in den Besitz des geldwerten Gesamtbetrags oder des (ersten) Teilbetrags υ.In step 112 " can now the authenticity of the blind signature, the authenticity of the real signature σ m and also the authenticity of the second real signature σ p be checked, reducing the second installment ε as - between the participants T1 , T2 , T3 - applies. To do this, first use the second subscriber-generated secret q and the agreed base point G the second further subscriber-generated public key Q calculated, see equation (28). In addition, the blind signature is checked according to equations (7) to (9) and (24). It also becomes the second real signature σ p from the calculated second further subscriber-generated public key Q and the second partial amount received ε calculated and if equation (30) matches σ p = = s i G p ( Q ε )
Figure DE102018009943A1_0028
 the partial amount applies ε as verified and is by transmitting the second secret q also transferred. It should be noted that the inspection body PI , T2 , T3 does not have the subscriber generated serial number m or the subscriber-generated secret p is. Thus, the blind signature and the real signature can σ m be verified (by the subscriber generated public key M and P ), but the reviewing body PI , T2 , T3 does not come into possession of the total monetary amount or the (first) partial amount υ .

Mit den Prüfverfahren PR1, PR2 und PR3 wurde demonstriert, dass zwischen beliebigen Teilnehmern nunmehr beliebige geldwerte (Teil-)Beträge υ, ε übertragen werden können, wobei zu jedem Zeitpunkt die Echtheit der blinden Signatur und die mit den jeweiligen Teilbeträgen υ, ε verbundenen echten Signaturen σm und σp geprüft werden können. Durch geeignete Wahl der zu übertragenden Variablen erhält die empfangende Instanz PI, T2, T3 dann die vollen Zugriffsrechte auf die jeweiligen Teilbeträge, wodurch der eMD als übertragen gilt.With the test procedures PR1 , PR2 and PR3 it was demonstrated that any monetary (partial) amounts between any participants υ , ε can be transferred, with the authenticity of the blind signature and that with the respective partial amounts at all times υ , ε associated real signatures σ m and σ p can be checked. The receiving instance receives the appropriate choice of the variables to be transmitted PI , T2 , T3 then the full access rights to the respective partial amounts, whereby the eMD is considered transferred.

In 7 ist ein weiteres Ausführungsbeispiel eines Verfahrensablaufs zum Erzeugen und Überprüfen einer blinden Signatur für einen eMD mit ganzem geldwerten Betrag und davon abgeteilten geldwerten Teilbeträgen gemäß der Erfindung dargestellt. Dabei wurden die Verfahrensabläufe der 4 und 6 miteinander kombiniert. Damit wird neben dem erfindungsgemäßen Verwenden einer Herausgeberinformation u, w nun auch das erfindungsgemäße Teilen von geldwerten Beträgen ermöglicht.In 7 is another embodiment of a process flow for generating and checking a blind signature for a eMD represented with the whole monetary amount and the monetary partial amounts divided therefrom according to the invention. The procedures of the 4th and 6 combined with each other. In addition to the use of publisher information u, w according to the invention, this now also enables the monetary amounts according to the invention to be shared.

In 7 ist ein Ausführungsbeispiel eines Verfahrensablaufs zum Erhalten S einer blinden Signatur und auch zum Überprüfen PR einer blinden Signatur für einen eMD gemäß der Erfindung gezeigt. Das Überprüfen-Verfahren PR weist dabei drei unterschiedliche Szenarien PR1, PR2, PR3 auf.In 7 is an embodiment of a process flow for obtaining S a blind signature and also for checking PR a blind signature for one eMD shown according to the invention. The review process PR shows three different scenarios PR1 , PR2 , PR3 on.

Das Verfahren zum Erhalten einer blinden Signatur gemäß 7 ist an das Erstellen einer blinden Signatur mit entsprechender Überprüfung durch eine Prüfinstanz PI gemäß der 2 angelehnt und spiegelt einen Verfahrensablauf in einem ECDSA Verfahren wieder. Zu beachten ist, dass das Prüfen PR1, PR2, PR3 mit den Schritten 111, 111', 111" und 112, 112', 112" auch von einem anderen Teilnehmer T2, T3 vorgenommen werden kann, beispielsweise um den geldwerten Betrag oder Teilbetrag zu verifizieren. Zu beachten ist weiter, dass das Prüfen PR1, PR2, PR3 mit den Schritten 111, 111', 111" und 112, 112', 112" auch zwischen zwei Teilnehmern T2, T3 stattfinden kann, die nicht die Seriennummer m des eMD c generiert haben, beispielsweise um einen geldwerten Gesamtbetrag oder einen davon abgeleiteten Teilbetrag u oder einen davon abgeleiteten zweiten Teilbetrag ε zu verifizieren und übertragen zu bekommen. Nachfolgend wird die Prüfinstanz PI einem anderen Teilnehmer T2, T3 gleichgesetzt.The procedure for obtaining a blind signature according to 7 is about to create a blind signature with a corresponding review by an inspection body PI according to the 2nd based on and reflects a procedure in an ECDSA procedure. It should be noted that testing PR1 , PR2 , PR3 with the steps 111 , 111 ' , 111 " and 112 , 112 ' , 112 " also from another participant T2 , T3 can be made, for example, to verify the monetary amount or partial amount. It should also be noted that testing PR1 , PR2 , PR3 with the steps 111 , 111 ' , 111 " and 112 , 112 ' , 112 " also between two participants T2 , T3 can take place that is not the serial number m of eMD c have generated, for example by a total monetary amount or a partial amount u derived therefrom or a second partial amount derived therefrom ε to verify and get transmitted. Below is the reviewer PI another participant T2 , T3 equated.

Die Verwendung des ECDSA ist dabei lediglich beispielhaft und jegliches Verfahren zum Erzeugen/Erhalten einer blinden Signatur, beispielsweise DAS- oder RSAbasiert, kann mit dem erfindungsgemäßen Grundgedanken, nämlich dem Ableiten von geldwerten Teilbeträgen unter Verwendung von Herausgeberinformationen u, w des Signatur-Herausgebers H erfolgen. Auf die Wiederholung der Schritte 101 bis 105 der 2 wird verzichtet, obwohl Sie bei Verwendung eines ECDSA Verfahrens Bestandteil des erfindungsgemäßen Verfahrens sind.The use of the ECDSA is only exemplary and any method for generating / receiving a blind signature, for example DAS or RSA-based, can be carried out with the basic idea according to the invention, namely the derivation of monetary partial amounts using publisher information u, w of the signature publisher H respectively. On repeating the steps 101 to 105 of the 2nd is dispensed with, even though you are part of the method according to the invention when using an ECDSA method.

Die Verfahrensschritte 101 bis 105 der 7 gleichen den Verfahrensschritten 101 bis 105 der 2 und für weitere Erläuterungen wird auf diese 2 verwiesen.The procedural steps 101 to 105 of the 7 same as the procedural steps 101 to 105 of the 2nd and for further explanations is on this 2nd referred.

Im Schritt 114 wird das mit Gleichung (18) beschriebene Erzeugen eines öffentlichen Schlüssels M im Teilnehmer T1 beschrieben.In step 114 becomes the generation of a public key described by equation (18) M in the participant T1 described.

Im Schritt 106 errechnet der erste Teilnehmer T1 einen Punkt der Kurve mit der Gleichung (1) Der Punkt A wird durch eine x-Koordinate Ax und eine y-Koordinate Ay repräsentiert. Die x-Koordinate Ax wird mit dem öffentlichen Schlüssel M als Eingangsparameter der Hashfunktion H() in Gleichung (19) verwendet, um einen unsignierten unverblendeten eMD c zu erhalten. Der unsignierte unverblendete eMD c wird mit Gleichung (20) in einen unsignierte verblendeten eMD c'(M) umgesetzt.In step 106 the first participant calculates T1 a point of the curve with equation (1) the point A is through an x coordinate A x and represents a y coordinate A y . The x coordinate A x is with the public key M as input parameters of the hash function H() in equation (19) used to be an unsigned unvarnished eMD c to obtain. The unsigned face-to-face eMD c is faded into an unsigned one with equation (20) eMD c '(M) implemented.

Im Schritt 107 wird der mit Gleichung (20) erhaltene unsignierte verblendete eMD c'(M) an den Herausgeber H gesendet. Dort wird im Schritt 113 ein Herausgeberwert w generiert. Der Herausgeberwert w ist beispielsweise ein Zeitstempel oder ein Zufallswert. Dieser Herausgeberwert w wird mittels einer Streuwertfunktion H() in eine Herausgeberinformation u umgesetzt. Diese Streuwertfunktion H() ist bevorzugt die Streuwertfunktion, die im Schritt 101 vereinbart wurde. Dies vereinfacht das Verfahren bezüglich Kompatibilität und Vereinbarung von zu verwendenden kryptografischen Funktionen. Der unsignierte verblendete eMD c' wird dann gemäß Gleichung (11) mit dieser Herausgeberinformation u im Schritt 113 erweitert.In step 107 the unsigned one obtained with equation (20) is veneered eMD c '(M) to the editor H sent. There is in the crotch 113 a publisher value w generated. The publisher value w is, for example, a timestamp or a random value. This publisher value w is by means of a scatter value function H() converted into a publisher information u. This scatter value function H() is preferably the scatter value function that in step 101 was agreed. This simplifies the process regarding the compatibility and agreement of the cryptographic functions to be used. The unsigned blinded eMD c 'is then according to equation (11) with this publisher information u in step 113 expanded.

Im Schritt 108 wird mittels Gleichung (31) der erweiterte signierte verblendeten eMD s" erhalten: s ' ' = r ( c ' ( M ) + u ) d

Figure DE102018009943A1_0029
In step 108 is the extended signed blinded using equation (31) eMD s "received: s ' ' = r - ( c ' ( M ) + u ) d
Figure DE102018009943A1_0029

Im Schritt 109 wird der erweiterte signierte verblendete eMD s" zusammen mit dem Herausgeberwert w an den ersten Teilnehmer T1 übertragen. Im Schritte 110 wird der signierte verblendete eMD s" mittels Gleichung (13) unverblendet.In step 109 the expanded signed is blinded eMD s "along with the editor value w to the first participant T1 transfer. In steps 110 the signed is blinded eMD s "unblended using equation (13).

Im Ergebnis des Signierverfahrens S ist ein eMD c erhalten, dessen öffentlicher Schlüssel M die Signatur (s, c, w) aufweist, siehe Gleichung (32): s i g ( M ) = ( s , c , w )

Figure DE102018009943A1_0030
As a result of the signing process S is a eMD c get whose public key M the signature ( s , c , w ), see equation (32): s i G ( M ) = ( s , c , w )
Figure DE102018009943A1_0030

Gemäß 7 generiert der Teilnehmer T1 den eMD c unter Verwendung eines öffentlichen Schlüssels M anstelle der Seriennummer m. Diese Seriennummer m ist dem Signatur-Herausgeber H geheim. Zudem generiert der Signatur-Herausgeber H die Herausgeberinformation u, w und fügt diese als festen Bestandteil der blinden Signatur bei.According to 7 the participant generates T1 the eMD c using a public key M instead of the serial number m . This serial number m is the signature editor H secret. The signature publisher also generates H the publisher information u, w and adds this as an integral part of the blind signature.

Dies ermöglicht es, den geldwerten Betrag der eMD c zu teilen und Teilbeträge υ oder zweite Teilbeträge ε zwischen Teilnehmern T1, T2, T3 zu übertragen, ohne dass die blinde Signatur ungültig wird. Dabei ist es jeder Prüfinstanz PI ermöglicht, auch die Herausgeberinformation u, w zu überprüfen. Speziell bei mehrfach geteilten eMD und den entsprechend mehrfach abgeleiteten geldwerten Teilbeträgen υ, ε wird die Vertrauenswürdigkeit und Sicherheit erheblich verbessert.This enables the monetary amount of the eMD c to share and partial amounts υ or second installments ε between participants T1 , T2 , T3 to be transmitted without the blind signature becoming invalid. It is every test authority PI allows to also check the publisher information u, w. Especially with multiples eMD and the corresponding monetary amounts derived several times υ , ε trustworthiness and security are significantly improved.

Die Möglichkeit, einen eMD c zu teilen, vereinfacht den Verwaltungsaufwand beim Signatur-Herausgeber H und ermöglicht ein Bezahlsystem mit eMD c bei denen Wechselgeld gezahlt werden kann oder bei dem unrunde geldwerte Beträge elektronisch übertragen werden können. In 7 sind nun drei Szenarien dargestellt, mit denen ein mit dem in 7 gezeigten Signierverfahren S erhaltener teilbar eMD übertragen wird und dennoch die blinde Signatur gültig bleibt.The possibility of one eMD c sharing simplifies the administrative work for the signature publisher H and enables a payment system with eMD c where change can be paid or where non-circular monetary amounts can be transferred electronically. In 7 three scenarios are now shown, one with the one in 7 shown signing process S received divisible eMD is transmitted and the blind signature remains valid.

Mit den Prüfverfahren PR1, PR2, PR3 können nun unrunde Beträge sehr genau übertragen werden oder entsprechendes Rückgeld (Wechselgeld) generiert werden. Beispielsweise könnte der maximale geldwerte Betrag einer eMD c im Prüfverfahren PR1 von einem ersten Teilnehmer T1 an einen zweiten Teilnehmer T2 gesendet werden. Im Prüfverfahren PR2 wird dann vom zweiten Teilnehmer T2 ein Teilbetrag υ als Wechselgeld an den ersten Teilnehmer T1 zurückübertragen. Der erste Teilnehmer T1 kann nun den Teilbetrag υ weiter aufteilen und den zweiten Teilbetrag ε an den dritten Teilnehmer T3 im Prüfverfahren PR3 übertragen:

  • Im Prüfverfahren PR1 der 7 ist zunächst dargestellt, dass der gesamte geldwerte Betrag einer eMD c geprüft und ggf. bei einem zweiten Teilnehmer T2, T3 eingelöst werden soll.
With the test procedures PR1 , PR2 , PR3 non-circular amounts can now be transferred very precisely or corresponding change (change) can be generated. For example, the maximum monetary amount could be one eMD c in the test procedure PR1 from a first participant T1 to a second participant T2 be sent. In the test procedure PR2 is then from the second participant T2 a partial amount υ as change to the first participant T1 retransfer. The first participant T1 can now pay the partial amount υ further split and the second installment ε to the third participant T3 in the test procedure PR3 transfer:
  • In the test procedure PR1 of the 7 it is initially shown that the total monetary amount is one eMD c checked and possibly with a second participant T2 , T3 to be redeemed.

Im Prüfverfahren PR1 der 7 kann jeder, der in Kenntnis der o.g. Kurvenparameter und des Verifizier-Schlüssels D (öffentlicher Schlüssel des Herausgebers H) ist, die blinde Signatur des eMD c prüfen, was beispielsweise mittels einer Prüfinstanz PI, die nicht zwangsläufig der Herausgeber H ist, erfolgt.In the test procedure PR1 of the 7 Anyone who is aware of the above curve parameters and the verification key D (publisher's public key H ) is the blind signature of the eMD c check what, for example, by means of an inspection body PI who is not necessarily the editor H is done.

Dazu wird im Schritt 111 der unsignierte unverblendete eMD c, der signierte unverblendete eMD s, die teilnehmergenerierte Seriennummer m und die Herausgeberinformation w vom Teilnehmer T1 and die Prüfinstanz PI übertragen. Im Prüfverfahren PR1 der 7 erfolgt sodann ein Überprüfen, ob der öffentliche Schlüssel M verändert wurde und ob w verändert wurde, was nachfolgend beschrieben ist.This is done in step 111 the unsigned blunt eMD c , the signed unvarnished eMD s, the subscriber generated serial number m and the publisher information w from the participant T1 and the reviewing body PI transfer. In the test procedure PR1 of the 7 a check is then carried out to determine whether the public key M was changed and whether w was changed, which is described below.

Im Schritt 112 wird die blinde Signatur verifiziert. Mit Gleichung (23) wird zunächst der teilnehmergenerierte öffentliche Schlüssel M errechnet. Mit Gleichung (15) wird die Herausgeberinformation u erhalten und mit Gleichung (33) A = s G + ( c ' ( M ) + u ) D

Figure DE102018009943A1_0031
wird geprüft, ob die Bedingung der Gleichungen (24) erfüllt ist. Stimmt die errechnete eMD c mit der erhaltenen eMD c überein, so ist die blinde Signatur gültig und die eMD c kann von der Prüfinstanz PI, oder beispielsweise auch den anderen Teilnehmern T2, T3 für weitere Bezahlvorgänge verwendet werden.In step 112 the blind signature is verified. With equation (23) the subscriber generated public key is first M calculated. The publisher information u is obtained with equation (15) and with equation (33) A = s G + ( c ' ( M ) + u ) D
Figure DE102018009943A1_0031
 it is checked whether the condition of equations (24) is fulfilled. Is the calculated eMD c with the received eMD c match, the blind signature is valid and the eMD c can be from the test body PI , or for example the other participants T2 , T3 be used for further payment processes.

Im Prüfverfahren PR2 der 7 ist nun zunächst mit Schritt 115 das Ableiten eines Teilbetrags u vom geldwerten Gesamtbetrag gezeigt. Dazu generiert der Teilnehmer T1 (oder ein anderer Teilnehmer T2, T3, der im Besitz der eMD c ist) ein Geheimnis p und einen weiteren öffentlichen Schlüssel P unter Verwendung des teilnehmergenerierten Geheimnisses p. Das Geheimnis p ist von der Seriennummer m verschieden. Der weitere teilnehmergenerierte Schlüssel P ist vom teilnehmergenerierten öffentlichen Schlüssel M verschieden. Beispielsweise kann der weitere teilnehmergenerierte öffentliche Schlüssel P durch Multiplikation mit dem Basispunkt G erhalten werden, siehe Gleichung (25). Für das Ableiten 115 wird mit Gleichung (26) zudem eine echte Signatur σm erstellt.In the test procedure PR2 of the 7 is now with step 115 the derivation of a partial amount u from the monetary total amount is shown. To do this, the participant generates T1 (or another participant T2 , T3 who owned the eMD c It's a secret p and another public key P using the subscriber generated secret p . The secret p is from the serial number m different. The further subscriber generated key P is from the subscriber generated public key M different. For example, the further subscriber-generated public key P by multiplying by the base point G can be obtained, see equation (25). For deriving 115 becomes a real signature with equation (26) σ m created.

Dabei ist u der abzuleitende Teilbetrag, der kleiner ist als der geldwerte Gesamtbetrag der eMD c. Die echte Signatur σm ist hier eine logische ODER Verknüpfung aus dem öffentlichen Schlüssel P und dem Teilbetrag υ. Andere logische Verknüpfungen oder mathematische Operationen für das Erstellen der echten Signatur σm sind ebenfalls denkbar. Im Schritt 111' werden nun folgende Variablen zwischen zwei Teilnehmern T1, T2, T3 ausgetauscht:

  • • der eMD c
  • • der teilnehmergenerierte öffentliche Schlüssel M
  • • der signierte unverblendete eMD s
  • • die echte Signatur σm
  • • der Teilbetrag u
  • • das teilnehmergenerierte Geheimnis p
  • • die Herausgeberinformation w
U is the partial amount to be derived, which is smaller than the total monetary amount eMD c . The real signature σ m here is a logical OR link from the public key P and the partial amount υ . Other logical links or mathematical operations for creating the real signature σ m are also conceivable. In step 111 ' are the following variables between two participants T1 , T2 , T3 exchanged:
  • • of the eMD c
  • • the subscriber generated public key M
  • • the signed unblended eMD s
  • • the real signature σ m
  • • the partial amount u
  • • the participant-generated secret p
  • • the publisher information w

Im Schritt 112' kann nun die Echtheit der blinden Signatur und die Echtheit der echten Signatur σm überprüft werden, wodurch der Teilbetrag υ als - zwischen den Teilnehmern PI, T1, T2, T3 -übertragen gilt. Dazu wird zunächst mittels des teilnehmergenerierten Geheimnisses p und dem vereinbarten Basispunkt G der weitere öffentliche Schlüssel P errechnet, siehe Gleichung (25). Zudem wird die blinde Signatur gemäß den Gleichungen (15), (33) und (24) geprüft. Zudem wird die echte Signatur σm aus dem errechneten weiteren teilnehmergenerierten öffentlichen Schlüssel P und dem erhaltenen Teilbetrag υ errechnet und bei Übereinstimmung der Gleichung (26), gilt der Teilbetrag υ als verifiziert und ist durch das Geheimnis p übertragen. Es gilt zu beachten, dass die Prüfinstanz PI, T2, T3 nicht im Besitz der teilnehmergenerierten Seriennummer m ist und somit zwar die blinde Signatur verifizieren kann (durch den Schlüssel M) aber nicht in den Besitz des geldwerten Gesamtbetrags der eMD c gelangt. Beim Überprüfen im Verfahren PR2 der 7 erfolgt also ein Überprüfen, ob der öffentliche Schlüssel M verändert wurde, ob w verändert wurde und ob die echte Signatur σm verändert wurde.In step 112 ' can now check the authenticity of the blind signature and the authenticity of the real signature σ m be checked, reducing the partial amount υ as - between the participants PI , T1 , T2 , T3 -transfer applies. To do this, first use the participant-generated secret p and the agreed base point G the other public key P calculated, see equation (25). In addition, the blind signature is checked according to equations (15), (33) and (24). In addition, the real signature σ m from the calculated further subscriber-generated public key P and the partial amount received υ calculated and if equation (26) matches, the partial amount applies υ as verified and is through the secret p transfer. It should be noted that the inspection body PI , T2 , T3 does not have the subscriber generated serial number m and can thus verify the blind signature (using the key M ) but not in possession of the total monetary amount of eMD c reached. When checking in the process PR2 of the 7 So there is a check whether the public key M was changed whether w was changed and whether the real signature σ m was changed.

Im Prüfverfahren PR3 der 7 ist nun zunächst mit Schritt 116 das Ableiten eines zweiten Teilbetrags ε vom Teilbetrag u gezeigt. Dazu generiert der Teilnehmer T1 (oder ein anderer Teilnehmer, der im Besitz der eMD c ist) ein zweites Geheimnis q und einen zweiten weiteren öffentlichen Schlüssel Q unter Verwendung des zweiten teilnehmergenerierten Geheimnisses q. Das zweite Geheimnis q ist von der Seriennummer m und vom Geheimnis p verschieden. Der zweite weitere teilnehmergenerierte Schlüssel Q ist vom teilnehmergenerierten öffentlichen Schlüssel M und dem weiteren teilnehmergenerierten Schlüssel P verschieden. Beispielsweise kann der zweite weitere teilnehmergenerierte öffentliche Schlüssel Q durch Multiplikation mit dem Basispunkt G erhalten werden, siehe Gleichung (28). Für das Ableiten 116 wird mit Gleichung (29) zudem eine zweite echte Signatur σp erstellt.In the test procedure PR3 of the 7 is now with step 116 deriving a second partial amount ε shown by the partial amount u. To do this, the participant generates T1 (or another participant who owns the eMD c is) a second secret q and a second further public key Q using the second subscriber generated secret q . The second secret q is from the serial number m and the secret p different. The second further subscriber generated key Q is from the subscriber generated public key M and the further subscriber generated key P different. For example, the second additional subscriber-generated public key Q by multiplying by the base point G can be obtained, see equation (28). For deriving 116 equation (29) also becomes a second real signature σ p created.

Dabei ist ε der abzuleitende zweite Teilbetrag, der kleiner ist als der geldwerte Gesamtbetrag und der auch kleiner ist als der Teilbetrag υ der eMD c. Die echte Signatur σp ist hier eine logische ODER Verknüpfung aus dem öffentlichen Schlüssel Q und dem Teilbetrag ε. Andere logische Verknüpfungen oder mathematische Operationen sind für das Erstellen der echten Signatur σp ebenfalls denkbar. Im Schritt 111" werden nun folgende Variablen zwischen zwei Teilnehmern T1, T2, T3 ausgetauscht:

  • • der eMD c
  • • der teilnehmergenerierte öffentliche Schlüssel M
  • • der signierte unverblendete eMD s
  • • die echte Signatur σm
  • • der Teilbetrag υ
  • • der weitere teilnehmergenerierte öffentliche Schlüssel P
  • • die zweite echte Signatur σp
  • • der zweite Teilbetrag ε
  • • das zweite teilnehmergenerierte Geheimnis q
  • • die Herausgeberinformation w
It is ε the second partial amount to be derived, which is smaller than the total monetary amount and also smaller than the partial amount υ of the eMD c . The real signature σ p here is a logical OR link from the public key Q and the partial amount ε . Other logical links or mathematical operations are for creating the real signature σ p also conceivable. In step 111 " are the following variables between two participants T1 , T2 , T3 exchanged:
  • • of the eMD c
  • • the subscriber generated public key M
  • • the signed unblended eMD s
  • • the real signature σ m
  • • the partial amount υ
  • • the further subscriber-generated public key P
  • • the second real signature σ p
  • • the second partial amount ε
  • • the second subscriber generated secret q
  • • the publisher information w

Im Schritt 112" kann nun die Echtheit der blinden Signatur, die Echtheit der echten Signatur σm und auch die Echtheit der zweiten echten Signatur σp überprüft werden, wodurch der zweite Teilbetrag ε als - zwischen den Teilnehmern T1, T2, T3 - übertragen gilt. Dazu wird zunächst mittels des zweiten teilnehmergenerierten Geheimnisses q und dem vereinbarten Basispunkt G der zweite weitere öffentliche Schlüssel Q errechnet, siehe Gleichung (28). Zudem wird die blinde Signatur gemäß den Gleichungen (15), (33) und (24) geprüft. Zudem wird die zweite echte Signatur σp aus dem errechneten zweiten weiteren teilnehmergenerierten öffentlichen Schlüssel Q und dem erhaltenen zweiten Teilbetrag ε errechnet und bei Übereinstimmung der Gleichung (30) gilt der Teilbetrag ε als verifiziert und ist durch das Übertragen des zweiten Geheimnisses q auch übertragen. Es gilt zu beachten, dass die Prüfinstanz PI, T2, T3 nicht im Besitz der teilnehmergenerierten Seriennummer m oder dem teilnehmergenerierten Geheimnis p ist. Somit kann zwar die blinde Signatur und die echte Signatur σm , verifiziert werden (durch die teilnehmergenerierten öffentlichen Schlüssel M und P), die Prüfinstanz gelangt dabei aber nicht in den Besitz des geldwerten Gesamtbetrags oder des (ersten) Teilbetrags υ.In step 112 " can now the authenticity of the blind signature, the authenticity of the real signature σ m and also the authenticity of the second real signature σ p be checked, reducing the second installment ε as - between the participants T1 , T2 , T3 - applies. To do this, first use the second subscriber-generated secret q and the agreed base point G the second other public key Q calculated, see equation (28). In addition, the blind signature is checked according to equations (15), (33) and (24). It also becomes the second real signature σ p from the calculated second further subscriber-generated public key Q and the second partial amount received ε calculated and if equation (30) matches, the partial amount applies ε as verified and is by transmitting the second secret q also transferred. It should be noted that the inspection body PI , T2 , T3 does not have the subscriber generated serial number m or the subscriber generated secret p is. Thus, the blind signature and the real signature can σ m , are verified (by the subscriber generated public key M and P ), but the auditor does not get the total monetary amount or the (first) partial amount υ .

Mit den Prüfverfahren PR1, PR2 und PR3 wurde demonstriert, dass zwischen beliebigen Teilnehmern nunmehr beliebige geldwerte Beträge υ, ε übertragen werden können, wobei zu jedem Zeitpunkt die Echtheit der blinden Signatur und der mit den jeweiligen Teilbeträgen υ, ε verbundenen echten Signaturen σm und σp geprüft werden können. Durch geeignete Wahl der zu übertragenden Variablen erhält die empfangende Instanz dann die vollen Zugriffsrechte auf die jeweiligen Teilbeträge, wodurch der eMD als übertragen gilt. Durch das Einbinden von teilnehmerunabhängiger Herausgeberinformation u, w beim Prüfverfahren PR1, PR2, PR3 wird festgestellt, ob die öffentlichen Schlüssel M, P, Q von einer Instanz manipuliert wurden und somit ein Betrugsversuch erkannt. Die Herausgeberinformation u, w ist dabei nicht geheim und kann von jeder Instanz unabhängig vom eMD c geprüft werden.With the test procedures PR1 , PR2 and PR3 it was demonstrated that between any participant now any monetary amounts υ , ε can be transferred, the authenticity of the blind signature and that of the respective partial amounts at all times υ , ε associated real signatures σ m and σ p can be checked. Through a suitable choice of the variables to be transmitted, the receiving instance then receives full access rights to the respective partial amounts, which means that the eMD is considered transferred. By integrating participant-independent publisher information u, w in the test procedure PR1 , PR2 , PR3 it determines whether the public key M , P , Q were manipulated by an instance and thus an attempt at fraud was detected. The publisher information u, w is not secret and can be used by any entity regardless of eMD c being checked.

Im Rahmen der Erfindung können alle beschriebenen und/oder gezeichneten und/oder beanspruchten Elemente beliebig miteinander kombiniert werden.In the context of the invention, all the elements described and / or drawn and / or claimed can be combined with one another as desired.

BezugszeichenlisteReference symbol list

1-101-10
Verfahrensschritte für klassische blinde SignaturProcess steps for classic blind signature
100-116100-116
VerfahrensschritteProcedural steps
M1M1
erstes Endgerätfirst terminal
M2M2
zweites Endgerätsecond terminal
M3M3
drittes Endgerätthird terminal
T1T1
erster Teilnehmerfirst participant
T2T2
zweiter Teilnehmersecond participant
T3T3
weiterer Teilnehmerfurther participants
HH
Herausgebereditor
PIPI
PrüfinstanzTest authority
mm
teilnehmergenerierte Seriennummer des eMD subscriber generated serial number of the eMD
MM
teilnehmergenerierter öffentlicher Schlüssel aus m und G subscriber generated public key from m and G
pp
teilnehmergeneriertes Geheimnissubscriber generated secret
PP
teilnehmergenerierter weiterer öffentlicher Schlüssel aus p und G subscriber-generated further public key p and G
qq
zweites teilnehmergenerierte Geheimnissecond subscriber-generated secret
QQ
zweiter teilnehmergenerierter weiterer öffentlicher Schlüssel aus q und G second subscriber-generated further public key q and G
γ, δγ, δ
teilnehmergenerierte Zufallszahlen (ganzzahlig)subscriber-generated random numbers (integer)
f, a, b, G,f, a, b, G,
n, h vereinbarte Kurvenparametern, h agreed curve parameters
H()H()
kryptografische Streuwertfunktioncryptographic scatter function
RR
herausgebergewählter Punktedited point
AA
teilnehmerberechneter Punktparticipant-calculated point
dd
geheimer Schlüssel des Herausgeberssecret key of the publisher
DD
Verifizier-Schlüssel (öffentlicher Schlüssel des Herausgebers)Verification key (publisher's public key)
GG
Erzeugerpunkt (Generatorpunkt, Basispunkt) der elliptischen KurveGenerator point (generator point, base point) of the elliptic curve
SS
SignierverfahrenSigning process
PRPR
ÜberprüfungsverfahrenReview process
rr
herausgebergenerierte Zufallszahlpublisher-generated random number
ww
Herausgeberinformation,Publisher information,
cc
elektronischer Münzdatensatz, eMD electronic coin record, eMD
c'c '
unsignierter verblendeter eMD unsigned blinded eMD
c'+uc '+ u
erweiterter unsignierter verblendeter eMD expanded unsigned blinded eMD
ss
signierter unverblendeter eMD signed unvarnished eMD
s's'
signierter verblendeter eMD signed blinded eMD
s''s ''
erweiterter signierter verblendeter eMD extended signed blinded eMD
υυ
geldwerter Teilbetragnon-cash partial amount
εε
zweiter geldwerter Teilbetragsecond monetary component
σm σ m
Signatur über den Teilbetrag u und den öffentlichen Schlüssel P Signature of the partial amount u and the public key P
σp σ p
Signatur über den Teilbetrag ε und den öffentlichen Schlüssel Q Signature of the partial amount ε and the public key Q

Claims (15)

Ein Verfahren (100) zum Erzeugen einer blinden Signatur für einen elektronischen Münzdatensatz, eMD (c), mit den Verfahrensschritten: - Erhalten (107) eines unsignierten verblendeten eMD (c') von einem Teilnehmer (T1) bei einem Signatur-Herausgeber (H); - Erweitern (113) des unsignierten verblendeten eMD (c') mit einer Herausgeberinformation (u, w) durch den Signatur-Herausgeber (H) zum Erhalten eines erweiterten unsignierten eMD (c'+u; c'+w); - Signieren (108) des erweiterten unsignierten eMD (c'+u; c'+w) unter Verwendung einer herausgebergenerierten Zufallszahl (r) und eines geheimen Schlüssels (d) des Signatur-Herausgebers (H) zum Erhalten eines erweiterten signierten verblendeten eMD (s"); und - Senden (109) des erweiterten signierten verblendeten eMD (s") und der Herausgeberinformation (u, w) an den Teilnehmer (T1), wobei die gesendete Herausgeberinformation (u, w) ein Teil der blinden Signatur ist.A method (100) for generating a blind signature for an electronic coin data record, eMD (c), with the method steps: - Receiving (107) an unsigned, blinded eMD (c ') from a subscriber (T1) at a signature issuer (H); - expanding (113) the unsigned, blinded eMD (c ') with a publisher information (u, w) by the signature publisher (H) to obtain an expanded unsigned eMD (c' + u; c '+ w); - Signing (108) the extended unsigned eMD (c '+ u; c' + w) using a publisher-generated random number (r) and a secret key (d) of the signature issuer (H) to obtain an extended signed blinded eMD ( s "); and - Sending (109) the extended signed blinded eMD (s ") and the publisher information (u, w) to the subscriber (T1), the sent publisher information (u, w) being part of the blind signature. Das Verfahren (100) nach Anspruch 1, wobei die Herausgeberinformation (u, w) unabhängig von der signierten verblendeten eMD (s") als eigenständige Information bereitgestellt wird.The procedure (100) according to Claim 1 , the publisher information (u, w) being provided independently of the signed, blinded eMD (s ") as independent information. Das Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei die zum Erweitern (113) der unsignierten verblendeten eMD (c') verwendete Herausgeberinformation (u) das Ergebnis einer Streuwertfunktion (H()) mit einem Herausgeberwert (w) ist, wobei der Herausgeberwert (w) als die Herausgeberinformation (u,w) gesendet wird und der Teil der blinden Signatur ist.The method (100) according to one of the preceding claims, wherein the publisher information (u) used to expand (113) the unsigned, blinded eMD (c ') is the result of a scatter value function (H ()) with a publisher value (w), the Publisher value (w) is sent as the publisher information (u, w) and is part of the blind signature. Das Verfahren (100) nach 3, wobei der Herausgeberwert (w) mindestens eine der folgenden Werte ist: - ein Zeitwert; - eine Identifikation des Herausgebers; und/oder - ein herausgebergenerierter Wert.The method (100) of FIG. 3, wherein the publisher value (w) is at least one of the following values: - a current value; - an identification of the publisher; and or - a publisher-generated value. Das Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei der eMD (c) das Ergebnis (106) einer Streuwertfunktion (H()) aus einer teilnehmergenerierten Seriennummer (m) und einem teilnehmerberechneten Punkt (A) einer elliptischen Kurve ist.The method (100) according to one of the preceding claims, wherein the eMD (c) is the result (106) of a scatter value function (H ()) from a subscriber-generated serial number (m) and a subscriber-calculated point (A) of an elliptic curve. Das Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei der eMD (c) das Ergebnis einer Streuwertfunktion (H()) aus einem teilnehmergenerierten öffentlichen Schlüssel (M) und einem teilnehmerberechneten Punkt (A) einer elliptischen Kurve ist, wobei der teilnehmergenerierte öffentliche Schlüssel (M) von der teilnehmergenerierten Seriennummer (m) abgeleitet ist.The method (100) according to one of the preceding claims, wherein the eMD (c) is the result of a scatter value function (H ()) from a subscriber-generated public key (M) and a subscriber-calculated point (A) of an elliptic curve, the subscriber-generated public Key (M) is derived from the subscriber-generated serial number (m). Ein Verfahren zum Überprüfen einer blinden Signatur eines elektronischen Münzdatensatzes, eMD (c), wobei die blinde Signatur gemäß dem Verfahren (100) der vorhergehenden Ansprüche 1 bis 6 erzeugt wurde, mit den Verfahrensschritten: - Erhalten (111) von: ◯ dem eMD (c), ◯ einer zum Erzeugen des eMD (c) verwendeten Seriennummer (m), ◯ einem signierten unverblendeten eMD (s), und ◯ der Herausgeberinformation (u, w); - Berechnen (112) eines eMD unter Verwendung der erhaltenen Seriennummer (m), dem signierten unverblendeten eMD (s), der Herausgeberinformation (w) und einem öffentlichen Schlüssel (D) des Signatur-Herausgebers (H); und - Vergleichen des berechneten eMD mit dem erhaltenen eMD (c) und Verifizieren der Echtheit der blinden Signatur, wenn der berechnete eMD mit dem erhaltenen eMD (c) übereinstimmt.A method for checking a blind signature of an electronic coin record, eMD (c), the blind signature according to the method (100) of the previous one Claims 1 to 6 with the process steps: - Receiving (111) from: ◯ the eMD (c), ◯ a serial number (m) used to generate the eMD (c), ◯ a signed unblended eMD (s), and ◯ the publisher information ( u, w); - Calculating (112) an eMD using the received serial number (m), the signed uncovered eMD (s), the publisher information (w) and a public key (D) of the signature publisher (H); and comparing the calculated eMD with the received eMD (c) and verifying the authenticity of the blind signature if the calculated eMD matches the received eMD (c). Das Verfahren nach Anspruch 7, wobei der erhaltene eMD (c) das Ergebnis einer Streuwertfunktion (H()) aus einer Verknüpfung (M) einer teilnehmergenerierten Seriennummer (m) mit einem Basispunkt (G) und einem teilnehmerberechneten Punkt (A) einer elliptischen Kurve ist und wobei vor dem Berechnen der eMD (c) ein teilnehmergenerierter öffentlicher Schlüssel (M) von der teilnehmergenerierten Seriennummer (m) abgeleitet wird.The procedure after Claim 7 , the eMD obtained (c) being the result of a scatter value function (H ()) from a link (M) of a subscriber-generated serial number (m) with a base point (G) and a subscriber-calculated point (A) of an elliptic curve, and before Calculate the eMD (c) a subscriber-generated public key (M) is derived from the subscriber-generated serial number (m). Ein Verfahren zum Überprüfen einer blinden Signatur eines elektronischen Münzdatensatzes, eMD (c), wobei die blinde Signatur nach einem Verfahren der Ansprüche 1 bis 6 erzeugt wurde, mit den Verfahrensschritten: - Erhalten (111) von: o dem eMD (c); o einem zum Erzeugen des eMD (c) verwendeten teilnehmergenerierten öffentlichen Schlüssel (M); ◯ einem signierten unverblendeten eMD (s); ◯ einem geldwerten Teilbetrag der eMD (υ); ◯ einer Signatur (σm) über eine Verknüpfung aus dem geldwerten Teilbetrag (υ) und einem weiteren teilnehmergenerierten öffentlichen Schlüssel (P); ◯ dem teilnehmergenerierten Geheimnis (p); und ◯ der Herausgeberinformation (w); - Berechnen des weiteren öffentlichen Schlüssels (P) aus dem erhaltenen teilnehmergenerierten Geheimnis (p); - Berechnen einer Signatur (σm) über die Verknüpfung aus dem geldwerten Teilbetrag (υ) und dem berechneten weiteren öffentlichen Schlüssel (P); - Vergleichen der berechneten Signatur (σm) mit der erhaltenen Signatur (σm) und Verifizieren der Echtheit des geldwerten Teilbetrags (υ); - Berechnen eines eMD unter Verwendung des teilnehmergenerierten öffentlichen Schlüssels (M), der signierten unverblendeten eMD (s), der Herausgeberinformation (w) und einem öffentlichen Schlüssel (D) des Signatur-Herausgebers (H); - Vergleichen des berechneten eMD mit dem erhaltenen eMD (c) und Verifizieren der Echtheit der blinden Signatur, wenn der berechnete eMD mit dem erhaltenen eMD (c) übereinstimmt.A method for checking a blind signature of an electronic coin data set, eMD (c), the blind signature according to a method of Claims 1 to 6 was generated, with the method steps: - Obtaining (111) from: o the eMD (c); o a user-generated public key (M) used to generate the eMD (c); ◯ a signed uncovered eMD (s); ◯ a monetary portion of the eMD (υ); ◯ a signature (σ m ) via a link between the monetary partial amount (υ) and another subscriber-generated public key (P); ◯ the subscriber generated secret (p); and ◯ the publisher information (w); - Calculating the further public key (P) from the received subscriber-generated secret (p); - Calculating a signature (σ m ) via the link from the monetary partial amount (υ) and the calculated further public key (P); - Comparing the calculated signature (σ m ) with the received signature (σ m ) and verifying the authenticity of the monetary partial amount (υ); - Calculating an eMD using the subscriber-generated public key (M), the signed uncovered eMD (s), the publisher information (w) and a public key (D) of the signature publisher (H); Comparing the calculated eMD with the received eMD (c) and verifying the authenticity of the blind signature if the calculated eMD matches the received eMD (c). Das Verfahren nach einem der Ansprüche 7 bis 9, wobei das Überprüfen durch den Signatur-Herausgeber (H) oder einer, von dem Signatur-Herausgeber (H) verschiedenen, Prüfinstanz (PI) erfolgt.The procedure according to one of the Claims 7 to 9 , wherein the verification is carried out by the signature publisher (H) or a testing entity (PI) different from the signature publisher (H). Das Verfahren nach einem der Ansprüche 7 bis 10, wobei beim Überprüfen auch die Herausgeberinformation (u, w) verifiziert wird.The procedure according to one of the Claims 7 to 10th , whereby the publisher information (u, w) is also verified when checking. Das Verfahren nach einem der Ansprüche 7 bis 11, wobei die blinde Signatur mit einem Elliptische Kurven Signieralgorithmus, ECDSA, erzeugt wird und zum Prüfen der blinden Signatur vereinbarte Kurvenparameter (f, p, a, b, G, n, h, H()) der elliptischen Kurve bereitgestellt werden.The procedure according to one of the Claims 7 to 11 , wherein the blind signature is generated with an elliptical curve signature algorithm, ECDSA, and agreed curve parameters (f, p, a, b, G, n, h, H ()) of the elliptical curve are provided for checking the blind signature. Ein Bezahlsystem zum Übertragen eines elektronischen Münzdatensatzes, eMD (c) zwischen zumindest zwei Teilnehmern (T1, T2, T3), wobei das Bezahlsystem umfasst: - einen ersten Teilnehmer (T1) zum Erzeugen eines unsignierten verblendeten eMD (c'); - einen Signaturherausgeber (H) zum Erzeugen einer blinden Signatur gemäß dem Verfahren (100) eines der vorhergehenden Ansprüche 1 bis 6; - und einem zweiten Teilnehmer (T2) zum Erhalten des erzeugten eMD (c), eines signierten unverblendeten eMD (s) und einer zum Erzeugen des eMD (c) verwendeten Seriennummer (m).A payment system for transmitting an electronic coin data record, eMD (c) between at least two participants (T1, T2, T3), the payment system comprising: - a first participant (T1) for generating an unsigned, blinded eMD (c '); - a signature issuer (H) for generating a blind signature according to the method (100) one of the preceding Claims 1 to 6 ; - And a second participant (T2) to receive the generated eMD (c), a signed unblended eMD (s) and a serial number (m) used to generate the eMD (c). Das Bezahlsystem nach Anspruch 13, wobei der zweite Teilnehmer (T2) den erhaltenen erzeugten eMD (c), den signierten unverblendeten eMD (s) und die zum Erzeugen des eMD (c) verwendeten Seriennummer (m) mittels des Verfahrens der Ansprüche 7 bis 12 überprüft.The payment system according to Claim 13 , wherein the second participant (T2) the received generated eMD (c), the signed unblended eMD (s) and the serial number (m) used to generate the eMD (c) using the method of Claims 7 to 12 checked. Das Bezahlsystem nach Anspruch 13 oder 14, wobei der erste Teilnehmer (T1) zum Erzeugen (106) des eMD (c) das Ergebnis einer Streuwertfunktion (H()) aus einer Verknüpfung eines teilnehmergenerierten öffentlichen Schlüssels (M) mit einem teilnehmerberechneten Punkt (A) ist, wobei der teilnehmergenerierte öffentliche Schlüssel (M) von der teilnehmergenerierten Seriennummer (m) abgeleitet ist.The payment system according to Claim 13 or 14 , wherein the first participant (T1) for generating (106) the eMD (c) is the result of a scatter value function (H ()) from a link between a participant-generated public key (M) and a participant-calculated point (A), the participant-generated public Key (M) is derived from the subscriber-generated serial number (m).
DE102018009943.2A 2018-12-18 2018-12-18 Process for creating a blind signature Withdrawn DE102018009943A1 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102018009943.2A DE102018009943A1 (en) 2018-12-18 2018-12-18 Process for creating a blind signature
PCT/EP2019/025438 WO2020126078A1 (en) 2018-12-18 2019-12-09 Method for generating a blind signature
EP19824235.6A EP3899844A1 (en) 2018-12-18 2019-12-09 Method for generating a blind signature

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018009943.2A DE102018009943A1 (en) 2018-12-18 2018-12-18 Process for creating a blind signature

Publications (1)

Publication Number Publication Date
DE102018009943A1 true DE102018009943A1 (en) 2020-06-18

Family

ID=68987652

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018009943.2A Withdrawn DE102018009943A1 (en) 2018-12-18 2018-12-18 Process for creating a blind signature

Country Status (3)

Country Link
EP (1) EP3899844A1 (en)
DE (1) DE102018009943A1 (en)
WO (1) WO2020126078A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021000570A1 (en) 2021-02-04 2022-08-04 Giesecke+Devrient Advance52 Gmbh METHOD OF PROVIDING AN EVIDENCE DATASET; PROCEDURE FOR EXAMINING AN EVIDENCE RECORD; A COIN REGISTER; A SUBSCRIBER UNIT AND A COMPUTER PROGRAM PRODUCT
DE102021000572A1 (en) 2021-02-04 2022-08-04 Giesecke+Devrient Advance52 Gmbh PROCEDURE FOR CREATING A COIN RECORD COMPOSITION, SUBSCRIBER UNIT AND PAYMENT SYSTEM

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11651354B2 (en) * 2019-09-11 2023-05-16 Nxp B.V. Efficient partially spendable e-cash
US20220284129A1 (en) * 2021-03-07 2022-09-08 Guardtime Sa Verifiable Splitting of Single-Instance Data Using Sharded Blockchain

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69009274T2 (en) * 1989-04-03 1995-01-12 Nippon Telegraph & Telephone Method and device for displaying electronic money.
US20080141035A1 (en) * 2004-12-27 2008-06-12 Nec Corporation Limited Blind Signature System

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5901229A (en) * 1995-11-06 1999-05-04 Nippon Telegraph And Telephone Corp. Electronic cash implementing method using a trustee

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69009274T2 (en) * 1989-04-03 1995-01-12 Nippon Telegraph & Telephone Method and device for displaying electronic money.
US20080141035A1 (en) * 2004-12-27 2008-06-12 Nec Corporation Limited Blind Signature System

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021000570A1 (en) 2021-02-04 2022-08-04 Giesecke+Devrient Advance52 Gmbh METHOD OF PROVIDING AN EVIDENCE DATASET; PROCEDURE FOR EXAMINING AN EVIDENCE RECORD; A COIN REGISTER; A SUBSCRIBER UNIT AND A COMPUTER PROGRAM PRODUCT
DE102021000572A1 (en) 2021-02-04 2022-08-04 Giesecke+Devrient Advance52 Gmbh PROCEDURE FOR CREATING A COIN RECORD COMPOSITION, SUBSCRIBER UNIT AND PAYMENT SYSTEM

Also Published As

Publication number Publication date
EP3899844A1 (en) 2021-10-27
WO2020126078A1 (en) 2020-06-25

Similar Documents

Publication Publication Date Title
DE102012206341B4 (en) Joint encryption of data
DE602005002652T2 (en) System and method for renewing keys used in public-key cryptography
DE102018009943A1 (en) Process for creating a blind signature
DE112011100182B4 (en) Data security device, computing program, terminal and system for transaction verification
DE19781841C2 (en) Method for automatically deciding the validity of a digital document from a remote location
DE60114833T2 (en) VERIFICABLE, SECRET MIXING OF ENCRYPTED DATA, SUCH AS ELGAMAL ENCRYPTED DATA FOR SECURED MULTI-UNIT SELECTION
DE60217260T2 (en) Data processing and encryption unit
DE602004001273T2 (en) Method and device for identification-based encryption
DE60031304T3 (en) METHOD FOR AUTHENTICATING SOFTWARE USERS
WO2016008659A1 (en) Method and a device for securing access to wallets in which cryptocurrencies are stored
DE60036499T2 (en) A technique to set a parameter, such as a checksum to generate by a primitive that uses elementary register operations
WO2020212337A1 (en) Method for directly transmitting electronic coin data sets between terminals and a payment system
DE10143728B4 (en) Device and method for calculating a result of a modular exponentiation
DE102009000869A1 (en) Method and device for tamper-proof transmission of data
DE60131373T2 (en) METHOD FOR CERTIFICATION AND VERIFICATION OF DIGITAL WEB CONTENT USING PUBLIC ENCRYPTION
DE60212248T2 (en) Information security apparatus, apparatus and method for generating a prime number
DE102018009950A1 (en) Process for obtaining a blind signature
WO2014037070A1 (en) Method for generating a derived authority from an original data carrier
DE10248006B4 (en) Method and device for encrypting data
DE102021004548A1 (en) METHOD AND TRANSACTION SYSTEM FOR TRANSFERRING TOKENS IN AN ELECTRONIC TRANSACTION SYSTEM
DE102020104904A1 (en) PROCEDURE, TERMINAL DEVICE, MONITORING INSTANCE AND PAYMENT SYSTEM FOR MANAGING ELECTRONIC COIN DATA RECORDS
EP1119941A1 (en) Method for establishing a common key between an exchange and a group of subscribers
DE102022000857B3 (en) Procedure for the secure identification of a person by a verification authority
DE102007014971B4 (en) Hidden security features in digital signatures
DE102006012180A1 (en) Data records processing method for use in communication system, involves decoding respective data records in data terminal using corresponding decoding algorithms, and comparing decoding results

Legal Events

Date Code Title Description
R163 Identified publications notified
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT ADVANCE52 GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT CURRENCY TECHNOLOGY GMBH, 81677 MUENCHEN, DE

R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT ADVANCE52 GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT GESELLSCHAFT MIT BESCHRAENKTER HAFTUNG, 81677 MUENCHEN, DE

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee