EP3899844A1 - Verfahren zum erzeugen einer blinden signatur - Google Patents

Verfahren zum erzeugen einer blinden signatur

Info

Publication number
EP3899844A1
EP3899844A1 EP19824235.6A EP19824235A EP3899844A1 EP 3899844 A1 EP3899844 A1 EP 3899844A1 EP 19824235 A EP19824235 A EP 19824235A EP 3899844 A1 EP3899844 A1 EP 3899844A1
Authority
EP
European Patent Office
Prior art keywords
emd
subscriber
signature
generated
publisher
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP19824235.6A
Other languages
English (en)
French (fr)
Inventor
Tilo FRITZHANNS
Florian Gawlas
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient Advance52 GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Publication of EP3899844A1 publication Critical patent/EP3899844A1/de
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/06Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
    • G06Q20/065Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash
    • G06Q20/0658Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash e-cash managed locally
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/22Payment schemes or models
    • G06Q20/29Payment schemes or models characterised by micropayments
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3678Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes e-cash details, e.g. blinded, divisible or detecting double spending
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • G06Q20/38215Use of certificates or encrypted proofs of transaction rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/383Anonymous user system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3257Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using blind signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Finance (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Erzeugen einer blinden Signatur für einen elektronischen Münzdatensatz, eMD, mit den Verfahrensschritten: Erhalten eines unsignierten verblendeten eMD von einem Teilnehmer bei einem Signatur-Herausgeber; Erweitern des unsignierten verblendeten eMD mit einer Herausgeberinformation durch den Signatur-Herausgeber zum Erhalten eines erweiterten unsignierten eMD; Signieren des erweiterten unsignierten eMD unter Verwendung einer herausgebergenerierten Zufallszahl und eines geheimen Schlüssels des Signatur-Herausgebers zum Erhalten eines erweiterten signierten verblendeten eMD; und Senden des erweiterten signierten verblendeten eMD und der Herausgeberinformation an den Teilnehmer. Die Erfindung betrifft auch Verfahren zum Überprüfen der erzeugten und/oder erhaltenen blinden Signatur. Weiterhin betrifft die Erfindung ein Bezahlsystem zum Übertragen eines elektronischen Münzdatensatzes zwischen zumindest zwei Teilnehmern.

Description

VERFAHR EN ZUM RR TRUGEN EINER BLINDEN SIGNATUR
TECHNISCHES GEBIET DER ERFINDUNG
Die Erfindung betrifft ein Verfahren zum Erzeugen einer blinden Signatur für einen elektronischen Münzdatensatz, eMD. Die Erfindung betrifft auch ein Verfahren zum Erhalten einer blinden Signatur in einem Teilnehmer. Die Erfindung betrifft auch ein Verfahren zum Ableiten eines geldwerten Teilbetrags von einer bereits blind signier ten eMD durch einen Teilnehmer. Die Erfindung betrifft auch mehrere Verfahren zum Überprüfen der erzeugten/erhaltenen blinden Signatur. Weiterhin betrifft die Erfindung ein Bezahlsystem zum Übertragen eines elektronischen Münzdatensatzes zwischen zumindest zwei Teilnehmern.
TECHNISCHER HINTERGRUND DER ERFINDUNG
Zum anonymisierten Austauschen elektronischer Münzdatensätze auf Basis von so- genannten blinden Signaturen gibt es das Verfahren„DigiCash“. Ein Prinzip, dass dem„DigiCash“ Verfahren mit blinden Signaturen ähnelt, ist in Fig.l dargestellt.
Blinde digitale Signaturen können beispielsweise über einen Elliptic Curve Digital Signature Algorithm, ECDSA, erzeugt werden, einer Variante des Digitalen Signatur Algorithmus, DSA, in welcher eine Elliptische-Kurven-Kryptographie angewendet wird. Ein ECDSA ist beispielsweise in Fig.2 dargestellt.
Keines der bekannten Konzepte ermöglicht eine Vervielfältigung des geldwerten Betrags (Münznominal) der signierten digitalen Münze. Das bedeutet, wenn ein Münzdatensatz beispielsweise einen geldwerten Betrag von 1€ aufweist, so ist man für ein Bezahlen eines geldwerten Betrags von 100€ gezwungen, einhundert gene rierte elektronische Münzdatensätze zu versenden und verifizieren zu lassen. Dies erschwert das Verifizieren und erhöht die Datenmenge zum Übertragen hoher geld werter Beträge enorm.
Keines der bekannten Konzepte ermöglicht eine Teilung des geldwerten Betrags (=Münznominal) der signierten digitalen Münze. Das bedeutet, wenn ein Münzda tensatz einen geldwerten Betrag von 1€ aufweist, so ist das Bezahlen eines Bruch teils dieses geldwerten Betrags, beispielsweise 0,50€ oder eines gemischten Bruch- teils, beispielsweise 1,50€ nicht möglich. Mitunter verhindern diese Konzepte dann ein passendes Bezahlen. Diese bekannten Konzepte sehen zudem keine Rückgeldzahlung vor, beispielsweise wenn ein Teilnehmer einen zu zahlenden Betrag mit einem größeren Münzwert be gleicht, kann der Bezahlte keinen geldwerten Betrag in Form von Rückgeld bzw. Wechselgeld auf Basis der erhaltenen eMD generieren und versenden. Dies macht 5 die bisherigen Konzepte unattraktiv und unflexibel.
Zudem sind die bekannten Konzepte intransparent für eine Prüfinstanz und lediglich die Echtheit einer Signatur kann überprüft werden, ohne dabei sicher zu sein, ob ein Teilnehmer den eMD manipuliert hat. Tatsächlich werden blinde Signaturen in vie lt) len Verkaufsstellen aufgrund dieser Intransparenz nicht akzeptiert.
Es ist somit Aufgabe der vorliegenden Erfindung, ein Verfahren und ein System zu schaffen, bei welchem transparent überprüfbar ist, ob ein Signatur-Herausgeber einer blinden Signatur tatsächlich einen eMD signiert hat. Zudem soll der geldwerte Be- 15 trag (Münzwert) eines signierten eMD einfach teilbar sein, ohne dass eine blinde Signatur ihre Ungültigkeit verliert. Dabei soll ein direkter Austausch zwischen Teil nehmern bzw. den entsprechenden Endgeräten geschaffen werden, der unkompliziert und schnell ist. Ein Teilnehmer soll ebenfalls dazu in der Lage sein, passendes Rückgeld (Wechselgeld) in Form eines vom erhaltenen eMD geteilten eMD zurück- 20 zugeben. Das Verfahren soll für einen Dritten intransparent bleiben, um ein anony mes Bezahlen zu gewährleisten.
ZUSAMMENFASSUNG DER ERFINDUNG
Die gestellte Aufgabe wird mit den Merkmalen der unabhängigen Patentansprüche 25 gelöst. Weitere vorteilhafte Ausgestaltungen sind in den jeweils abhängigen Pa tentansprüchen beschrieben.
Die Aufgabe wird insbesondere durch ein Verfahren zum Erzeugen einer blinden Signatur für einen elektronischen Münzdatensatz, eMD, gelöst. Das Verfahren um- 30 fasst dabei die folgenden Schritte: Erhalten eines unsignierten verblendeten eMD von einem Teilnehmer bei einem Signatur-Herausgeber; Erweitern des unsignierten verblendeten eMD mit einer Herausgeberinformation durch den Signatur- Herausgeber zum Erhalten eines erweiterten unsignierten eMD; Signieren des erwei terten unsignierten eMD unter Verwendung einer herausgebergenerierten Zufallszahl 35 und eines geheimen Schlüssels des Signatur-Herausgebers zum Erhalten eines erwei terten signierten verblendeten eMD; und Senden des erweiterten signierten verblen deten eMD und der Herausgeberinformation an den Teilnehmer, wobei die gesendete Herausgeberinformation ein Teil der blinden Signatur ist. Beim (digitalen) blinden Signaturverfahren ist es möglich, als Besitzer einer eMD anonym zu bleiben, sodass Bezahlvorgänge, die ein Teilnehmer tätigt, nicht von dem Signatur-Herausgeber oder einer Prüfinstanz nachgeprüft werden können. Der Signa- tur-Herausgeber kennt demnach die eMD nicht, da er nur eine verblendete eMD empfängt. Als Verblendung wird beispielsweise eine Addition oder Subtraktion der eMD mit einer ganzzahligen teilnehmergenerierten Zufallszahl verstanden. Ein Rückschluss auf den Teilnehmer bei Besitz der verblendeten unsignierten eMD ist somit nicht möglich.
Erfindungsgemäß wird nun der Signatur eine Herausgeberinformation, auch als Her- ausgebemachricht bezeichnet, durch den Herausgeber hinzugefügt. Durch das erfin dungsgemäße Erweitern wird diese Herausgeberinformation unveränderlicher Teil der blinden Signatur des eMD. Diese Herausgeberinformation wird - ebenso wie der signierte verblendete eMD - dem Teilnehmer, beispielsweise im Klartext, zur Verfü gung gestellt. Als Herausgeberinformation wird jegliche unmanipulierbare Informa tion eines Herausgebers angesehen. Die Herausgeberinformation ist eigenständig und somit nicht vom eMD oder dem Teilnehmer abhängig. Eine eigenständige In formation ist daher eine unabhängige, nicht von anderen Instanzen bedingte Informa- tion.
Auf diese Weise kann bei einem späteren Prüfen der Signatur festgestellt werden, ob diese gesendete Herausgeberinformation mit der, in der Signatur befindlichen Her ausgeberinformation übereinstimmt oder im Rahmen eines Manipulationsversuchs verändert wurde. Die mit diesem Verfahren erzeugte blinde Signatur ermöglicht es jedem Teilnehmer am Bezahlsystem, eine Urheberschaft der Signatur über eine ver blendete eMD verbessert nachzuprüfen. Die Herausgeberinformation dient in einem Überprüfen-Schritt also dazu, den Teil der Signatur, der von der Herausgeberinfor mation gebildet wurde, gründlicher zu verifizieren. Die Herausgeberinformation ist nicht geheim und kann beispielsweise im Senden-Schritt als Klartext-Information übertragen werden.
Bevorzugt wird die Herausgeberinformation unabhängig von der signierten verblen deten eMD als eigenständige Information bereitgestellt wird. Mit dieser unabhängi- gen Bereitstellung ist gewährleistet, dass die Herausgeberinformation und die eMD vollkommen getrennte Informationen sind und ursprünglich von unterschiedlichen Instanzen generiert wurden. Während die eMD vom Teilnehmer selbst generiert werden kann, ist die Herausgeberinformation von dem (vertrauenswürdigen) Signa- tur-Herausgeber generiert worden. Auf diese Weise wird einerseits die Anonymität im Bezahlsystem gewahrt, andererseits wird durch diese Herausgeberinformation eine zusätzliche eMD unabhängige Information mitsigniert. Es ist darüber hinaus auch denkbar, dass die Herausgeberinformation in einem Prüfungsverfahren direkt einer Prüfinstanz zur Verfügung gestellt wird.
Bevorzugt ist die zum Erweitern der unsignierten verblendeten eMD verwendete Herausgeberinformation das Ergebnis einer Streu wertfunktion (Hashfunktion) mit einem Herausgeberwert, wobei der Herausgeberwert als die Herausgeberinformation gesendet wird.
Eine Streu wertfunktion (auch Hashfunktion) ist eine Abbildung, die eine große Ein gabemenge (beispielsweise die Herausgeberwert oder geheime Schlüssel) auf eine kleinere Zielmenge (die Hashwerte, beispielsweise die Herausgeberinformation) abbildet. Eine Hashfunktion ist daher im Allgemeinen nicht injektiv. Die Eingabe menge kann Elemente unterschiedlicher Längen enthalten, die Elemente der Ziel menge haben dagegen meist eine feste Länge. Auf diese Weise kann die Signatur in ihrer Größe reduziert werden, ohne jedoch das Sicherheitsniveau zu verringern. Die Streu wertfunktion ist bevorzugt eine, im Signier-Verfahren grundsätzlich ver einbarte, Streuwertfunktion, beispielsweise bei Verwendung eines ECDSA, bei dem neben den Kurvenparametem auch die zu wählende Streu wertfunktion festgelegt wird. Durch Verwenden eines Hashwertes als Herausgeberinformation anstelle des Herausgeberwertes selbst, wird die Sicherheit weiter erhöht und die Manipulation weiter erschwert. Zudem wird die zu sendende Datenmenge bestehend aus Heraus geberinformation und signiertem verblendeten eMD minimiert. Dies ist beispiels weise bei M2M-Anwendungen vorteilhaft.
Der Herausgeberwert kann dabei mindestens einer der folgenden Werte sein: ein Zeitwert, beispielsweise ein Zeitstempel oder eine Datumsangabe; eine Identifikation des Herausgebers, beispielsweise eine ID, Seriennummer, Vertragsnummer; und/oder eine Kennung des Herausgebers im Signierverfahren; und/oder ein heraus gebergenerierter Wert, beispielsweise eine Zufallszahl oder eine sonst wie erzeugtes Datum. Der Herausgeberwert wird bevorzugt im Klartext übertragen und als Hash- wert in der blinden Signatur unterbracht. Ist man im Besitz der Herausgeberinforma tion kann man durch erneute Streu Wertberechnung prüfen, ob die blinde Signatur korrekt ist und so, die Echtheit der blinden Signatur verbessert verifizieren. Das Erzeugen der blinden Signatur basiert bevorzugt auf einem Standard für digitale Signaturen, beispielsweise dem Digitalen Signatur Algorithmus, kurz DSA. Der DSA basiert auf dem diskreten Logarithmus in endlichen Körpern. Wie bei allen Signaturverfahren, die auf dem diskreten Logarithmus basieren, insbesondere für Verfahren, die auf elliptischen Kurven beruhen, hängt die Sicherheit ganz wesentlich von den Eigenschaften der verwendeten Zufallszahl des Signatur-Herausgebers ab.
Lür jede Signatur muss ein Zufallswert von dem Signatur-Herausgeber generiert werden. Dieser muss ausreichend Entropie besitzen, geheim gehalten werden und darf nur einmal im System verwendet werden. Diese Anforderungen sind kritisch, denn wird die Zufallszahl bekannt, so kann aus der Signatur der geheime Signatur schlüssel des Signatur-Herausgebers berechnet werden. Falls die Zufallszahl eine geringe Entropie hat, kann ein Angreifer für jede mögliche Zufallszahl einen gehei men Schlüssel berechnen und dann mit Hilfe des öffentlichen Verifikationsschlüssels testen, welcher davon der Richtige ist.
Bevorzugt ist der eMD das Ergebnis einer Streuwertfunktion aus einer teilnehmer generierten Seriennummer und einem teilnehmerberechneten Punkt einer elliptischen Kurve. Damit wird eine Variante eines Digitalen Signatur Algorithmus, kurz DSA, nämlich ein Elliptische-Kurven-Kryptographie, ECDSA verwendet. Die Übertra gung des DSA auf elliptischen Kurven ist in ANSI X9.62 standardisiert. Somit ist ein hohes Maß an Sicherheit bei minimaler Schlüssellänge möglich. Das Prinzip des ECDSA ist in Fig.2 erläutert. Der DSA ist ein beispielhafter Standard für digitale Signaturen. Andere Algorith men, beispielsweise kann auch ein asymmetrisches kryptographisches Verfahren, RSA, zum digitalen Signieren verwendet werden. RSA verwendet ein Schlüsselpaar, bestehend aus einem privaten Schlüssel (das Geheimnis), der zum Entschlüsseln oder Signieren von Daten verwendet wird, und einem öffentlichen Schlüssel, mit dem man verschlüsselt oder Signaturen prüft. Der private Schlüssel wird geheim gehalten und kann nur mit hohem Rechenaufwand aus dem öffentlichen Schlüssel berechnet werden.
Bevorzugt ist der eMD das Ergebnis einer Streu wertfunktion aus einem teilnehmer- generierten öffentlichen Schlüssel und einem teilnehmerberechneten Punkt einer elliptischen Kurve, wobei der teilnehmergenerierte öffentliche Schlüssel von der teilnehmergenerierten Seriennummer abgeleitet ist. Über die jeweiligen Kurvenpa rameter haben sich die beteiligten Instanzen im Vorfeld des Signier-Verfahrens ge- einigt. In dieser Ausgestaltung verbleibt die teilnehmergenerierte Seriennummer beim Teilnehmer als ein Geheimnis (also ein privater Schlüssel) und dem Signatur- Herausgeber wird ein von der Seriennummer abgeleiteter öffentlicher Schlüssel be reitgestellt. Beispielsweise wird dieser öffentliche Schlüssel teilnehmerseitig dadurch generiert, dass die Seriennummer mit einem Basispunkt der elliptischen Kurve verknüpft wird, beispielsweise eine logische Verknüpfung oder eine einfache mathematische Operation, beispielsweise eine Multiplikation. Auf diese Weise kön nen erfindungsgemäß auch Teile eines geldwerten Betrags einer eMD von einem Teilnehmer auf einen anderen Teilnehmer übertragen werden, was später noch erläu- tert wird. Die Signatur wird dabei über den gesamten geldwerten Betrag der eMD erstellt, einen zweiten Teilnehmer berechtigt dies nach Übertragen der eMD noch nicht automatisch zum Besitzen des gesamten Betrags, da ihm die Kenntnis über der teilnehmergenerierten Seriennummer verborgen bleibt, wenn nur Teilbeträge über tragen werden sollen.
Erfindungsgemäß ist nun zudem ein Verfahren zum Überprüfen einer blinden Signa tur eines eMD vorgesehen, wobei die blinde Signatur gemäß dem vorhergehenden Verfahren erzeugt wurde. Zum Überprüfen der Signatur wird der unsignierte, nicht verblendete (unverblendete) eMD und eine zum Erzeugen des eMD verwendete Se- riennummer und eine signierte nicht verblendete (unverblendete) eMD und die Her ausgeberinformation erhalten. Damit kann der vollständige geldwerte Betrag der eMD geprüft werden und bei erfolgreichem Überprüfen aufgrund der Kenntnis der (geheimen) Seriennummer den Besitzer wechseln. Im Unterschied zum bisherigen Überprüfen von blind signierten eMD, wird nun der eMD unter Verwendung der erhaltenen Seriennummer, des signierten unverblendeten eMD, der Herausgeberin formation und einem öffentlichen Schlüssel des Signatur-Herausgebers berechnet. Da die Herausgeberinformation auch unveränderlicher Teil der blinden Signatur ist, kann durch das Erhalten der (Klartext) Herausgeberinformation nun auch die blinde Signatur auf Korrektheit der Herausgeberinformation geprüft werden. Dabei erfolgt ein Vergleichen des berechneten eMD mit dem erhaltenen eMD und ein Verifizieren der Echtheit der blinden Signatur, wenn der berechnete eMD mit dem erhaltenen eMD übereinstimmt.
Bevorzugt ist der erhaltene eMD das Ergebnis einer Streuwertfunktion aus einer Verknüpfung einer teilnehmergenerierten Seriennummer mit einem Basispunkt und einem teilnehmerberechneten Punkt einer elliptischen Kurve, wobei vor dem Be rechnen der eMD ein teilnehmergenerierter öffentlicher Schlüssel von der teilneh mergenerierten Seriennummer abgeleitet wird. In dieser Ausgestaltung wurde die blinde Signatur der eMD mit dem teilnehmergenerierten öffentlichen Schlüssel an stelle der teilnehmergenerierten Seriennummer erstellt. Beispielsweise wird dieser öffentliche Schlüssel teilnehmerseitig dadurch generiert, dass die Seriennummer mit einem Basispunkt der elliptischen Kurve verknüpft wird, beispielsweise durch eine logische Verknüpfung oder eine einfache mathematische Operation, beispielsweise durch eine Multiplikation. Auf diese Weise können erfindungsgemäß auch Teile eines geldwerten Betrags einer eMD von einem Teilnehmer auf einen anderen Teil nehmer übertragen werden, was später noch erläutert wird. Die blinde Signatur wird dabei dennoch über den gesamten geldwerten Betrag der eMD erstellt. Zum Verifi- zieren der Echtheit der eMD muss dann der teilnehmergenerierte öffentliche Schlüs sel bereitgestellt werden.
Beim bisher beschriebenen eMD ist ein geldwerter Betrag (=Maximalbetrag des eMD) mit der teilnehmergenerierten Seriennummer gekoppelt, das heißt die blinde Signatur des Herausgebers ist für den Gesamtbetrag des geldwerten Betrags gültig. Dies verhindert bislang das Senden von Teilen des geldwerten Gesamtbetrags von eMD, da die Signaturprüfung für Teilbeträge ungültig ist. Zudem wird mit der Über prüfung auch die Seriennummer (das Geheimnis) des eMD übertragen und bei er folgreichem Verifizieren ist das Geheimnis entlüftet und der geldwerte Betrag kann - ähnlich wie bei DigiCash - eingelöst werden. Nun ist es oft wünschenswert, die eMD zu teilen und nur Teilbeträge der signierten eMD zu übergeben.
Erfindungsgemäß ist dazu nun ein Verfahren zum Überprüfen einer blinden Signatur eines eMD vorgesehen, wobei die blinde Signatur ebenfalls nach dem zuvor be- schriebenen Verfahren erzeugt wurde. Erhalten wird dabei der eMD; ein zum Erzeu gen des eMD verwendeter teilnehmergenerierter öffentlicher Schlüssel; ein signierter unverblendeter eMD; ein geldwerter Teilbetrag der eMD; eine (echte) Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und einem weiteren teilnehmerge nerierten öffentlichen Schlüssel; das teilnehmergenerierte Geheimnis; und die Her- ausgeberinformation.
Der geldwerte Teilbetrag ist ein Bruchteil des mit dem eMD verbundenen geldwer ten Gesamtbetrags. Dieser geldwerte Teilbetrag kann einen beliebigen Wert anneh men, er kann unrund sein und/oder er kann das Rückgeld in einem Bezahlvorgang sein. In dem Verfahren wird nun absichtlich die teilnehmergenerierte Seriennummer (das Geheimnis) nicht zum Überprüfen übertragen, um das Einlösen des Gesamtbe trages des eMD zu verhindern. Dementgegen wird ein neues (weiteres) Geheimnis teilnehmerseitig generiert, welches von der teilnehmergenerierten Seriennummer verschieden ist. Dieses teilnehmergenerierte Geheimnis wird zum Prüfen anstelle der teilnehmergenerierten Seriennummer übertragen. Zudem wird ein weiterer öffentli cher Schlüssel teilnehmerseitig von diesem Geheimnis abgeleitet. Dieses Ableiten ist beispielsweise eine mathematische Operation oder eine logische Verknüpfung des teilnehmergenerierten Geheimnisses mit einem Basispunkt (Generatorpunkt) oder einem alternativen vereinbarten Wert.
Im Überprüfen- Verfahren erfolgt nach dem Erhalten- Schritt das Berechnen des wei teren öffentlichen Schlüssels aus dem erhaltenen teilnehmergenerierten Geheimnis. Dazu wird der vereinbarte Wert, beispielsweise ein Basispunkt, verwendet. Zudem erfolgt das Berechnen der Signatur aus der Verknüpfung aus dem geldwerten Teilbe trag und dem berechneten weiteren öffentlichen Schlüssel. Somit ist die (echte) Sig natur errechenbar und kann mit der erhaltenen (echten) Signatur verglichen werden. Hier wird der Teilbetrag echt signiert, das heißt ohne zusätzliche Verblendung, da sonst ein Empfänger des Teilbetrags die Echtheit und die korrekte Ableitung nicht verifizieren kann.
Im darauffolgenden Überprüfen- Verfahren erfolgt sodann ein Vergleichen der be- rechneten echten Signatur mit der erhaltenen echten Signatur und so ein Verifizieren des Besitzes des geldwerten Teilbetrags. Auf diese Weise kann die Echtheit der er haltenen echten Signatur geprüft werden und es wird sichergestellt, dass das teil nehmergenerierte Geheimnis tatsächlich von dem Teilnehmer generiert wurde. Somit ist der Teilbetrag gültig.
Schließlich wird der eMD berechnet unter Verwendung des teilnehmergenerierten öffentlichen Schlüssels, dem signierten unverblendeten eMD, der Herausgeberin formation und einem öffentlichen Schlüssel des Signatur-Herausgebers. Schließlich erfolgt ein Vergleichen des berechneten eMD mit dem erhaltenen eMD und ein Veri- fizieren der Echtheit der blinden Signatur, wenn der berechnete eMD mit dem erhal tenen eMD übereinstimmt. Während dieses Berechnens und Verifizierens kann nicht auf die teilnehmergenerierte Seriennummer des eMD geschlossen werden, sodass zwar die blinde Signatur geprüft werden kann, allerdings der volle geldwerte Betrag der eMD nicht entschlüsselt werden kann. Lediglich der mit der echten Signatur be- stätigte Teilbetrag kann so übertragen werden und vom Empfänger (Teilnehmer, Prüfinstanz) weiterverwendet werden. Bevorzugt erfolgt das Überprüfen durch den Signatur-Herausgeber oder einer, von dem Signatur-Herausgeber verschiedenen, Prüfinstanz. Darin kann ein wesentlicher Vorteil des Verfahrens gesehen werden, denn der Teilnehmer ist nun nicht gezwun gen, seinen eMD bei dem Signatur-Herausgeber überprüfen zu lassen, wodurch we- niger Rückschlüsse auf das Bezahlverhalten eines Teilnehmers gezogen werden können und die Anonymität erhöht wird.
Bevorzugt wird beim Überprüfen auch die Herausgeberinformation verifiziert. So kann festgestellt werden, ob die Herausgeberinformation in der eMD verändert wur- de und ein Manipulationsversuch unternommen wurde.
Bevorzugt wurde die blinde Signatur mit einem ECDSA erzeugt, wobei zum Über prüfen der blinden Signatur die im ECDSA vereinbarte Kurvenparameter der ellipti schen Kurve bereitgestellt werden.
In einem anderen Aspekt der Erfindung umfasst ein Bezahlsystem zum Übertragen eines elektronischen Münzdatensatzes zwischen zumindest zwei Teilnehmern einen ersten Teilnehmer zum Erzeugen eines unsignierten verblendeten eMD; einen Signa turherausgeber zum Erzeugen einer blinden Signatur gemäß dem vorhergehend be- schriebenen Verfahren und einen zweiten Teilnehmer zum Erhalten des erzeugten eMD, eines signierten unverblendeten eMD und einer zum Erzeugen des eMD ver wendeten Seriennummer.
In einer bevorzugten Ausgestaltung überprüft der zweite Teilnehmer den erhaltenen erzeugten eMD, den signierten unverblendeten eMD und die zum Erzeugen des eMD verwendeten Seriennummer mittels dem zuvor beschrieben Überprüfen- Verfahren.
Bevorzugt ist der eMD das Ergebnis einer Streuwertfunktion aus einer Verknüpfung eines teilnehmergenerierten öffentlichen Schlüssels mit einem teilnehmerberechne ten Punkt. Dabei ist der teilnehmergenerierte öffentliche Schlüssel von der teilneh mergenerierten Seriennummer abgeleitet. Auf diese Weise wird nicht die teilneh mergenerierte Seriennummer versendet, sondern ein davon abgeleiteter öffentlicher Schlüssel, wodurch eine Teilbarkeit eines eMD ermöglicht wird.
In einem Aspekt der Erfindung wird die gestellte Aufgabe durch ein Verfahren zum Erhalten einer blinden Signatur für einen elektronischen Münzdatensatz, eMD in einem Teilnehmer gelöst. Dieses Verfahren umfasst die Verfahrensschritte: Erzeu- gen eines öffentlichen Schlüssels aus einer teilnehmergenerierten Seriennummer durch den Teilnehmer; Erzeugen eines eMD unter Verwendung des erzeugten öf fentlichen Schlüssels durch den Teilnehmer; Verblenden des erzeugten eMD zum Erhalten eines verblendeten unsignierten eMD durch den Teilnehmer; Senden des verblendeten unsignierten eMD von dem Teilnehmer zu einem Signatur- Herausgeber; Erhalten eines signierten verblendeten eMD von dem Signatur- Herausgeber durch den Teilnehmer; und Entfernen der Verblendung zum Erhalten eines signierten unverblendeten eMD durch den Teilnehmer. Das teilnehmerseitige Erzeugen des öffentlichen Schlüssels aus einer teilnehmerge nerierten Seriennummer durch den Teilnehmer wurde bereits mehrfach erläutert. Dabei wird ein im Verfahren zwischen den Teilnehmern, dem Signatur-Herausgeber und/oder der Prüfinstanz bereits vereinbarter Wert verwendet. Der Wert ist bei spielsweise ein Basispunkt der elliptischen Kurve. Dieser vereinbarte Wert wird lo- gisch mit der teilnehmergenerierten Seriennummer verknüpft, beispielsweise über eine logische Verknüpfung, wie AND; OR; XOR; NAND; NOR, oder über eine ein fache mathematische Operation, beispielsweise eine Multiplikation oder eine Additi on. Bevorzugt umfasst der Schritt des Erzeugens des eMD die Schritte: Errechnen eines Punktes einer elliptischen Kurve unter Verwendung von vereinbarten Kurvenpara metern; Verknüpfen des errechneten Punktes mit dem erzeugten öffentlichen Schlüs sel; Berechnen einer Streu wertfunktion aus der Verknüpfung aus errechne tem Punkt und dem erzeugten öffentlichen Schlüssel, wobei das Ergebnis der Streu wertfunktion der eMD ist.
Zum Erhalten der blinden Signatur wird nun der abgeleitete öffentliche Schlüssel verwendet anstelle der teilnehmergenerierten Seriennummer. Diese teilnehmergene rierte Seriennummer ist demnach für den Signatur-Herausgeber geheim und bleibt geheim.
Dieses Verfahren ermöglicht es, dass der eMD nicht mit seinem vollen geldwerten Betrag (Maximalbetrag des eMD) zwischen Teilnehmern übertragen werden muss, sondern, dass auch beliebige Teilbeträge von dem vollen geldwerten Betrag abgelei- tet und übertragen werden können.
In einer bevorzugten Ausgestaltung ist der erhaltene signierte verblendete eMD ein, mit einer Herausgeberinformation erweiterter signierter verblendeter eMD. Dabei ist insbesondere die zum Erweitern des unsignierten verblendeten eMD verwendete Herausgeberinformation das Ergebnis einer Streuwertfunktion mit einem Herausge berwert, wobei der Herausgeberwert als die Herausgeberinformation gesendet wird und der Teil der blinden Signatur ist. Der Herausgeberwert ist bevorzugt ein Zeit- wert, eine Identifikation des Herausgebers und/oder ein herausgebergenerierter Wert.
In einer bevorzugten Ausgestaltung wird zusammen mit dem erweiterten signierten verblendeten eMD die Herausgeberinformation erhalten, wobei bevorzugt die Her ausgeberinformation unabhängig von der signierten verblendeten eMD als eigen- ständige Information bereitgestellt wird.
Diese Herausgeberinformation und das entsprechende Erweitern des signierten ver blendeten eMD sind bereits oben ausführlich beschrieben worden. Auf diese Be schreibung wird ausdrücklich Bezug genommen. Die Herausgeberinformation dient also dazu, das blinde Signieren transparenter auszugestalten, indem (vom Teilneh mer) nicht manipulierbare, nicht-geheime Herausgeberinformationen Teil der blin den Signatur werden und geprüft werden können.
In einer bevorzugten Ausgestaltung ist ein Verfahren zum Ableiten eines geldwerten Teilbetrags eines signierten verblendeten eMD in einem Teilnehmer vorgesehen. Der eMD ist dabei gemäß dem vorherig beschriebenen Verfahren erhalten. Dieses Ablei- ten-Verfahren umfasst die Schritte: Erzeugen eines teilnehmergenerierten Geheim nisses und eines weiteren öffentlichen Schlüssels aus dem teilnehmergenerierten Geheimnis durch den Teilnehmer; Festlegen eines geldwerten Teilbetrags des eMD; und Errechnen einer Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und dem weiteren öffentlichen Schlüssel.
Der Teilbetrag kann beliebig festgelegt werden. Er kann das Rückgeld in einer Be zahltransaktion sein oder ein x-beliebiger Wert sein.
Das teilnehmergenerierte Geheimnis ist von der teilnehmergenerierten Seriennum mer verschieden und wird anstelle der Seriennummer verwendet, um zwischen Teil nehmern geldwerte Beträge zu übertragen. Dabei kann in vorteilhafter Weise anstelle des vollen geldwerten Betrages des eMD lediglich ein Teilbetrag übertragen werden. Mit diesem Ableiten wird also eine bereits blind signierte eMD für das Übertragen von geldwerten Teilbeträgen eingerichtet. Das Erzeugen des teilnehmergenerierten Geheimnisses kann sowohl von einem ers ten Teilnehmer erfolgen, wenn er einen Teilbetrag von dem Gesamtbetrag abteilen möchte. Bevorzugt erfolgt dieses Erzeugen durch einen weiteren Teilnehmer, der die teilnehmergenerierte Seriennummer nicht generiert hat. Somit kann ein Teilbetrag auch von einem beliebigen weiteren Teilnehmer abgeteilt werden, der die eMD legi tim erworben hat. Auf diese Weise können eMDs geteilt werden, wobei dennoch die blinde Signatur des eMD gültig bleibt. Zudem können nun Bezahlvorgänge mittels eMD ermöglicht werden, bei denen der eMD Empfänger (Bezahlte) einen abgeteil ten eMD zurücksenden kann, beispielsweise vergleichbar zu Rückgeld oder Wech- selgeld im Bargeldverkehr oder im Rahmen einer Rabattaktion.
Bevorzugt ist der weitere öffentliche Schlüssel eine Verknüpfung eines Basispunkts der elliptischen Kurve mit dem teilnehmergenerierten Geheimnis. Diese Verknüp fung ist beispielsweise eine logische Verknüpfung oder eine einfache mathematische Operation, wodurch der Rechenaufwand minimiert wird, ohne die Sicherheit und Manipulationsfestigkeit des Verfahrens zu gefährden. Alternativ zum Basispunkt kann auch ein anderer vereinbarter Wert verwendet werden.
In einer bevorzugten Ausgestaltung umfasst das Ableiten weiter das Erzeugen eines zweiten teilnehmergenerierten Geheimnisses und eines zweiten weiteren öffentlichen Schlüssels aus dem zweiten teilnehmergenerierten Geheimnis durch den Teilnehmer oder einen anderen Teilnehmer; Festlegen eines zweiten geldwerten Teilbetrags des eMD, wobei der zweite geldwerte Teilbetrag kleiner ist als der geldwerte Teilbetrag und Errechnen einer zweiten Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und dem zweiten weiteren öffentlichen Schlüssel.
Das Erzeugen des zweiten teilnehmergenerierten Geheimnisses kann sowohl von dem ersten Teilnehmer erfolgen, wenn er einen Teilbetrag weiter aufteilen möchte. Bevorzugt erfolgt dieses Erzeugen durch einen Teilnehmer, der das (erste) teilneh- mergenerierte Geheimnis nicht generiert hat. Somit kann der Teilbetrag auch von einem beliebigen weiteren Teilnehmer weiter geteilt werden. Auf diese Weise kön nen eMDs mehrfach geteilt werden, wobei dennoch die blinde Signatur gültig bleibt. Zudem können nun Bezahlvorgänge mittels eMD ermöglicht werden, bei denen der eMD Empfänger (Bezahlte) einen geteilten eMD zurücksenden kann, beispielsweise vergleichbar zu Rückgeld oder Wechselgeld im Bargeldverkehr oder im Rahmen einer Rabattaktion. Der zweite Teilbetrag kann beliebig festgelegt werden, also ein x-beliebiger Wert kleiner dem (ersten) Teilbetrag sein. Bevorzugt ist der zweite weitere öffentliche Schlüssel eine Verknüpfung eines Ba sispunkts der elliptischen Kurve mit dem zweiten teilnehmergenerierten Geheimnis. Diese Verknüpfung ist beispielsweise eine logische Verknüpfung oder eine einfache mathematische Operation, wodurch der Rechenaufwand minimiert wird, ohne die Sicherheit und Manipulationsfestigkeit des Verfahrens zu gefährden. Alternativ zum Basispunkt kann auch ein anderer vereinbarter Wert verwendet werden.
In einer bevorzugten Ausgestaltung ist ein Verfahren zum Überprüfen einer blinden Signatur eines eMD vorgesehen, wobei die blinde Signatur gemäß dem oben be schriebenen Verfahren erhalten wurde. Das Überprüfen umfasst die folgenden Schritte: Erhalten des eMD, einer zum Erzeugen des eMD verwendeten Seriennum mer und eines signierten unverblendeten eMD. Da die Seriennummer und nicht der davon abgeleitete öffentliche Schlüssel erhalten wird, kann nun der gesamte geld- werte Betrag der eMD geprüft, entschlüsselt und übertragen werden. Das Übertragen der Seriennummer ermöglicht generell die Verfügung über den gesamten geldwerten Betrag. Zum Überprüfen wird der öffentliche Schlüssel aus der teilnehmergenerier ten Seriennummer berechnet. Zudem wird der eMD unter Verwendung des berech neten öffentlichen Schlüssels, des signierten unverblendeten eMD und einem öffent lichen Schlüssel des Signatur-Herausgebers berechnet. Es gilt zu beachten, dass der berechnete öffentliche Schlüssel zum Verifizieren verwendet wird anstelle der Se- riennummer, denn in diesem Aspekt der Erfindung bleibt die Seriennummer dem Signatur-Herausgeber verborgen und die blinde Signatur wird über den öffentlichen Schlüssel erstellt. Zum Prüfen der Signatur ist dann der berechnete öffentliche Schlüssel zu verwenden. Schließlich wird der berechnete eMD mit dem erhaltenen eMD verglichen und die Echtheit der blinden Signatur verifiziert, wenn der berechnete eMD mit dem erhalte nen eMD übereinstimmt.
In einer bevorzugten Ausgestaltung ist ein weiteres Verfahren zum Überprüfen einer blinden Signatur eines eMD vorgesehen, bei dem ebenfalls die blinde Signatur nach einem vorhergehend beschriebenen Verfahren erzeugt/erhalten wurde. Das weitere Verfahren umfasst: Erhalten des eMD, des teilnehmergenerierten öffentlichen Schlüssel, eines signierten unverblendeten eMD, eines geldwerten Teilbetrag der eMD, einer Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und ei- nes weiteren teilnehmergenerierten öffentlichen Schlüssel; und eines teilnehmerge nerierten Geheimnisses. Der Teilbetrag ist bevorzugt der oben erwähnte (erste) Teil betrag des geldwerten Gesamtbetrags. Nun erfolgt ein Berechnen des weiteren öf fentlichen Schlüssels aus dem teilnehmergenerierten Geheimnis; ein Berechnen der Signatur über die Verknüpfung aus dem geldwerten Teilbetrag und dem berechneten weiteren teilnehmergenerierten öffentlichen Schlüssel; ein Vergleichen der berech neten Signatur mit der erhaltenen Signatur und ein Verifizieren der Echtheit des geldwerten Teilbetrags; und das bereits oben beschriebene Berechnen des eMD unter Verwendung des erhaltenen öffentlichen Schlüssels, des signierten unverblendeten eMD und einem öffentlichen Schlüssel des Signatur-Herausgebers, sodass - wie be reits erwähnt - der berechneten eMD mit dem erhaltenen eMD verglichen werden kann und die Echtheit der blinden Signatur verglichen wird, wenn der berechnete eMD mit dem erhaltenen eMD übereinstimmt.
Das weitere Verfahren ermöglicht somit das Verifizieren der Echtheit des eMD an hand des gesamten Geldbetrags, so wie sie von dem Signatur-Herausgeber (blind) signiert wurde. Zudem kann der Teilbetrag verifiziert werden und für weitere Be zahlvorgänge verwendet werden. Dabei muss das teilnehmergenerierte Geheimnis nicht von dem Teilnehmer generiert worden sein, der die Seriennummer generiert hat, wodurch eine übertragene eMD weiter teilbar ist ohne neu signiert werden zu müssen.
In einer bevorzugten Ausgestaltung ist noch ein weiteres Verfahren zum Überprüfen einer blinden Signatur eines eMD vorgesehen, bei dem ebenfalls die blinde Signatur nach einem vorhergehend beschriebenen Verfahren erzeugt/erhalten wurde. Das noch weitere Verfahren umfasst die Verfahrensschritten: Erhalten des eMD, des teil nehmergenerierten öffentlichen Schlüssels, eines signierten unverblendeten eMD, eines geldwerten Teilbetrags der eMD, einer Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und einem weiteren teilnehmergenerierten öffentlichen Schlüssels, des weiteren teilnehmergenerierten öffentlichen Schlüssels; eines zwei ten geldwerten Teilbetrag der eMD; einer zweiten Signatur über eine Verknüpfung aus dem zweiten geldwerten Teilbetrag und einem zweiten weiteren teilnehmergene rierten öffentlichen Schlüssel; und eines zweiten teilnehmergenerierten Geheimnis- ses. Zu beachten ist, dass das (erste) teilnehmergenerierte Geheimnis und auch die Seriennummer nicht erhalten werden, da deren Weitergabe auch den Besitz des (ers ten) geldwerten Teilbetrags oder des geldwerten Gesamtbetrags ermöglichen wür den. Der zweite Teilbetrag ist bevorzugt der oben erwähnte zweite Teilbetrag des geldwerten Gesamtbetrags, der kleiner ist als der (erste) Teilbetrag.
Es erfolgt ein Berechnen des zweiten weiteren öffentlichen Schlüssels aus dem zwei ten teilnehmergenerierten Geheimnis; ein Berechnen der zweiten Signatur über die Verknüpfung aus dem geldwerten Teilbetrag und dem berechneten zweiten weiteren teilnehmergenerierten öffentlichen Schlüssel; ein Vergleichen der berechneten zwei ten Signatur mit der erhaltenen zweiten Signatur und Verifizieren der Echtheit des zweiten geldwerten Teilbetrags. Zudem erfolgt das bereits erwähnte Berechnen der Signatur über die Verknüpfung aus dem geldwerten Teilbetrag und dem berechneten weiteren teilnehmergenerierten öffentlichen Schlüssel; das Vergleichen der berechneten Signatur mit der erhaltenen Signatur und das Verifizieren der Echtheit des geldwerten Teilbetrags; das Berech nen der eMD unter Verwendung des erhaltenen öffentlichen Schlüssels, der signier- ten unverblendeten eMD und einem öffentlichen Schlüssel des Signatur- Herausgebers; das Vergleichen der berechneten eMD mit dem erhaltenen eMD und Verifizieren der Echtheit der blinden Signatur, wenn der berechnete eMD mit dem erhaltenen eMD übereinstimmt. Bevorzugt werden der (erste) geldwerte Teilbetrag und die (erste) Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und einem weiteren teilnehmergene rierten öffentlichen Schlüssel gemäß dem oben beschriebenen Ableiten- Verfahren von einem Teilnehmer erstellt. Der Teilnehmer muss nicht der Teilnehmer sein, der die Seriennummer generiert hat. Dies ermöglicht ein Teilen des eMD unter voller Gültigkeit der blinden Signatur.
Bevorzugt werden der zweite geldwerte Teilbetrag und die zweite Signatur über eine Verknüpfung aus dem zweiten geldwerten Teilbetrag und einem zweiten weiteren teilnehmergenerierten öffentlichen Schlüssel gemäß dem oben beschriebenen Ablei- ten- Verfahren von einem Teilnehmer erstellt.
Bevorzugt wird im Erhalten-Schritt zudem die Herausgeberinformation erhalten und diese wird im Berechnen- Schritt zum Berechnen des eMD ebenfalls verwendet wer den.
Bevorzugt wird das Überprüfen durch den Signatur-Herausgeber oder einer, von dem Signatur-Herausgeber verschiedene, Prüfinstanz, beispielsweise auch einem weiteren Teilnehmer durchgeführt.
Bevorzugt wird beim Überprüfen auch die Herausgeberinformation verifiziert. Die blinde Signatur wird bevorzugt mit einem Elliptische-Kurven- Signieralgorithmus, ECDSA, erzeugt und zum Prüfen der blinden Signatur werden vereinbarte Kurvenparameter der elliptischen Kurve bereitgestellt. In einem weiteren Aspekt der Erfindung ist ein Bezahlsystem zum Übertragen eines elektronischen Münzdatensatzes, eMD zwischen zumindest zwei Teilnehmern vor gesehen. Das Bezahlsystem umfasst einen ersten Teilnehmer zum Erhalten einer blinden Signatur für einen eMD gemäß dem beschrieben Erhalten-Verfahren; einen Signatur-Herausgeber zum Erzeugen der blinden Signatur und einem zweiten Teil- nehmer zum Erhalten des erzeugten eMD, eines signierten unverblendeten eMD und einer zum Erzeugen des eMD verwendeten Seriennummer.
Das Bezahlsystem umfasst zudem, dass der zweite Teilnehmer den erhaltenen er zeugten eMD, den signierten unverblendeten eMD und die zum Erzeugen des eMD verwendeten Seriennummer überprüft. Dabei ist vorgesehen, dass der zweite Teil nehmer das Geheimnis generiert und den Teilbetrag sowie die zu dem Teilbetrag gehörige ableitet. Dieser Teilbetrag wird in einem Bezahlverfahren verwendet, wo bei die blinde Signatur über den eMD gültig bleibt. Ein eMD ist insbesondere ein elektronischer Datensatz, der einen geldwerten Betrag repräsentiert und umgangssprachlich auch als„digitale Münze” oder„elektronische Münze” bezeichnet wird. Das Recht an diesem geldwerten Betrag wechselt bei dem Verfahren von einem ersten Konto zu einem anderen Konto. Als ein geldwerter Be trag wird im Folgenden ein digitaler Betrag verstanden, der auf einem Konto eines Geldinstituts gutgeschrieben werden kann. Der eMD repräsentiert also Bargeld in elektronischer Form.
Die eMD unterscheiden sich wesentlich von elektronischen Datensätzen zum Daten austausch oder Datentransfer, da beispielsweise eine klassische Datentransaktion auf Basis eines Frage-Antwort-Prinzips bzw. auf einer Interkommunikation zwischen den Datentransferpartnern stattfindet. EMD kennzeichnen sich dementgegen durch Einmaligkeit, Eindeutigkeit und Sicherheitsmerkmale (Signaturen, Verschlüsselun gen) aus. In einem eMD sind prinzipiell alle Daten enthalten, die für eine empfan gende Instanz bezüglich Verifikation, Authentisierung und Weitergeben an andere Instanzen benötigt werden. Eine Interkommunikation ist daher bei dieser Art Da tensätze grundsätzlich nicht erforderlich. Ausnahmen bilden die Wechselgeld- Bezahltransaktionen. Zur Übertragung kann ein Sicherheitselement in einem Endgerät eines Teilnehmers vorgesehen sein. Ein Sicherheitselement ist bevorzugt eine spezielle Software, insbe sondere in Form einer abgesicherten Laufzeitumgebung innerhalb eines Betriebssys tems eines Endgeräts, englisch Trusted Execution Environments, TEE. Alternativ ist das Sicherheitselement beispielsweise als spezielle Hardware, insbesondere in Form eines gesicherten Hardware-Plattform-Moduls, englisch Trusted Platform Module, TPM oder als ein eingebettetes Sicherheitsmodul, cUICC, eSIM, ausgebildet. Das Sicherheitselement stellt eine vertrauenswürdige Umgebung bereit und sichert bei spielsweise auch eine Machine-2-Machine, M2M Anwendung ab.
Die Kommunikation zwischen zwei Endgeräten bzw. Sicherheitselement kann kon taktlos oder kontaktbehaftet erfolgen und kann als ein gesicherter Kanal ausgebildet sein. Somit ist der Austausch des eMD durch kryptografische Schlüssel, beispiels weise einem für einen Münzdatensatz-Austausch ausgehandelten Sitzungsschlüssel oder einem symmetrischen oder asymmetrischen Schlüsselpaar.
Als ein Endgerät wird jegliches ein Programmcode verarbeitendes Endgerät mit Be- nutzer-Ein-Ausgabe abgesehen, beispielsweise ein PC, ein Smartphone, ein Tablet. Zudem kann das Endgerät auch Teil einer M2M-Umgebung sein, beispielsweise eine Maschine, Werkzeug, Automat oder auch Behälter und Fahrzeug verstanden. Ein erfindungsgemäßes Endgerät ist somit entweder stationär oder mobil. M2M steht dabei für den (voll-) automatisierten Informationsaustausch zwischen diesen Endge räten, beispielsweise unter Nutzung des Internets und den entsprechenden Zugangs netzen, wie dem Mobilfunknetz.
KURZE ZUSAMMENFASSUNG DER FIGUREN
Nachfolgend wird anhand von Figuren die Erfindung bzw. weitere Ausführungsfor men und Vorteile der Erfindung näher erläutert, wobei die Figuren lediglich Ausfüh- rungsbeispiele der Erfindung beschreiben. Gleiche Bestandteile in den Figuren wer den mit gleichen Bezugszeichen versehen. Die Figuren sind nicht als maßstabsgetreu anzusehen, es können einzelne Elemente der Figuren übertrieben groß bzw. übertrie ben vereinfacht dargestellt sein.
Es zeigen:
Fig.l Prinzip des Digi-Cash Verfahrens mit blinden Signaturen; Fig.2 ein bekanntes Beispiel zum Erstellen und Prüfen einer Signatur mit tels ECDSA;
Fig.3 ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines er- findungsgemäßen Signatur-Erzeugen Verfahrens;
Fig.4 ein Ausführungsbeispiel eines Verfahrensablaufs zum Erzeugen und Überprüfen einer blinden Signatur für einen eMD gemäß der Erfindung; Fig.5 ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines er findungsgemäßen Verfahrens;
Fig.6 ein Ausführungsbeispiel eines Verfahrensablaufs zum Erzeugen und Überprüfen einer blinden Signatur für einen eMD mit ganzem geldwerten Betrag und davon abgeteilten geldwerten Teilbeträgen gemäß der Erfindung; und
Fig.7 ein Ausführungsbeispiel eines Verfahrensablaufs zum Erzeugen und Überprüfen einer blinden Signatur für einen eMD mit ganzem geldwerten Betrag und davon abgeteilten geldwerten Teilbeträgen gemäß der Erfindung.
FIGURENBESCHREIBUNG
Fig. l zeigt das Prinzip des„DigiCash“ Verfahrens mit blinden Signaturen. Hierbei überträgt ein erster Teilnehmer (Käufer) TI, einem zweiten Teilnehmer (Verkäufer) T2 eine vom Signatur-Herausgeber H signierte Münze. Dazu tauscht der erste Teil nehmer TI einen geldwerten Betrag durch eine digitale Münze, deren eindeutige Kennung, beispielsweise eine Seriennummer, er selbst im Schritt 1 generiert. Die eindeutige Kennung wird im Schritt 2 verschlüsselt und im Schritt 3 dem Signatur- Herausgeber H zusammen mit dem Wert der digitalen Münze übertragen. Der Signa tur-Herausgeber H bestätigt die Gültigkeit der digitalen Münze durch Signieren der verschlüsselten eindeutigen Kennung im Schritt 4 und sendet die so signierte digitale Münze im Schritt 5 zurück an den ersten Teilnehmer TI. Im Schritt 6 entschlüsselt der ersten Teilnehmer TI die Signatur und überträgt (bezahlt) im Schritt 7 die digita le Münze bestehend aus der eindeutigen Kennung und der entschlüsselten Signatur an den zweiten Teilnehmer T2. Der zweite Teilnehmer T2 fordert den Signatur- Herausgeber H im Schritt 8 zum Einlösen der digitalen Münze auf. Der Signatur- Herausgeber H verifiziert die Echtheit der digitalen Münze anhand der Signatur im Schritt 9 und ermöglicht so das Einlösen des geldwerten Betrags der digitalen Münze im Schritt 10. In Fig.2 wird ein Verfahrensablauf 100 bestehend aus einem Verfahren S zum Er stellen einer Signatur zwischen einem ersten Teilnehmer TI bzw. dessen ersten End gerät Ml und einem Herausgeber H und einem Verfahren P zum Überprüfen der erstellten Signatur zwischen einen ersten Teilnehmer TI und einer Prüfinstanz PI dargestellt.
Im Signierverfahren S einigen sich im Schritt 101 alle beteiligten Instanzen TI, H und P über die Kurvenparameter, f, p, a, b, G, n, h einer elliptischen Kurve. Diese Kurvenparameter beschreiben eine verwendete Kurve, wobei f die Ordnung des Körpers ist, auf dem die Kurve definiert ist; p die Angabe der verwendeten Basis ist; a, b zwei Körperelemente, die die Gleichung der Kurve beschreiben sind; G der Er zeugerpunkt (Generatorpunkt, Basispunkt) der Kurve ist; n, die Ordnung des Punktes G ist; und h der Kofaktor ist. Zudem einigt man sich über eine zu verwendende kryp- tografische Streu wertfunktion H(), auch als Hashfunktion bezeichnet, beispielsweise ein SHA-2 Algorithmus.
Im Schritt 102 generiert der Herausgeber H ein kryptografisches Schlüsselpaar d, D basierend auf dem Basispunkt G und teilt den öffentlichen Teil D dem ersten Teil nehmer TI und der Prüfinstanz PI im Schritt 103, 103‘ mit. Der öffentliche Schlüs selteil D wird auch als Verifizierschlüssel D bezeichnet. Der private Schlüsselteil d wird als Geheimnis nicht ausgegeben.
Im Schritt 104 erzeugt der erste Teilnehmer TI eine Seriennummer m und verknüpft diese mit einem geldwerten Betrag zum elektronischen Münzdatensatz, eMD. Zu dem erzeugt der erste Teilnehmer TI zwei ganzzahlige Zufallszahlen g, d. Im Schritt 105 erzeugt der Herausgeber H eine Zufallszahl r, und errechnet einen Punkt R der Kurve, der an den ersten Teilnehmer TI übertragen wird.
Im Schritt 106 errechnet der erste Teilnehmer TI einen Punkt der Kurve mit der Gleichung (1):
A = R + g G + d D (1)
Der Punkt A wird durch eine x-Koordinate Ax und eine y-Koordinate Ay repräsen- tiert. Die x-Koordinate Ax wird mit der Seriennummer m als Eingangsparameter der Hashfunktion H() in Gleichung (2) verwendet, um einen unsignierten unverblende ten eMD c zu erhalten: c = H(m || Ax) (2)
Der unsignierte unverblendete eMD c wird mit Gleichung (3) in einen unsignierte verblendeten eMD c‘ umgesetzt: c‘ = c - d (3)
Im Schritt 107 wird dieser unsignierte verblendete eMD c‘ an den Herausgeber H gesendet und dort im Schritt 108 mittels Gleichung (4) wird der signierte verblendete eMD s‘ erhalten und im Schritt 109 an den ersten Teilnehmer TI übertragen: s‘ = r— c‘d (4)
Im Schritte 110 wird der signierte, verblendete eMD s‘ mittels Gleichung (5) in ei nen unverblendeten signierten eMD s umgesetzt: s = s‘ + g (5)
Im Ergebnis des Signierverfahrens S ist ein eMD c erhalten, dessen teilnehmergene rierte Seriennummer m die Signatur (s, c) aufweist, siehe Gleichung (6): sig(m) = (s, c) (6)
Im Prüfverfahren PR kann nun jeder, der in Kenntnis der o.g. Kurvenparameter und des Verifizier-Schlüssels D (öffentlicher Schlüssel des Herausgebers H) ist, die blin de Signatur des eMD c prüfen, was beispielsweise mittels einer Prüfinstanz PI oder eines beliebigen Teilnehmers T1,T2, T3, die alle nicht der Herausgeber H sein müs sen, erfolgt. Dazu wird im Schritt 111 der unsignierte unverblendete eMD c, der sig nierte unverblendete eMD s und die teilnehmergenerierte Seriennummer m vom Teilnehmer TI and die Prüfinstanz PI übertragen. Dort wird im Schritt 112 die blin de Signatur über folgende Gleichungen (7) bis (10) verifiziert:
(c D)+(s G) (7)
= (c d G) + (r G) - (c d G) + (d· d G) + (g G) (8)
= R + Ö D + y G) = A (9) c == H(m | | Ax) (10)
Wenn der in Gleichung (10) errechnete eMD c dem in Schritt 111 gesendeten (erhal tenen) eMD c entspricht, so gilt die blinde Signatur als bestätigt und der eMD als echt.
Fig.3 zeigt ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfin dungsgemäßen Signatur-Erzeugen Verfahrens 100. In Fig.4 ist ein Ausführungsbei spiel eines Verfahrensablaufs zum Erzeugen und Überprüfen einer blinden Signatur für einen eMD gemäß der Erfindung gezeigt. Das Verfahren in Fig.3 wird in Verbin dung mit Fig.4 erläutert.
Das Verfahren 100 zum Erstellen einer blinden Signatur gemäß Fig.3 und Fig.4 ist an das Erstellen einer blinden Signatur mit entsprechender Überprüfung durch eine Prüfinstanz PI gemäß der Fig.2 angelehnt und spiegelt einen Verfahrensablauf in einem ECDSA Verfahren wieder. Zu beachten ist, dass das Prüfen mit den Schritten 111 und 112 auch von einem anderen Teilnehmer T2, T3 vorgenommen werden kann, beispielsweise um den geldwerten Betrag oder Teilbetrag zu verifizieren. Zu beachten ist weiter, dass das Prüfen PR mit den Schritten 111 und 112 auch zwi schen zwei Teilnehmern T2, T3 stattfinden kann, die nicht die Seriennummer m des eMD c generiert haben. Diese Teilnehmer wollen dann beispielsweise einen geld- werten Gesamtbetrag oder einen davon abgeleiteten Teilbetrag oder einen davon abgeleiteten zweiten Teilbetrag verifizieren und übertragen.
Die Verwendung des ECDSA ist dabei lediglich beispielhaft und jegliches Verfahren zum Erzeugen einer blinden Signatur, beispielsweise DAS oder RSA basiert, kann mit dem erfindungsgemäßen Grundgedanken, nämlich dem Hinzufügen einer Her ausgeberinformation ggf. in Verbindung mit dem Ableiten von geldwerten Teilbe trägen betrieben werden. Dies wird durch die gestrichelten Linien der Schritte 101 bis 105 in der Fig.4 angedeutet, die somit als optionale Schritte anzusehen sind. Auf die Wiederholung der Erläuterung dieser Schritte 101 bis 105 der Fig.2 wird somit verzichtet, obwohl Sie bei Verwendung eines ECDSA Verfahrens Bestandteil des erfindungsgemäßen Verfahrens sind.
Die Verfahrens schritte 101 bis 107 der Fig.3 und Fig.4 gleichen den Verfahrens schritten 101 bis 107 der Fig.2 und für weitere Erläuterungen wird auf diese Fig.2 verwiesen. Im Schritt 107 wird der mit Gleichung (3) beschriebene unsignierte verblendete eMD c‘ an den Herausgeber H gesendet. Dort wird im Schritt 113 ein Herausgeberwert w generiert. Der Herausgeberwert w ist beispielsweise ein Zeitstempel oder ein Zufallswert. Dieser Herausgeberwert w wird mittels einer Streu wertfunktion H() in eine Herausgeberinformation u umge setzt. Diese Streu wertfunktion H() ist bevorzugt die Streuwertfunktion, die im Schritt 101 vereinbart wurde. Dies vereinfacht das Verfahren bezüglich Kompatibili- tat und Vereinbarung von zu verwendenden kryptografischen Funktionen.
Mit dieser Herausgeberinformation u wird in Gleichung (11) der unsignierte ver blendete eMD c‘ gemäß Schritt 113 erweitert: c‘+ u (11)
Im Schritt 108 wird mittels Gleichung (12) der erweiterte signierte verblendeten eMD s“ erhalten: s“ = r - (c‘+ u)-d (12)
Im Schritt 109 wird der erweiterte signierte verblendete eMD s“ zusammen mit dem Herausgeberwert w an den ersten Teilnehmer TI übertragen.
Im Schritte 110 wird der signierte verblendete eMD s“ mittels Gleichung (13) un verblendet: s = s“ + g (13)
Im Ergebnis des Signierverfahrens S hat ein eMD c mit der teilnehmergenerierten Seriennummer m die Signatur (s, c, w), siehe Gleichung (14): sig(m) = (s, c, w) (14)
Erfindungsgemäß generiert der Teilnehmer TI den eMD c und verblendet diesen in c‘ mit der Zufallszahl g, sodass der eMD c nicht beim Herausgeber H bekannt wird. Dem eMD c ist neben der eindeutigen Seriennummer m auch ein geldwerter Maxi malbetrag zugeordnet.
Der Herausgeber H signiert den verblendeten unsignierten eMD c‘, ohne dass er den eMD c oder die Seriennummer m kennt. Das wird als blindes Signieren bezeichnet. Der Herausgeber H fügt erfindungsgemäß einen herausgebergenerierten Wert w in Form einer Herausgeberinformation u an. Diese Herausgeberinformation u wird un- veränderbarer Teil der signierten verblendeten eMD s“ und nach Gleichung (13) als Herausgeberwert w auch Teil der signierten unverblendeten eMD s.
Im Prüfverfahren PR kann nun jeder, der in Kenntnis der o.g. Kurvenparameter und des Verifizierschlüssels D ist, die Signatur (s, c, w) des eMD c mit der Seriennum mer m und dem Herausgeberwert w prüfen, was beispielsweise mittels einer Prüfinstanz PI, T2, T3, die nicht zwangsläufig der Herausgeber H ist, erfolgt. Beim Überprüfen im Verfahren PR der Fig.4 erfolgt sodann ein Überprüfen, ob m verän dert wurde und ob w verändert wurde, was nachfolgend beschrieben ist.
Dazu wird im Schritt 111 der unsignierte unverblendete eMD c, der signierte unver blendete eMD s, die teilnehmergenerierte Seriennummer m und der Herausgeberwert w vom Teilnehmer TI and die Prüfinstanz PI, T2, T3 übertragen. Dort wird im Schritt 112 die Signatur über folgende Gleichungen (15) bis (17) verifiziert: u=H(w) (15)
A=s G + (c+u) D (16) c == H(m || Ax) (17)
Wird mit Gleichung (17) festgestellt, dass der im Schritt 111 erhaltene unsignierte unverblendete eMD c dem errechneten eMD entspricht, so gilt die blinde Signatur als echt.
Fig.5 zeigt ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfin dungsgemäßen Signatur-Erhalten Verfahrens. In Fig.6 ist ein Ausführungsbeispiel eines Verfahrensablaufs zum Erhalten S einer blinden Signatur und auch zum Über prüfen PR einer blinden Signatur für einen eMD gemäß der Erfindung gezeigt. Das Überprüfen- Verfahren PR weist dabei drei unterschiedliche Szenarien PR1, PR2, PR3 auf. Das Verfahren in Fig.5 wird in Verbindung mit Fig.6 erläutert. Das Verfahren zum Erhalten einer blinden Signatur gemäß Fig.5 und Fig.6 ist an das Erstellen einer blinden Signatur mit entsprechender Überprüfung durch eine Prüfinstanz PI, T2, T3 gemäß der Fig.2 angelehnt und spiegelt einen Verfahrensab lauf in einem ECDSA Verfahren wieder. Zu beachten ist, dass das Prüfen PR1, PR2, PR3 mit den Schritten 111, 111‘, 111“ und 112, 112% 112“ auch von einem anderen Teilnehmer T2, T3 vorgenommen werden kann, beispielsweise um den geldwerten Betrag oder Teilbetrag zu verifizieren. Zu beachten ist weiter, dass das Prüfen PR1, PR2, PR3 mit den Schritten 111, 111 % 111“ und 112, 112% 112“ auch zwischen zwei Teilnehmern T2, T3 stattfinden kann, die nicht die Seriennummer m des eMD c generiert haben, beispielsweise um einen geldwerten Gesamtbetrag oder einen davon abgeleiteten Teilbetrag u oder einen davon abgeleiteten zweiten Teilbetrag e zu veri fizieren und übertragen zu bekommen. Nachfolgend wird die Prüfinstanz PI einem anderen Teilnehmer T2, T3 gleichgesetzt.
Die Verwendung des ECDSA ist dabei lediglich beispielhaft und jegliches Verfahren zum Erzeugen/Erhalten einer blinden Signatur, beispielsweise DAS- oder RSA- basiert, kann mit dem erfindungsgemäßen Grundgedanken, nämlich dem Ableiten von geldwerten Teilbeträgen, ggf. unter Verwendung von Herausgeberinformationen des Signatur-Herausgebers H erfolgen. Auf die Wiederholung der Schritte 101 bis 105 der Fig.2 wird somit verzichtet, obwohl Sie bei Verwendung eines ECDSA Ver fahrens Bestandteil des erfindungsgemäßen Verfahrens sind.
Die Verfahrens schritte 101 bis 105 der Fig.5 und Fig.6 gleichen den Verfahrens schritten 101 bis 105 der Fig.2 und für weitere Erläuterungen wird auf diese Fig.2 verwresen.
Im Schritt 114 erfolgt ein mit Gleichung (18) beschriebenes Erzeugen eines öffentli chen Schlüssels M im Teilnehmer TI:
M = m G (18)
Dabei ist die teilnehmergenerierte Seriennummer m als ein Geheimnis anzusehen und der öffentliche Schlüssel G wird unter Verwendung des (vereinbarten) Basis punktes G der elliptischen Kurve abgeleitet. Alternativ können andere vereinbarte Werte zum Erzeugen des öffentlichen Schlüssels M verwendet werden. Im Schritt 106 errechnet der erste Teilnehmer TI einen Punkt der Kurve mit der Gleichung (1) Der Punkt A wird durch eine x-Koordinate Ax und eine y-Koordinate Ay repräsentiert. Die x-Koordinate Ax wird mit dem öffentlichen Schlüssel M als Eingangsparameter der Hashfunktion H() in Gleichung (19) verwendet, um einen unsignierten unverblendeten eMD c zu erhalten: c = H(M 11 Ax) (19)
Der unsignierte unverblendete eMD c wird mit Gleichung (20) in einen unsignierte verblendeten eMD c‘(M) umgesetzt: c‘(M) = c - d (20)
Im Schritt 107 wird der mit Gleichung (20) beschriebene unsignierte verblendete eMD c‘(M) an den Herausgeber H gesendet. Im Schritt 108 wird mittels Gleichung (21) der signierte verblendete eMD s‘ erhalten und im Schritt 109 an den ersten Teilnehmer TI übertragen: s‘ = r - c‘(M) d (21)
Im Schritte 110 wird der signierte, verblendete eMD s‘ mittels Gleichung (5) erhal ten. Im Ergebnis des Signierverfahrens S ist ein eMD c erhalten, dessen öffentlicher Schlüssel M die Signatur (s, c) aufweist, siehe Gleichung (22): sig(M) = (s, c) (22)
Gemäß Fig.5 und Fig.6 generiert der Teilnehmer TI den eMD c unter Verwendung eines öffentlichen Schlüssels M anstelle der Seriennummer m. Diese Seriennummer m ist dem Signatur-Herausgeber H geheim. Dies ermöglicht es, den geldwerten Be trag der eMD c zu teilen und Teilbeträge u oder zweite Teilbeträge e zwischen Teil nehmern TI, T2, T3 zu übertragen, ohne dass die blinde Signatur ungültig wird. Dies vereinfacht den Verwaltungsaufwand beim Signatur-Herausgeber H und ermöglicht ein Bezahlsystem mit eMD c bei dem auch Wechselgeld gezahlt werden kann oder bei dem unrunde Beträge übertragen werden können oder dessen geldwertere Betrag an verschiedene Instanzen gesendet werden kann. In Fig.6 sind nun drei Szenarien dargestellt, mit denen ein mit dem in Fig.6 erhaltenen Signierverfahren S teilbarer eMD übertragbar ist, wobei dennoch die blinde Signatur gültig bleibt. Mit den Prüfverfahren PR1, PR2, PR3 können nun unrunde Beträge sehr genau über tragen werden oder entsprechendes Rückgeld (Wechselgeld) generiert werden. Bei spielsweise könnte der maximale geldwerte Betrag einer eMD c im Prüfverfahren PR1 von einem ersten Teilnehmer TI an einen zweiten Teilnehmer T2 gesendet werden. Im Prüfverfahren PR2 wird dann vom zweiten Teilnehmer T2 ein Teilbetrag u als Wechselgeld an den ersten Teilnehmer TI zurückübertragen. Der erste Teil nehmer TI kann nun den Teilbetrag u weiter aufteilen und den zweiten Teilbetrag e an den dritten Teilnehmer T3 im Prüfverfahren PR3 übertragen: Im Prüfverfahren PR1 der Fig.6 ist zunächst dargestellt, dass der gesamte geldwerte Betrag eines eMD geprüft und ggf. bei einem zweiten Teilnehmer T2, T3 eingelöst werden soll.
Im Prüfverfahren PR1 der Fig.6 kann jede Instanz (PI, T2, T3), die in Kenntnis der o.g. Kurvenparameter und des Verifizier-Schlüssels D (öffentlicher Schlüssel des Herausgebers H) ist, die blinde Signatur des eMD c prüfen, was beispielsweise mit tels der Prüfinstanz PI, die nicht zwangsläufig der Herausgeber H ist, erfolgt.
Dazu wird im Schritt 111 der unsignierte unverblendete eMD c, der signierte unver- blendete eMD s und die teilnehmergenerierte Seriennummer m vom Teilnehmer TI an die Prüfinstanz PI übertragen. Dort wird im Schritt 112 die blinde Signatur verifi ziert. Mit Gleichung (23) wird zunächst der teilnehmergenerierte öffentliche Schlüs sel M errechnet.
M = m- G (23)
Gemäß den Gleichungen (7) bis (9) wird dann die eMD c errechnet und mit Glei chungen (24) wird dann geprüft, ob die errechnet eMD der erhaltenen eMD c ent spricht: c, s == b.sig(M); c == H(M \ \AX ) (24)
Stimmt die errechnete eMD c mit der erhaltenen eMD c überein, so ist die blinde Signatur gültig und die eMD c kann von der Prüfinstanz PI, oder auch den anderen Teilnehmern T2, T3, für weitere Bezahlvorgänge verwendet werden.
Wenn der in Gleichung (24) erhaltene eMD c dem in Schritt 111 gesendeten eMD c entspricht, so gilt die blinde Signatur als bestätigt und der eMD als echt. Im Prüfverfahren PR2 der Fig.6 ist nun zunächst mit Schritt 115 das Ableiten eines Teilbetrags u vom geldwerten Gesamtbetrag gezeigt. Dazu generiert der Teilnehmer TI (oder ein anderer Teilnehmer, der im Besitz der eMD c ist) ein Geheimnis p und einen weiteren öffentlichen Schlüssel P unter Verwendung des teilnehmergenerierten Geheimnisses p. Das Geheimnis p ist von der Seriennummer m verschieden. Der weitere teilnehmergenerierte Schlüssel P ist vom teilnehmergenerierten öffentlichen Schlüssel M verschieden. Beispielsweise kann der teilnehmergenerierte öffentliche Schlüssel P durch Multiplikation mit dem Basispunkt G erhalten werden, siehe Glei- chung (25):
P = p G (25)
Für das Ableiten 115 wird mit Gleichung (26) zudem eine echte Signatur om erstellt:
Om = Sigm (P || V) (26)
Dabei ist u der abzuleitende Teilbetrag, der kleiner ist als der geldwerte Gesamtbe trag der eMD c. Die echte Signatur shi ist hier eine logische ODER Verknüpfung aus dem öffentlichen Schlüssel P und dem Teilbetrag u. Andere logische Verknüpfungen oder mathematische Operationen sind für das Erstellen der echten Signatur shi eben falls denkbar. Im Schritt 111‘ werden nun folgende Variablen zwischen zwei Teil nehmern TI, T2, T3 ausgetauscht:
• der eMD c
• der teilnehmergenerierte öffentliche Schlüssel M
· der signierte unverblendete eMD s
• die echte Signatur shi
• der Teilbetrag u
• das teilnehmergenerierte Geheimnis p Im Schritt 112‘ kann nun die Echtheit der blinden Signatur und die Echtheit der ech ten Signatur shi überprüft werden, wodurch der Teilbetrag u als - zwischen den Teil nehmern TI, T2, T3 -übertragen gilt. Dazu wird zunächst mittels des teilnehmerge nerierten Geheimnisses p und dem vereinbarten Basispunkt G der weitere öffentliche Schlüssel P errechnet, siehe Gleichung (25). Zudem wird die blinde Signatur gemäß den Gleichungen (7) bis (9) und (24) geprüft. Zudem wird die echte Signatur shi aus dem errechneten weiteren teilnehmergenerierten öffentlichen Schlüssel P und dem erhaltenen Teilbetrag u errechnet und bei Übereinstimmung der Gleichung (27)
Om = = Sigm (P || Ό) (27) gilt der Teilbetrag u als verifiziert und ist durch das Übertragen des Geheimnisses p auch übertragen. Es gilt zu beachten, dass die Prüfinstanz PI, T2, T3 nicht im Besitz der teilnehmergenerierten Seriennummer m ist und somit zwar die blinde Signatur verifizieren kann (durch den Schlüssel M) aber nicht in den Besitz des geldwerten Gesamtbetrags gelangt. Im Prüfverfahren PR3 der Fig.6 ist nun zunächst mit Schritt 116 das Ableiten eines zweiten Teilbetrags e vom Teilbetrag u gezeigt. Dazu generiert der Teilnehmer TI (oder ein anderer Teilnehmer, der im Besitz der eMD c ist) ein zweites Geheimnis q und einen zweiten weiteren öffentlichen Schlüssel Q unter Verwendung des teilneh mergenerierten Geheimnisses q. Das zweite Geheimnis q ist von der Seriennummer m und vom Geheimnis p verschieden. Der zweite weitere teilnehmergenerierte Schlüssel Q ist vom teilnehmergenerierten öffentlichen Schlüssel M und dem weite ren teilnehmergenerierten Schlüssel P verschieden. Beispielsweise kann der zweite weitere teilnehmergenerierte öffentliche Schlüssel Q durch Multiplikation mit dem Basispunkt G erhalten werden, siehe Gleichung (28):
Q = q G (28)
Für das Ableiten 116 wird mit Gleichung (28) zudem eine zweite echte Signatur sr erstellt:
<P = sigP (Q \\ e) (29)
Dabei ist e der abzuleitende zweite Teilbetrag, der kleiner ist als der geldwerte Ge samtbetrag und der auch kleiner ist als der Teilbetrag u der eMD c. Die echte Signa tur sr ist hier eine logische ODER Verknüpfung aus dem öffentlichen Schlüssel Q und dem Teilbetrag e. Andere logische Verknüpfungen oder mathematische Operati- onen sind für das Erstellen der echten Signatur sr ebenfalls denkbar. Im Schritt 111“ werden nun folgende Variablen zwischen zwei Teilnehmern TI, T2, T3 ausge tauscht:
• der eMD c
· der teilnehmergenerierte öffentliche Schlüssel M • der signierte unverblendete eMD s
• die echte Signatur shi
• der Teilbetrag u
• der weitere teilnehmergenerierte öffentliche Schlüssel P
• die zweite echte Signatur sr
• der zweite Teilbetrag e
• das zweite teilnehmergenerierte Geheimnis q
Im Schritt 112“ kann nun die Echtheit der blinden Signatur, die Echtheit der echten Signatur shi und auch die Echtheit der zweiten echten Signatur sr überprüft werden, wodurch der zweite Teilbetrag e als - zwischen den Teilnehmern TI, T2, T3 - übertragen gilt. Dazu wird zunächst mittels des zweiten teilnehmergenerierten Ge heimnisses q und dem vereinbarten Basispunkt G der zweite weitere teilnehmergene rierte öffentliche Schlüssel Q errechnet, siehe Gleichung (28). Zudem wird die blin- de Signatur gemäß den Gleichungen (7) bis (9) und (24) geprüft. Zudem wird die zweite echte Signatur sr aus dem errechneten zweiten weiteren teilnehmergenerier ten öffentlichen Schlüssel Q und dem erhaltenen zweiten Teilbetrag e errechnet und bei Übereinstimmung der Gleichung (30) sR == sigP (Q \\ e) (30) gilt der Teilbetrag e als verifiziert und ist durch das Übertragen des zweiten Geheim nis q auch übertragen. Es gilt zu beachten, dass die Prüfinstanz PI, T2, T3 nicht im Besitz der teilnehmergenerierten Seriennummer m oder des teilnehmergenerierten Geheimnisses p ist. Somit kann zwar die blinde Signatur und die echte Signatur shi verifiziert werden (durch die teilnehmergenerierten öffentlichen Schlüssel M und P), aber die Prüfinstanz PI, T2, T3 gelangt nicht in den Besitz des geldwerten Gesamtbe trags oder des (ersten) Teilbetrags u.
Mit den Prüfverfahren PR1, PR2 und PR3 wurde demonstriert, dass zwischen belie- bigen Teilnehmern nunmehr beliebige geldwerte (Teil-)Beträge u, e übertragen wer den können, wobei zu jedem Zeitpunkt die Echtheit der blinden Signatur und die mit den jeweiligen Teilbeträgen u, e verbundenen echten Signaturen shi und sr geprüft werden können. Durch geeignete Wahl der zu übertragenden Variablen erhält die empfangende Instanz PI, T2, T3 dann die vollen Zugriffsrechte auf die jeweiligen Teilbeträge, wodurch der eMD als übertragen gilt. In Fig.7 ist ein weiteres Ausführungsbeispiel eines Verfahrensablaufs zum Erzeugen und Überprüfen einer blinden Signatur für einen eMD mit ganzem geldwerten Be trag und davon abgeteilten geldwerten Teilbeträgen gemäß der Erfindung dargestellt. Dabei wurden die Verfahrensabläufe der Fig. 4 und Fig.6 miteinander kombiniert. Damit wird neben dem erfindungsgemäßen Verwenden einer Herausgeberinformati on u, w nun auch das erfindungsgemäße Teilen von geldwerten Beträgen ermöglicht.
In Fig.7 ist ein Ausführungsbeispiel eines Verfahrensablaufs zum Erhalten S einer blinden Signatur und auch zum Überprüfen PR einer blinden Signatur für einen eMD gemäß der Erfindung gezeigt. Das Überprüfen- Verfahren PR weist dabei drei unter schiedliche Szenarien PR1, PR2, PR3 auf.
Das Verfahren zum Erhalten einer blinden Signatur gemäß Fig.7 ist an das Erstellen einer blinden Signatur mit entsprechender Überprüfung durch eine Prüfinstanz PI gemäß der Fig.2 angelehnt und spiegelt einen Verfahrensablauf in einem ECDSA Verfahren wieder. Zu beachten ist, dass das Prüfen PR1, PR2, PR3 mit den Schritten 111, 111‘, 111“ und 112, 112% 112“ auch von einem anderen Teilnehmer T2, T3 vorgenommen werden kann, beispielsweise um den geldwerten Betrag oder Teilbe trag zu verifizieren. Zu beachten ist weiter, dass das Prüfen PR1, PR2, PR3 mit den Schritten 111, 111 % 111“ und 112, 112% 112“ auch zwischen zwei Teilnehmern T2, T3 stattfinden kann, die nicht die Seriennummer m des eMD c generiert haben, bei spielsweise um einen geldwerten Gesamtbetrag oder einen davon abgeleiteten Teil betrag u oder einen davon abgeleiteten zweiten Teilbetrag e zu verifizieren und über tragen zu bekommen. Nachfolgend wird die Prüfinstanz PI einem anderen Teilneh- mer T2, T3 gleichgesetzt.
Die Verwendung des ECDSA ist dabei lediglich beispielhaft und jegliches Verfahren zum Erzeugen/Erhalten einer blinden Signatur, beispielsweise DAS- oder RSA- basiert, kann mit dem erfindungsgemäßen Grundgedanken, nämlich dem Ableiten von geldwerten Teilbeträgen unter Verwendung von Herausgeberinformationen u, w des Signatur-Herausgebers H erfolgen. Auf die Wiederholung der Schritte 101 bis 105 der Fig.2 wird verzichtet, obwohl Sie bei Verwendung eines ECDSA Verfahrens Bestandteil des erfindungsgemäßen Verfahrens sind. Die Verfahrens schritte 101 bis 105 der Fig.7 gleichen den Verfahrensschritten 101 bis 105 der Fig.2 und für weitere Erläuterungen wird auf diese Fig.2 verwiesen. Im Schritt 114 wird das mit Gleichung (18) beschriebene Erzeugen eines öffentli chen Schlüssels M im Teilnehmer TI beschrieben.
Im Schritt 106 errechnet der erste Teilnehmer TI einen Punkt der Kurve mit der Gleichung (1) Der Punkt A wird durch eine x-Koordinate Ax und eine y-Koordinate Ay repräsentiert. Die x-Koordinate Ax wird mit dem öffentlichen Schlüssel M als Eingangsparameter der Hashfunktion H() in Gleichung (19) verwendet, um einen unsignierten unverblendeten eMD c zu erhalten. Der unsignierte unverblendete eMD c wird mit Gleichung (20) in einen unsignierte verblendeten eMD c‘(M) umgesetzt.
Im Schritt 107 wird der mit Gleichung (20) erhaltene unsignierte verblendete eMD c‘(M) an den Herausgeber H gesendet. Dort wird im Schritt 113 ein Herausgeber wert w generiert. Der Herausgeberwert w ist beispielsweise ein Zeitstempel oder ein Zufallswert. Dieser Herausgeberwert w wird mittels einer Streu wertfunktion H() in eine Herausgeberinformation u umgesetzt. Diese Streu wertfunktion H() ist bevorzugt die Streuwertfunktion, die im Schritt 101 vereinbart wurde. Dies vereinfacht das Verfahren bezüglich Kompatibilität und Vereinbarung von zu verwendenden kryp- tografischen Funktionen. Der unsignierte verblendete eMD c‘ wird dann gemäß Gleichung (11) mit dieser Herausgeberinformation u im Schritt 113 erweitert.
Im Schritt 108 wird mittels Gleichung (31) der erweiterte signierte verblendeten eMD s“ erhalten: s“ = r - (c‘(M) + u)-d (31)
Im Schritt 109 wird der erweiterte signierte verblendete eMD s“ zusammen mit dem Herausgeberwert w an den ersten Teilnehmer TI übertragen. Im Schritte 110 wird der signierte verblendete eMD s“ mittels Gleichung (13) unverblendet.
Im Ergebnis des Signierverfahrens S ist ein eMD c erhalten, dessen öffentlicher Schlüssel M die Signatur (s, c, w) aufweist, siehe Gleichung (32): sig(M) = (s, c, w) (32)
Gemäß Fig.7 generiert der Teilnehmer TI den eMD c unter Verwendung eines öf fentlichen Schlüssels M anstelle der Seriennummer m. Diese Seriennummer m ist dem Signatur-Herausgeber H geheim. Zudem generiert der Signatur-Herausgeber H die Herausgeberinformation u, w und fügt diese als festen Bestandteil der blinden Signatur bei.
Dies ermöglicht es, den geldwerten Betrag der eMD c zu teilen und Teilbeträge u oder zweite Teilbeträge e zwischen Teilnehmern TI, T2, T3 zu übertragen, ohne dass die blinde Signatur ungültig wird. Dabei ist es jeder Prüfinstanz PI ermöglicht, auch die Herausgeberinformation u, w zu überprüfen. Speziell bei mehrfach geteilten eMD und den entsprechend mehrfach abgeleiteten geldwerten Teilbeträgen u, e wird die Vertrauenswürdigkeit und Sicherheit erheblich verbessert.
Die Möglichkeit, einen eMD c zu teilen, vereinfacht den Verwaltungsaufwand beim Signatur-Herausgeber H und ermöglicht ein Bezahlsystem mit eMD c bei denen Wechselgeld gezahlt werden kann oder bei dem unrunde geldwerte Beträge elektro nisch übertragen werden können. In Fig.7 sind nun drei Szenarien dargesteht, mit denen ein mit dem in Fig.7 gezeigten Signierverfahren S erhaltener teilbar eMD übertragen wird und dennoch die blinde Signatur gültig bleibt.
Mit den Prüfverfahren PR1, PR2, PR3 können nun unrunde Beträge sehr genau über tragen werden oder entsprechendes Rückgeld (Wechselgeld) generiert werden. Bei- spielsweise könnte der maximale geldwerte Betrag einer eMD c im Prüfverfahren PR1 von einem ersten Teilnehmer TI an einen zweiten Teilnehmer T2 gesendet werden. Im Prüfverfahren PR2 wird dann vom zweiten Teilnehmer T2 ein Teilbetrag u als Wechselgeld an den ersten Teilnehmer TI zurückübertragen. Der erste Teil nehmer TI kann nun den Teilbetrag u weiter aufteilen und den zweiten Teilbetrag e an den dritten Teilnehmer T3 im Prüfverfahren PR3 übertragen:
Im Prüfverfahren PR1 der Fig.7 ist zunächst dargesteht, dass der gesamte geldwerte Betrag einer eMD c geprüft und ggf. bei einem zweiten Teilnehmer T2, T3 eingelöst werden soll.
Im Prüfverfahren PR1 der Fig.7 kann jeder, der in Kenntnis der o.g. Kurvenparame ter und des Verifizier-Schlüssels D (öffentlicher Schlüssel des Herausgebers H) ist, die blinde Signatur des eMD c prüfen, was beispielsweise mittels einer Prüfinstanz PI, die nicht zwangsläufig der Herausgeber H ist, erfolgt.
Dazu wird im Schritt 111 der unsignierte unverblendete eMD c, der signierte unver blendete eMD s, die teilnehmergenerierte Seriennummer m und die Herausgeberin formation w vom Teilnehmer TI and die Prüfinstanz PI übertragen. Im Prüfverfah- ren PR1 der Fig.7 erfolgt sodann ein Überprüfen, ob der öffentliche Schlüssel M verändert wurde und ob w verändert wurde, was nachfolgend beschrieben ist.
Im Schritt 112 wird die blinde Signatur verifiziert. Mit Gleichung (23) wird zunächst der teilnehmergenerierte öffentliche Schlüssel M errechnet. Mit Gleichung (15) wird die Herausgeberinformation u erhalten und mit Gleichung (33)
A=s G + (c‘(M)+u) D (33) wird geprüft, ob die Bedingung der Gleichungen (24) erfüllt ist. Stimmt die errech- nete eMD c mit der erhaltenen eMD c überein, so ist die blinde Signatur gültig und die eMD c kann von der Prüfinstanz PI, oder beispielsweise auch den anderen Teil nehmern T2, T3 für weitere Bezahlvorgänge verwendet werden.
Im Prüfverfahren PR2 der Fig.7 ist nun zunächst mit Schritt 115 das Ableiten eines Teilbetrags u vom geldwerten Gesamtbetrag gezeigt. Dazu generiert der Teilnehmer TI (oder ein anderer Teilnehmer T2, T3, der im Besitz der eMD c ist) ein Geheimnis p und einen weiteren öffentlichen Schlüssel P unter Verwendung des teilnehmerge nerierten Geheimnisses p. Das Geheimnis p ist von der Seriennummer m verschie den. Der weitere teilnehmergenerierte Schlüssel P ist vom teilnehmergenerierten öffentlichen Schlüssel M verschieden. Beispielsweise kann der weitere teilnehmer generierte öffentliche Schlüssel P durch Multiplikation mit dem Basispunkt G erhal ten werden, siehe Gleichung (25). Für das Ableiten 115 wird mit Gleichung (26) zudem eine echte Signatur shi erstellt. Dabei ist u der abzuleitende Teilbetrag, der kleiner ist als der geldwerte Gesamtbe trag der eMD c. Die echte Signatur shi ist hier eine logische ODER Verknüpfung aus dem öffentlichen Schlüssel P und dem Teilbetrag u. Andere logische Verknüpfungen oder mathematische Operationen für das Erstellen der echten Signatur shi sind eben falls denkbar. Im Schritt 111‘ werden nun folgende Variablen zwischen zwei Teil- nehmern TI, T2, T3 ausgetauscht:
• der eMD c
• der teilnehmergenerierte öffentliche Schlüssel M
• der signierte unverblendete eMD s
· die echte Signatur shi
• der Teilbetrag u
• das teilnehmergenerierte Geheimnis p • die Herausgeberinformation w
Im Schritt 112‘ kann nun die Echtheit der blinden Signatur und die Echtheit der ech ten Signatur shi überprüft werden, wodurch der Teilbetrag u als - zwischen den Teil- nehmern PI, TI, T2, T3 -übertragen gilt. Dazu wird zunächst mittels des teilnehmer generierten Geheimnisses p und dem vereinbarten Basispunkt G der weitere öffentli che Schlüssel P errechnet, siehe Gleichung (25). Zudem wird die blinde Signatur gemäß den Gleichungen (15), (33) und (24) geprüft. Zudem wird die echte Signatur Gm aus dem errechneten weiteren teilnehmergenerierten öffentlichen Schlüssel P und dem erhaltenen Teilbetrag u errechnet und bei Übereinstimmung der Gleichung (26), gilt der Teilbetrag u als verifiziert und ist durch das Geheimnis p übertragen. Es gilt zu beachten, dass die Prüfinstanz PI, T2, T3 nicht im Besitz der teilnehmergenerier ten Seriennummer m ist und somit zwar die blinde Signatur verifizieren kann (durch den Schlüssel M) aber nicht in den Besitz des geldwerten Gesamtbetrags der eMD c gelangt. Beim Überprüfen im Verfahren PR2 der Fig.7 erfolgt also ein Überprüfen, ob der öffentliche Schlüssel M verändert wurde, ob w verändert wurde und ob die echte Signatur Gm verändert wurde.
Im Prüfverfahren PR3 der Fig.7 ist nun zunächst mit Schritt 116 das Ableiten eines zweiten Teilbetrags e vom Teilbetrag u gezeigt. Dazu generiert der Teilnehmer TI (oder ein anderer Teilnehmer, der im Besitz der eMD c ist) ein zweites Geheimnis q und einen zweiten weiteren öffentlichen Schlüssel Q unter Verwendung des zweiten teilnehmergenerierten Geheimnisses q. Das zweite Geheimnis q ist von der Serien nummer m und vom Geheimnis p verschieden. Der zweite weitere teilnehmergene- rierte Schlüssel Q ist vom teilnehmergenerierten öffentlichen Schlüssel M und dem weiteren teilnehmergenerierten Schlüssel P verschieden. Beispielsweise kann der zweite weitere teilnehmergenerierte öffentliche Schlüssel Q durch Multiplikation mit dem Basispunkt G erhalten werden, siehe Gleichung (28). Für das Ableiten 116 wird mit Gleichung (29) zudem eine zweite echte Signatur sr erstellt.
Dabei ist e der abzuleitende zweite Teilbetrag, der kleiner ist als der geldwerte Ge samtbetrag und der auch kleiner ist als der Teilbetrag u der eMD c. Die echte Signa tur sr ist hier eine logische ODER Verknüpfung aus dem öffentlichen Schlüssel Q und dem Teilbetrag e. Andere logische Verknüpfungen oder mathematische Operati- onen sind für das Erstellen der echten Signatur sr ebenfalls denkbar. Im Schritt 111“ werden nun folgende Variablen zwischen zwei Teilnehmern TI, T2, T3 ausge tauscht: der eMD c
der teilnehmergenerierte öffentliche Schlüssel M
der signierte unverblendete eMD s
die echte Signatur shi
der Teilbetrag u
der weitere teilnehmergenerierte öffentliche Schlüssel P
die zweite echte Signatur sr
der zweite Teilbetrag e
das zweite teilnehmergenerierte Geheimnis q
die Herausgeberinformation w
Im Schritt 112“ kann nun die Echtheit der blinden Signatur, die Echtheit der echten Signatur shi und auch die Echtheit der zweiten echten Signatur sr überprüft werden, wodurch der zweite Teilbetrag e als - zwischen den Teilnehmern TI, T2, T3 - übertragen gilt. Dazu wird zunächst mittels des zweiten teilnehmergenerierten Ge heimnisses q und dem vereinbarten Basispunkt G der zweite weitere öffentliche Schlüssel Q errechnet, siehe Gleichung (28). Zudem wird die blinde Signatur gemäß den Gleichungen (15), (33) und (24) geprüft. Zudem wird die zweite echte Signatur sr aus dem errechneten zweiten weiteren teilnehmergenerierten öffentlichen Schlüs sel Q und dem erhaltenen zweiten Teilbetrag e errechnet und bei Übereinstimmung der Gleichung (30) gilt der Teilbetrag e als verifiziert und ist durch das Übertragen des zweiten Geheimnisses q auch übertragen. Es gilt zu beachten, dass die Prüfinstanz PI, T2, T3 nicht im Besitz der teilnehmergenerierten Seriennummer m oder dem teilnehmergenerierten Geheimnis p ist. Somit kann zwar die blinde Signa tur und die echte Signatur shi verifiziert werden (durch die teilnehmergenerierten öffentlichen Schlüssel M und P), die Prüfinstanz gelangt dabei aber nicht in den Be sitz des geldwerten Gesamtbetrags oder des (ersten) Teilbetrags u.
Mit den Prüfverfahren PR1, PR2 und PR3 wurde demonstriert, dass zwischen belie bigen Teilnehmern nunmehr beliebige geldwerte Beträge u, e übertragen werden können, wobei zu jedem Zeitpunkt die Echtheit der blinden Signatur und der mit den jeweiligen Teilbeträgen u, e verbundenen echten Signaturen shi und sr geprüft wer den können. Durch geeignete Wahl der zu übertragenden Variablen erhält die emp fangende Instanz dann die vollen Zugriffsrechte auf die jeweiligen Teilbeträge, wodurch der eMD als übertragen gilt. Durch das Einbinden von teilnehmerunabhän giger Herausgeberinformation u, w beim Prüfverfahren PR1, PR2, PR3 wird festge stellt, ob die öffentlichen Schlüssel M, P, Q von einer Instanz manipuliert wurden und somit ein Betrugsversuch erkannt. Die Herausgeberinformation u, w ist dabei nicht geheim und kann von jeder Instanz unabhängig vom eMD c geprüft werden.
Im Rahmen der Erfindung können alle beschriebenen und/oder gezeichneten und/oder beanspruchten Elemente beliebig miteinander kombiniert werden.
BEZUGSZEICHENLISTE
1-10 Verfahrensschritte für klassische blinde Signatur
100- 116 Verfahrensschritte
Ml erstes Endgerät
M2 zweites Endgerät
M3 drittes Endgerät
TI erster Teilnehmer
T2 zweiter Teilnehmer
T3 weiterer Teilnehmer
H Herausgeber
PI Prüfinstanz
m teilnehmergenerierte Seriennummer des eMD
M teilnehmergenerierter öffentlicher Schlüssel aus m und G
p teilnehmergeneriertes Geheimnis
P teilnehmergenerierter weiterer öffentlicher Schlüssel aus p und G q zweites teilnehmergenerierte Geheimnis
Q zweiter teilnehmergenerierter weiterer öffentlicher Schlüssel aus q und G g, d teilnehmergenerierte Zufallszahlen (ganzzahlig)
f, a, b, G, n, h vereinbarte Kurvenparameter
H() kryptografische Streu wertfunktion
R herausgebergewählter Punkt
A teilnehmerberechneter Punkt
d geheimer Schlüssel des Herausgebers
D Verifizier-Schlüssel (öffentlicher Schlüssel des Herausgebers)
G Erzeugerpunkt (Generatorpunkt, Basispunkt) der elliptischen Kurve
S Signierverfahren
PR Überprüfungsverfahren
r herausgebergenerierte Zufallszahl
w Herausgeberinformation,
c elektronischer Münzdatensatz, eMD
c‘ unsignierter verblendeter eMD
c‘+u erweiterter unsignierter verblendeter eMD
s signierter unverblendeter eMD
s‘ signierter verblendeter eMD
s‘‘ erweiterter signierter verblendeter eMD
u geldwerter Teilbetrag
e zweiter geldwerter Teilbetrag
om Signatur über den Teilbetrag u und den öffentlichen Schlüssel P sr Signatur über den Teilbetrag e und den öffentlichen Schlüssel Q

Claims

PATENTANSPRÜCHE
1. Ein Verfahren (100) zum Erzeugen einer blinden Signatur für einen elektro nischen Münzdatensatz, eMD (c), mit den Verfahrensschritten:
- Erhalten (107) eines unsignierten verblendeten eMD (c‘) von einem Teil nehmer (TI) bei einem Signatur-Herausgeber (H);
- Erweitern (113) des unsignierten verblendeten eMD (c‘) mit einer Herausge berinformation (u, w) durch den Signatur-Herausgeber (H) zum Erhalten ei nes erweiterten unsignierten eMD (c‘+u; c‘+w);
- Signieren (108) des erweiterten unsignierten eMD (c‘+u; c‘+w) unter Ver wendung einer herausgebergenerierten Zufallszahl (r) und eines geheimen Schlüssels (d) des Signatur-Herausgebers (H) zum Erhalten eines erweiterten signierten verblendeten eMD (s‘‘); und
- Senden (109) des erweiterten signierten verblendeten eMD (s“) und der Her ausgeberinformation (u, w) an den Teilnehmer (TI), wobei die gesendete Herausgeberinformation (u, w) ein Teil der blinden Signatur ist.
2. Das Verfahren (100) nach Anspruch 1, wobei die Herausgeberinformation (u, w) unabhängig von der signierten verblendeten eMD (s“) als eigenständige Informa- tion bereitgestellt wird.
3. Das Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei die zum Erweitern (113) der unsignierten verblendeten eMD (c‘) verwendete Herausge berinformation (u) das Ergebnis einer Streuwertfunktion (H()) mit einem Herausge- berwert (w) ist, wobei der Herausgeberwert (w) als die Herausgeberinformation (u,w) gesendet wird und der Teil der blinden Signatur ist.
4. Das Verfahren (100) nach 3, wobei der Herausgeberwert (w) mindestens eine der folgenden Werte ist:
- ein Zeitwert;
- eine Identifikation des Herausgebers; und/oder
- ein herausgebergenerierter Wert.
5. Das Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei der eMD (c) das Ergebnis (106) einer Streu wertfunktion (H()) aus einer teilnehmergene rierten Seriennummer (m) und einem teilnehmerberechneten Punkt (A) einer ellipti schen Kurve ist.
6. Das Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei der eMD (c) das Ergebnis einer Streu wertfunktion (H()) aus einem teilnehmergenerier ten öffentlichen Schlüssel (M) und einem teilnehmerberechneten Punkt (A) einer elliptischen Kurve ist, wobei der teilnehmergenerierte öffentliche Schlüssel (M) von der teilnehmergenerierten Seriennummer (m) abgeleitet ist.
7. Ein Verfahren zum Überprüfen einer blinden Signatur eines elektronischen Münzdatensatzes, eMD (c), wobei die blinde Signatur gemäß dem Verfahren (100) der vorhergehenden Ansprüche 1 bis 6 erzeugt wurde, mit den Verfahrensschritten:
- Erhalten (111) von:
o dem eMD (c),
o einer zum Erzeugen des eMD (c) verwendeten Seriennummer (m), o einem signierten unverblendeten eMD (s), und
o der Herausgeberinformation (u, w);
- Berechnen (112) eines eMD unter Verwendung der erhaltenen Seriennummer
(m), dem signierten unverblendeten eMD (s), der Herausgeberinformation (w) und einem öffentlichen Schlüssel (D) des Signatur-Herausgebers (H); und
- Vergleichen des berechneten eMD mit dem erhaltenen eMD (c) und Verifi- zieren der Echtheit der blinden Signatur, wenn der berechnete eMD mit dem erhaltenen eMD (c) übereinstimmt.
8. Das Verfahren nach Anspruch 7, wobei der erhaltene eMD (c) das Ergebnis einer Streu wertfunktion (H()) aus einer Verknüpfung (M) einer teilnehmergenerier- ten Seriennummer (m) mit einem Basispunkt (G) und einem teilnehmerberechneten Punkt (A) einer elliptischen Kurve ist und wobei vor dem Berechnen der eMD (c) ein teilnehmergenerierter öffentlicher Schlüssel (M) von der teilnehmergenerierten Seriennummer (m) abgeleitet wird.
9. Ein Verfahren zum Überprüfen einer blinden Signatur eines elektronischen Münzdatensatzes, eMD (c), wobei die blinde Signatur nach einem Verfahren der Ansprüche 1 bis 6 erzeugt wurde, mit den Verfahrensschritten:
- Erhalten (111) von:
o dem eMD (c);
o einem zum Erzeugen des eMD (c) verwendeten teilnehmergenerierten öffentlichen Schlüssel (M);
o einem signierten unverblendeten eMD (s);
o einem geldwerten Teilbetrag der eMD (n); o einer Signatur (om) über eine Verknüpfung aus dem geldwerten Teil betrag (u) und einem weiteren teilnehmergenerierten öffentlichen Schlüssel (P);
o dem teilnehmergenerierten Geheimnis (p); und
o der Herausgeberinformation (w);
Berechnen des weiteren öffentlichen Schlüssels (P) aus dem erhaltenen teil nehmergenerierten Geheimnis (p);
Berechnen einer Signatur (shi) über die Verknüpfung aus dem geldwerten Teilbetrag (u) und dem berechneten weiteren öffentlichen Schlüssel (P); Vergleichen der berechneten Signatur (shi) mit der erhaltenen Signatur (shi) und Verifizieren der Echtheit des geldwerten Teilbetrags (n);
Berechnen eines eMD unter Verwendung des teilnehmergenerierten öffentli chen Schlüssels (M), der signierten unverblendeten eMD (s), der Herausge berinformation (w) und einem öffentlichen Schlüssel (D) des Signatur- Herausgebers (H);
Vergleichen des berechneten eMD mit dem erhaltenen eMD (c) und Verifi zieren der Echtheit der blinden Signatur, wenn der berechnete eMD mit dem erhaltenen eMD (c) übereinstimmt.
10. Das Verfahren nach einem der Ansprüche 7 bis 9, wobei das Überprüfen durch den Signatur-Herausgeber (H) oder einer, von dem Signatur-Herausgeber (H) verschiedenen, Prüfinstanz (PI) erfolgt.
11. Das Verfahren nach einem der Ansprüche 7 bis 10, wobei beim Überprüfen auch die Herausgeberinformation (u, w) verifiziert wird.
12. Das Verfahren nach einem der Ansprüche 7 bis 11, wobei die blinde Signatur mit einem Elliptische Kurven Signieralgorithmus, ECDSA, erzeugt wird und zum Prüfen der blinden Signatur vereinbarte Kurvenparameter (f, p, a, b, G, n, h, H()) der elliptischen Kurve bereitgestellt werden.
13. Ein Bezahlsystem zum Übertragen eines elektronischen Münzdatensatzes, eMD (c) zwischen zumindest zwei Teilnehmern (TI, T2, T3), wobei das Bezahlsys tem umfasst:
- einen ersten Teilnehmer (TI) zum Erzeugen eines unsignierten verblendeten eMD (c‘);
- einen Signaturherausgeber (H) zum Erzeugen einer blinden Signatur gemäß dem Verfahren (100) eines der vorhergehenden Ansprüche 1 bis 6; - und einem zweiten Teilnehmer (T2) zum Erhalten des erzeugten eMD (c), ei nes signierten unverblendeten eMD (s) und einer zum Erzeugen des eMD (c) verwendeten Seriennummer (m).
14. Das Bezahlsystem nach Anspruch 13, wobei der zweite Teilnehmer (T2) den erhaltenen erzeugten eMD (c), den signierten unverblendeten eMD (s) und die zum Erzeugen des eMD (c) verwendeten Seriennummer (m) mittels des Verfahrens der Ansprüche 7 bis 12 überprüft.
15. Das Bezahlsystem nach Anspruch 13 oder 14, wobei der erste Teilnehmer
(TI) zum Erzeugen (106) des eMD (c) das Ergebnis einer Streuwertfunktion (H()) aus einer Verknüpfung eines teilnehmergenerierten öffentlichen Schlüssels (M) mit einem teilnehmerberechneten Punkt (A) ist, wobei der teilnehmergenerierte öffentli che Schlüssel (M) von der teilnehmergenerierten Seriennummer (m) abgeleitet ist.
EP19824235.6A 2018-12-18 2019-12-09 Verfahren zum erzeugen einer blinden signatur Pending EP3899844A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102018009943.2A DE102018009943A1 (de) 2018-12-18 2018-12-18 Verfahren zum Erzeugen einer blinden Signatur
PCT/EP2019/025438 WO2020126078A1 (de) 2018-12-18 2019-12-09 Verfahren zum erzeugen einer blinden signatur

Publications (1)

Publication Number Publication Date
EP3899844A1 true EP3899844A1 (de) 2021-10-27

Family

ID=68987652

Family Applications (1)

Application Number Title Priority Date Filing Date
EP19824235.6A Pending EP3899844A1 (de) 2018-12-18 2019-12-09 Verfahren zum erzeugen einer blinden signatur

Country Status (3)

Country Link
EP (1) EP3899844A1 (de)
DE (1) DE102018009943A1 (de)
WO (1) WO2020126078A1 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11651354B2 (en) * 2019-09-11 2023-05-16 Nxp B.V. Efficient partially spendable e-cash
DE102021000570A1 (de) 2021-02-04 2022-08-04 Giesecke+Devrient Advance52 Gmbh Verfahren zum bereitstellen eines nachweisdatensatzes; verfahren zum prüfen eines nachweisdatensatzes; ein münzregister; eine teilnehmereinheit und ein computerprogrammprodukt
DE102021000572A1 (de) 2021-02-04 2022-08-04 Giesecke+Devrient Advance52 Gmbh Verfahren zum erstellen einer münzdatensatz-zusammensetzung, teilnehmereinheit und bezahlsystem
US20220284129A1 (en) * 2021-03-07 2022-09-08 Guardtime Sa Verifiable Splitting of Single-Instance Data Using Sharded Blockchain

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4977595A (en) * 1989-04-03 1990-12-11 Nippon Telegraph And Telephone Corporation Method and apparatus for implementing electronic cash
US5901229A (en) * 1995-11-06 1999-05-04 Nippon Telegraph And Telephone Corp. Electronic cash implementing method using a trustee
WO2006070682A1 (ja) * 2004-12-27 2006-07-06 Nec Corporation 制限付ブラインド署名システム

Also Published As

Publication number Publication date
WO2020126078A1 (de) 2020-06-25
DE102018009943A1 (de) 2020-06-18

Similar Documents

Publication Publication Date Title
DE102017204536B3 (de) Ausstellen virtueller Dokumente in einer Blockchain
DE102012206341B4 (de) Gemeinsame Verschlüsselung von Daten
EP3899844A1 (de) Verfahren zum erzeugen einer blinden signatur
DE112011100182B4 (de) Datensicherheitsvorrichtung, Rechenprogramm, Endgerät und System für Transaktionsprüfung
DE19804054B4 (de) System zur Verifizierung von Datenkarten
DE602005002652T2 (de) System und Verfahren für das Erneuern von Schlüsseln, welche in Public-Key Kryptographie genutzt werden
DE60104411T2 (de) Verfahren zur übertragung einer zahlungsinformation zwischen einem endgerät und einer dritten vorrichtung
DE60031304T3 (de) Verfahren zur authentifizierung von softwarebenutzern
DE19781841C2 (de) Verfahren zum automatischen Entscheiden der Gültigkeit eines digitalen Dokuments von einer entfernten Stelle aus
DE69838003T2 (de) Verfahren zum etablieren des vertrauenswürdigkeitgrades eines teilnehmers während einer kommunikationsverbindung
EP2962439B1 (de) Lesen eines attributs aus einem id-token
DE60209809T2 (de) Verfahren zur digitalen unterschrift
EP3956846A1 (de) Verfahren zum direkten übertragen von elektronischen münzdatensätzen zwischen endgeräten sowie bezahlsystem
DE10143728A1 (de) Vorrichtung und Verfahren zum Berechnen eines Ergebnisses einer modularen Exponentiation
WO2021170645A1 (de) Verfahren zum direkten übertragen von elektronischen münzdatensätzen zwischen endgeräten, bezahlsystem, währungssystem und überwachungseinheit
DE60212248T2 (de) Informationssicherheitsvorrichtung, Vorrichtung und Verfahren zur Erzeugung einer Primzahl
DE60202149T2 (de) Verfahren zur kryptographischen authentifizierung
WO2020126079A1 (de) Verfahren zum erhalten einer blinden signatur
EP2893668A1 (de) Verfahren zur erstellung einer abgeleiteten instanz eines originaldatenträgers
DE102005008610A1 (de) Verfahren zum Bezahlen in Rechnernetzen
EP4111399B1 (de) Verfahren, endgerät, überwachungsinstanz sowie bezahlsystem zum verwalten von elektronischen münzdatensätzen
WO2023036458A1 (de) Verfahren und transaktionssystem zum übertragen von token in einem elektronischen transaktionssystems
DE102022000857B3 (de) Verfahren zur sicheren Identifizierung einer Person durch eine Verifikationsinstanz
DE102021000570A1 (de) Verfahren zum bereitstellen eines nachweisdatensatzes; verfahren zum prüfen eines nachweisdatensatzes; ein münzregister; eine teilnehmereinheit und ein computerprogrammprodukt
EP4334872A1 (de) Verfahren zum registrieren eines elektronischen münzdatensatzes in einem münzregister; ein münzregister; eine teilnehmereinheit und ein computerprogrammprodukt

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20210719

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: GIESECKE+DEVRIENT ADVANCE52 GMBH

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
P01 Opt-out of the competence of the unified patent court (upc) registered

Effective date: 20230519