EP3899844A1 - Method for generating a blind signature - Google Patents

Method for generating a blind signature

Info

Publication number
EP3899844A1
EP3899844A1 EP19824235.6A EP19824235A EP3899844A1 EP 3899844 A1 EP3899844 A1 EP 3899844A1 EP 19824235 A EP19824235 A EP 19824235A EP 3899844 A1 EP3899844 A1 EP 3899844A1
Authority
EP
European Patent Office
Prior art keywords
emd
subscriber
signature
generated
publisher
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP19824235.6A
Other languages
German (de)
French (fr)
Inventor
Tilo FRITZHANNS
Florian Gawlas
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient Advance52 GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Publication of EP3899844A1 publication Critical patent/EP3899844A1/en
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/06Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
    • G06Q20/065Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash
    • G06Q20/0658Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash e-cash managed locally
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/22Payment schemes or models
    • G06Q20/29Payment schemes or models characterised by micropayments
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3678Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes e-cash details, e.g. blinded, divisible or detecting double spending
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • G06Q20/38215Use of certificates or encrypted proofs of transaction rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/383Anonymous user system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3257Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using blind signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce

Definitions

  • the invention relates to a method for generating a blind signature for an electronic coin data record, eMD.
  • the invention also relates to a method for obtaining a blind signature in a subscriber.
  • the invention also relates to a method for deriving a partial monetary amount from an already blindly signed eMD by a subscriber.
  • the invention also relates to several methods for checking the blind signature generated / obtained.
  • the invention relates to a payment system for transmitting an electronic coin data record between at least two participants.
  • the "DigiCash” process is available for the anonymous exchange of electronic coin data records based on so-called blind signatures.
  • a principle that is similar to the "DigiCash” process with blind signatures is shown in Fig.l.
  • Blind digital signatures can be generated, for example, using an elliptic curve digital signature algorithm, ECDSA, a variant of the digital signature algorithm, DSA, in which elliptic curve cryptography is used.
  • ECDSA is shown for example in Fig.2.
  • None of the known concepts enables a duplication of the monetary amount (coin denomination) of the signed digital coin. This means that, for example, if a coin data record has a monetary amount of € 1, then for payment of a monetary amount of € 100, one is forced to send and have one hundred generated electronic coin data records verified. This makes verification more difficult and increases the amount of data for transferring large amounts of money.
  • the known concepts are non-transparent for an inspection body and only the authenticity of a signature can be checked without being sure whether a participant has manipulated the eMD. In fact, blind signatures are not accepted in many sales outlets due to this lack of transparency.
  • the monetary amount (coin value) of a signed eMD should be easily divisible without a blind signature losing its invalidity.
  • the aim is to create a direct exchange between participants and the corresponding end devices, which is uncomplicated and fast.
  • a participant should also be able to return appropriate change (change) in the form of an eMD shared by the received eMD.
  • the procedure is intended to remain non-transparent for a third party in order to guarantee anonymous payment.
  • the object is achieved in particular by a method for generating a blind signature for an electronic coin data record, eMD.
  • the method comprises the following steps: Receiving an unsigned, blinded eMD from a subscriber at a signature publisher; Expanding the unsigned, blinded eMD with a publisher information by the signature publisher to obtain an expanded unsigned eMD; Signing the expanded unsigned eMD using a publisher-generated random number 35 and a secret key of the signature publisher to obtain an expanded signed veneered eMD; and sending the expanded signed hidden eMD and the publisher information to the subscriber, the sent publisher information being part of the blind signature.
  • the publisher adds information to the signature, also referred to as a release message.
  • this publisher information becomes an invariable part of the blind signature of the eMD.
  • This publisher information - as well as the signed, blinded eMD - is made available to the participant, for example in plain text. Any unmanipulable information from a publisher is regarded as publisher information.
  • the publisher information is independent and therefore not dependent on the eMD or the participant. Independent information is therefore independent information that is not dependent on other entities.
  • the blind signature generated with this method enables every participant in the payment system to verify the authorship of the signature via a blinded eMD.
  • the publisher information thus serves in a checking step to verify the part of the signature that was formed by the publisher information more thoroughly.
  • the publisher information is not secret and can be transmitted as plain text information in the sending step, for example.
  • the publisher information is preferably provided as independent information, regardless of the signed hidden eMD. This independent provision ensures that the publisher information and the eMD are completely separate information and were originally generated by different instances. While the eMD can be generated by the subscriber himself, the publisher information is from the (trustworthy) signal. tur publisher has been generated. In this way, anonymity in the payment system is preserved, on the one hand, and additional information independent of eMD is also signed by this publisher information. It is also conceivable that the publisher information is made available directly to a test body in an examination procedure.
  • the publisher information used to expand the unsigned, blinded eMD is preferably the result of a scatter value function (hash function) with a publisher value, the publisher value being sent as the publisher information.
  • a scatter value function is a mapping that maps a large input quantity (for example the publisher value or secret key) to a smaller target quantity (the hash values, for example the publisher information).
  • a hash function is therefore generally not injective.
  • the input quantity can contain elements of different lengths, whereas the elements of the target quantity usually have a fixed length. In this way, the signature can be reduced in size without reducing the level of security.
  • the scatter value function is preferably a scatter value function that is fundamentally agreed in the signing method, for example when using an ECDSA, in which, in addition to the curve parameters, the scatter value function to be selected is also specified.
  • the publisher value can be at least one of the following values: a time value, for example a time stamp or a date; identification of the publisher, for example an ID, serial number, contract number; and / or an identifier of the publisher in the signing process; and / or a value generated by the publisher, for example a random number or an otherwise generated date.
  • the publisher's value is preferably transmitted in plain text and placed as a hash value in the blind signature. If you are in possession of the publisher's information, you can check whether the blind signature is correct and verify the authenticity of the blind signature in an improved way by calculating the value again.
  • the generation of the blind signature is preferably based on a standard for digital signatures, for example the digital signature algorithm, or DSA for short.
  • the DSA is based on the discrete logarithm in finite fields. As with all signature methods that are based on the discrete logarithm, in particular for methods based on elliptic curves, security depends essentially on the properties of the random number used by the signature issuer.
  • a random value must be generated by the signature publisher for each signature. This must have sufficient entropy, be kept secret and may only be used once in the system. These requirements are critical, because if the random number is known, the signature issuer's key can be calculated from the signature. If the random number has a low entropy, an attacker can calculate a secret key for every possible random number and then use the public verification key to test which one is the right one.
  • the eMD is preferably the result of a scatter value function from a subscriber-generated serial number and a subscriber-calculated point of an elliptic curve.
  • the transmission of the DSA on elliptic curves is standardized in ANSI X9.62. This enables a high level of security with a minimal key length.
  • the principle of the ECDSA is explained in Fig.2.
  • the DSA is an exemplary standard for digital signatures.
  • Other algorithms for example an asymmetric cryptographic method, RSA, can also be used for digital signing.
  • RSA uses a key pair consisting of a private key (the secret), which is used to decrypt or sign data, and a public key, which is used to encrypt or check signatures.
  • the private key is kept secret and can only be calculated from the public key with a great deal of computing effort.
  • the eMD is preferably the result of a scatter value function consisting of a subscriber-generated public key and a subscriber-calculated point of an elliptic curve, the subscriber-generated public key being derived from the subscriber-generated serial number.
  • the parties involved have checked the respective curve parameters prior to the signing process. agrees.
  • the subscriber-generated serial number remains with the subscriber as a secret (i.e. a private key) and the signature issuer is provided with a public key derived from the serial number.
  • this public key is generated on the subscriber side by linking the serial number to a base point of the elliptic curve, for example a logical link or a simple mathematical operation, for example multiplication.
  • parts of a monetary amount of an eMD can also be transferred from one subscriber to another subscriber, which will be explained later.
  • the signature is created over the entire monetary amount of the eMD; a second participant does not automatically have the right to own the entire amount after transmitting the eMD, since knowledge of the participant-generated serial number remains hidden if only partial amounts are to be transferred.
  • a method for checking a blind signature of an eMD is now also provided, the blind signature being generated in accordance with the previous method.
  • the unsigned, unblended (unblended) eMD and a serial number used to generate the eMD and a signed unblanked (unblended) eMD and the publisher information are obtained.
  • the eMD is now calculated using the received serial number, the signed unblended eMD, the publisher information and a public key of the signature publisher.
  • the blind signature can now be checked for correctness of the publisher information by receiving the (plain text) publisher information.
  • the calculated eMD is compared with the received eMD and the authenticity of the blind signature is verified if the calculated eMD matches the received eMD.
  • the eMD obtained is preferably the result of a scatter value function from a combination of a subscriber-generated serial number with a base point and a subscriber-calculated point of an elliptical curve, a subscriber-generated public key being derived from the subscriber-generated serial number before the eMD is calculated.
  • the blind signature of the eMD with the participant-generated public key instead of the participant-generated serial number.
  • this public key is generated on the subscriber side in that the serial number is linked to a base point of the elliptic curve, for example by a logical link or a simple mathematical operation, for example by multiplication.
  • parts of a monetary amount of an eMD can also be transferred from one subscriber to another subscriber, which will be explained later.
  • the blind signature is nevertheless created over the entire monetary amount of the eMD.
  • the subscriber-generated public key must then be provided to verify the authenticity of the eMD.
  • the verification also transmits the serial number (the secret) of the eMD and if it is successfully verified, the secret is vented and the monetary amount can be redeemed - similar to DigiCash. Now it is often desirable to share the eMD and only hand over partial amounts of the signed eMD.
  • a method for checking a blind signature of an eMD is now provided for this purpose, the blind signature likewise being generated according to the previously described method.
  • the eMD is received; a subscriber-generated public key used to generate the eMD; a signed unblended eMD; a monetary portion of the eMD; a (real) signature via a link between the monetary component and another participant-generated public key; the subscriber-generated secret; and the publisher information.
  • the monetary amount is a fraction of the total monetary amount associated with the eMD. This monetary partial amount can take on any value, it can be out of round and / or it can be the change in a payment process.
  • the subscriber-generated serial number (the secret) is now intentionally not transmitted for checking in order to prevent the entire amount of the eMD from being redeemed.
  • a new (further) secret is generated on the subscriber side, which is based on the subscriber generated serial number is different. This subscriber-generated secret is transmitted for checking instead of the subscriber-generated serial number.
  • another public key on the subscriber side is derived from this secret. This derivation is, for example, a mathematical operation or a logical combination of the subscriber-generated secret with a base point (generator point) or an alternative agreed value.
  • the further public key is calculated from the subscriber-generated secret received.
  • the agreed value for example a base point, is used for this.
  • the signature is calculated from the combination of the monetary partial amount and the calculated further public key.
  • the (real) Sig can be calculated naturally and can be compared with the (real) signature received.
  • the partial amount is authentically signed here, that is, without additional blinding, since otherwise a recipient of the partial amount cannot verify the authenticity and the correct derivation.
  • the eMD is calculated using the subscriber-generated public key, the signed uncovered eMD, the publisher information and a public key of the signature publisher. Finally, the calculated eMD is compared with the received eMD and the authenticity of the blind signature is verified if the calculated eMD matches the received eMD. During this calculation and verification, the participant-generated serial number of the eMD cannot be concluded, so that the blind signature can be checked, but the full monetary amount of the eMD cannot be decrypted. Only the partial amount confirmed with the real signature can be transferred in this way and used by the recipient (participant, inspection body). The verification is preferably carried out by the signature publisher or by a test body different from the signature issuer. This can be seen as a major advantage of the method, because the participant is now not forced to have his eMD checked by the signature issuer, which means less conclusions can be drawn about the payment behavior of a participant and anonymity is increased.
  • the publisher information is preferably also verified during the checking. In this way it can be determined whether the publisher information in the eMD has been changed and a manipulation attempt has been made.
  • the blind signature was preferably generated with an ECDSA, with the curve parameters of the elliptical curve agreed in the ECDSA being provided for checking the blind signature.
  • a payment system for transmitting an electronic coin data record between at least two participants comprises a first participant for generating an unsigned, blinded eMD; a signature issuer for generating a blind signature according to the previously described method and a second subscriber for receiving the generated eMD, a signed unblended eMD and a serial number used for generating the eMD.
  • the second participant checks the received generated eMD, the signed unblended eMD and the serial number used to generate the eMD using the previously described checking method.
  • the eMD is preferably the result of a scatter value function from a link between a subscriber-generated public key and a subscriber-calculated point.
  • the subscriber-generated public key is derived from the subscriber-generated serial number. In this way, the participant-generated serial number is not sent, but a public key derived from it, which enables an eMD to be split.
  • the object is achieved by a method for obtaining a blind signature for an electronic coin data record, eMD, in a subscriber.
  • This process comprises the process steps: gene of a public key from a subscriber-generated serial number by the subscriber; Generating an eMD using the generated public key by the subscriber; Blending the generated eMD to obtain a blended unsigned eMD by the participant; Sending the blinded unsigned eMD from the subscriber to a signature publisher; The subscriber receiving a signed, blinded eMD from the signature publisher; and removing the bezel to obtain a signed unblanked eMD by the subscriber.
  • the subscriber-side generation of the public key from a subscriber-generated serial number by the subscriber has already been explained several times.
  • a value already agreed in the procedure between the participants, the signature issuer and / or the testing authority is used.
  • the value is a base point of the elliptic curve.
  • This agreed value is logically linked to the subscriber-generated serial number, for example via a logical link, such as AND; OR; XOR; NAND; NOR, or via a simple mathematical operation, for example a multiplication or an addition.
  • the step of generating the eMD preferably comprises the steps of: calculating a point of an elliptical curve using agreed curve parameters; Linking the calculated point with the generated public key; Calculate a scatter value function from the combination of the calculated point and the generated public key, the result of the scatter value function being the eMD.
  • the derived public key is now used to obtain the blind signature instead of the subscriber-generated serial number.
  • This subscriber-generated serial number is therefore secret for the signature publisher and remains secret.
  • This method makes it possible that the eMD does not have to be transferred between participants with its full monetary amount (maximum amount of the eMD), but that any partial amounts can also be derived and transferred from the full monetary amount.
  • the signed, blinded eMD obtained is a signed, blinded eMD that is expanded with a publisher's information.
  • the publisher information used to expand the unsigned, blinded eMD is the result of a scatter value function with a publisher, the publisher value being sent as the publisher information and being part of the blind signature.
  • the publisher value is preferably a time value, an identification of the publisher and / or a publisher-generated value.
  • the publisher information is obtained together with the expanded, signed, blinded eMD, with the publisher information preferably being provided as independent information, independently of the signed, blinded eMD.
  • the publisher information thus serves to make the blind signing more transparent by (non-manipulable, non-manipulable, non-secret publisher information from the participant) becoming part of the blinking signature and can be checked.
  • a method for deriving a monetary partial amount of a signed, blinded eMD in a subscriber.
  • the eMD is preserved according to the procedure described above.
  • This deriving method comprises the steps: generation by the subscriber of a subscriber-generated secret and a further public key from the subscriber-generated secret; Determination of a partial monetary amount of the eMD; and calculating a signature via a link from the monetary partial amount and the further public key.
  • the partial amount can be determined arbitrarily. It can be the change in a payment transaction or it can be any value.
  • the subscriber-generated secret is different from the subscriber-generated serial number and is used instead of the serial number to transfer monetary amounts between subscribers. In this case, only a partial amount can advantageously be transferred instead of the full monetary amount of the eMD. With this derivation, an already blindly signed eMD is set up for the transfer of monetary partial amounts.
  • the generation of the subscriber-generated secret can be done by a first subscriber if he wants to divide a partial amount from the total amount. This generation is preferably carried out by a further subscriber who has not generated the subscriber-generated serial number. This means that a partial amount can also be divided by any other participant who has acquired the eMD legit.
  • eMDs can be shared, but the blind signature of the eMD remains valid.
  • payment processes using eMD can now be enabled, in which the eMD recipient (paid) can send back a compartmentalized eMD, for example comparable to change or change in cash transactions or as part of a discount campaign.
  • the further public key is preferably a link between a base point of the elliptic curve and the subscriber-generated secret.
  • This linkage is, for example, a logical linkage or a simple mathematical operation, as a result of which the computation effort is minimized without endangering the security and manipulation resistance of the method.
  • the base point another agreed value can be used.
  • the derivation further comprises generating a second subscriber-generated secret and a second further public key from the second subscriber-generated secret by the subscriber or another subscriber; Determination of a second monetary partial amount of the eMD, the second monetary partial amount being smaller than the monetary partial amount and calculation of a second signature by linking the monetary partial amount and the second further public key.
  • the second subscriber-generated secret can be generated by the first subscriber if he would like to further split a partial amount. This generation is preferably carried out by a subscriber who has not generated the (first) subscriber-generated secret. This means that the partial amount can also be shared by any other participant. In this way, eMDs can be shared several times, although the blind signature remains valid. In addition, payment processes using eMD can now be enabled, in which the eMD recipient (paid) can send back a shared eMD, for example comparable to change or change in cash transactions or as part of a discount campaign.
  • the second partial amount can be set as desired, i.e. it can be any value less than the (first) partial amount.
  • the second further public key is preferably a link between a base point of the elliptic curve and the second subscriber-generated secret.
  • This link is, for example, a logical link or a simple mathematical operation, as a result of which the computation effort is minimized without endangering the security and manipulation resistance of the method.
  • another agreed value can be used as an alternative to the base point.
  • a method for checking a blind signature of an eMD is provided, the blind signature being obtained in accordance with the method described above. Verification includes the following steps: Obtaining the eMD, a serial number used to generate the eMD, and a signed uncovered eMD. Since the serial number and not the public key derived from it is received, the entire monetary amount of the eMD can now be checked, decrypted and transmitted. The transfer of the serial number generally enables the disposal of the entire monetary amount.
  • the public key is calculated from the subscriber-generated serial number.
  • the eMD is calculated using the calculated public key, the signed uncovered eMD and a public key of the signature issuer.
  • the calculated public key is used for verification instead of the serial number, because in this aspect of the invention the serial number remains hidden from the signature issuer and the blind signature is created via the public key. The calculated public key must then be used to check the signature. Finally, the calculated eMD is compared with the received eMD and the authenticity of the blind signature is verified if the calculated eMD matches the received eMD.
  • a further method for checking a blind signature of an eMD in which the blind signature was also generated / obtained according to a previously described method.
  • the further method comprises: obtaining the eMD, the subscriber-generated public key, a signed unblended eMD, a monetary partial amount of the eMD, a signature via a link from the monetary partial amount and another subscriber-generated public key; and a participant-generated secret.
  • the partial amount is preferably the above-mentioned (first) partial amount of the total monetary amount.
  • the further public key is calculated from the subscriber-generated secret; a calculating the Signature using the link between the monetary partial amount and the calculated further subscriber-generated public key; comparing the calculated signature with the received signature and verifying the authenticity of the monetary partial amount; and the calculation of the eMD already described above using the received public key, the signed unblended eMD and a public key of the signature issuer, so that - as already mentioned - the calculated eMD can be compared with the received eMD and the authenticity of the blind Signature is compared when the calculated eMD matches the received eMD.
  • the further method thus enables the authenticity of the eMD to be verified on the basis of the total amount of money, as it was signed (blindly) by the signature issuer.
  • the partial amount can also be verified and used for other payment transactions.
  • the subscriber-generated secret need not have been generated by the subscriber who generated the serial number, as a result of which a transmitted eMD can be further divided without having to be re-signed.
  • a further method for checking a blind signature of an eMD in which the blind signature was also generated / obtained according to a previously described method.
  • the still further method comprises the procedural steps: obtaining the eMD, the subscriber-generated public key, a signed unblended eMD, a monetary partial amount of the eMD, a signature via a link from the monetary partial amount and another subscriber-generated public key, the further subscriber-generated public key ; a second partial monetary amount of the eMD; a second signature via a combination of the second monetary partial amount and a second further subscriber-generated public key; and a second subscriber-generated secret.
  • the second partial amount is preferably the above-mentioned second partial amount of the total monetary amount, which is smaller than the (first) partial amount.
  • the second further public key is calculated from the second subscriber-generated secret; calculating the second signature via the linkage from the monetary partial amount and the calculated second additional one subscriber generated public key; comparing the calculated second signature with the received second signature and verifying the authenticity of the second monetary partial amount.
  • the aforementioned calculation of the signature takes place via the link from the monetary partial amount and the calculated further subscriber-generated public key; comparing the calculated signature with the received signature and verifying the authenticity of the monetary partial amount; calculating the eMD using the received public key, the signed uncovered eMD and a public key of the signature issuer; comparing the calculated eMD with the received eMD and verifying the authenticity of the blind signature if the calculated eMD matches the received eMD.
  • the (first) monetary partial amount and the (first) signature are created by a subscriber by linking the monetary partial amount and a further subscriber-generated public key in accordance with the derivation method described above.
  • the participant does not have to be the participant who generated the serial number. This enables the eMD to be shared with the blind signature fully valid.
  • the second monetary partial amount and the second signature are preferably created by a subscriber by linking the second monetary partial amount and a second further subscriber-generated public key in accordance with the derivation method described above.
  • the publisher information is preferably also obtained in the receive step and this is also used in the calculate step for calculating the eMD.
  • the verification is preferably carried out by the signature issuer or a testing entity other than the signature issuer, for example also another participant.
  • the publisher information is preferably also verified during the checking.
  • the blind signature is preferably generated with an elliptical curve signing algorithm, ECDSA, and agreed curve parameters of the elliptical curve are provided for checking the blind signature.
  • a payment system for transmitting an electronic coin data record, eMD is provided between at least two participants.
  • the payment system comprises a first participant for obtaining a blind signature for an eMD according to the described receiving method; a signature issuer for generating the blind signature and a second participant for receiving the generated eMD, a signed unblended eMD and a serial number used for generating the eMD.
  • the payment system also includes the second participant checking the received generated eMD, the signed unblended eMD and the serial number used to generate the eMD. It is provided that the second participant generates the secret and derives the partial amount and the one belonging to the partial amount. This partial amount is used in a payment process where the blind signature via the eMD remains valid.
  • An eMD is in particular an electronic data record that represents a monetary amount and is also colloquially referred to as a “digital coin” or “electronic coin”. The right to this monetary amount changes in the process from a first account to another account.
  • a monetary amount is understood to be a digital amount that can be credited to an account of a financial institution.
  • the eMD therefore represents cash in electronic form.
  • the eMD differ significantly from electronic data records for data exchange or data transfer because, for example, a classic data transaction takes place on the basis of a question-answer principle or on intercommunication between the data transfer partners.
  • EMD are characterized by uniqueness, uniqueness and security features (signatures, encryption).
  • an eMD contains all the data required for a receiving entity with regard to verification, authentication and forwarding to other entities. Intercommunication is therefore generally not necessary with this type of data record. Exceptions are the change payment transactions.
  • a security element can be provided in a subscriber's terminal for transmission.
  • a security element is preferably a special software, in particular in the form of a secure runtime environment within an operating system of a terminal device, English Trusted Execution Environments, TEE.
  • the security element is designed, for example, as special hardware, in particular in the form of a secured hardware platform module, English Trusted Platform Module, TPM or as an embedded security module, cUICC, eSIM.
  • TPM English Trusted Platform Module
  • cUICC embedded security module
  • eSIM embedded security module
  • the security element provides a trustworthy environment and, for example, also secures a machine-2-machine, M2M application.
  • the communication between two end devices or security element can take place contactlessly or with contacts and can be designed as a secure channel.
  • This is the exchange of the eMD with cryptographic keys, for example a session key negotiated for an exchange of coin data sets or a symmetrical or asymmetrical pair of keys.
  • Any terminal processing a program code with user input output is disregarded as a terminal, for example a PC, a smartphone, a tablet.
  • the terminal can also be part of an M2M environment, for example a machine, tool, machine or container and vehicle understood.
  • a terminal device according to the invention is thus either stationary or mobile.
  • M2M stands for the (fully) automated exchange of information between these end devices, for example using the Internet and the corresponding access networks, such as the mobile network.
  • Fig.l principle of the Digi-Cash method with blind signatures 2 shows a known example for creating and checking a signature using ECDSA;
  • FIG. 3 shows an exemplary embodiment of a process flow diagram of a signature generating method according to the invention
  • FIG. 4 shows an exemplary embodiment of a method sequence for generating and checking a blind signature for an eMD according to the invention
  • 5 shows an embodiment of a process flow diagram of a method according to the invention
  • FIG. 6 shows an exemplary embodiment of a method sequence for generating and checking a blind signature for an eMD with an entire monetary amount and monetary partial amounts divided therefrom according to the invention.
  • FIG. 7 shows an exemplary embodiment of a method sequence for generating and checking a blind signature for an eMD with an entire monetary amount and monetary partial amounts divided therefrom according to the invention.
  • Fig. 1 shows the principle of the "DigiCash" method with blind signatures.
  • a first participant (buyer) TI, a second participant (seller) T2 transmits a coin signed by the signature issuer H.
  • the first participant TI exchanges a monetary amount with a digital coin, the unique identifier, for example a serial number, of which he generates himself in step 1.
  • the unique identifier is encrypted in step 2 and transmitted to the signature issuer H together with the value of the digital coin in step 3.
  • the signature publisher H confirms the validity of the digital coin by signing the encrypted unique identifier in step 4 and sends the digital coin thus signed back to the first subscriber TI in step 5.
  • step 6 the first participant TI decrypts the signature and in step 7 transmits (pays) the digital coin consisting of the unique identifier and the decrypted signature to the second participant T2.
  • the second subscriber T2 requests the signature issuer H to redeem the digital coin in step 8.
  • the signature issuer H verifies the authenticity of the digital coin using the signature in step 9 and thus enables the monetary amount of the digital coin to be redeemed in step 10.
  • 2 shows a method sequence 100 consisting of a method S for providing a signature between a first subscriber TI or its first end device M1 and a publisher H and a method P for checking the created signature between a first subscriber TI and a PI is shown.
  • step 101 all involved instances TI, H and P agree on the curve parameters, f, p, a, b, G, n, h of an elliptical curve.
  • These curve parameters describe a curve used, where f is the order of the body on which the curve is defined; p is the specification of the basis used; a, b two body elements that describe the equation of the curve; G is the generator point (generator point, base point) of the curve; n, is the order of point G; and h is the cofactor.
  • H () to be used, also referred to as a hash function, for example a SHA-2 algorithm.
  • step 102 the publisher H generates a cryptographic key pair d, D based on the base point G and communicates the public part D to the first participant TI and the testing entity PI in steps 103, 103 '.
  • the public key part D is also referred to as a verification key D.
  • the private key part d is not given out as a secret.
  • step 104 the first subscriber TI generates a serial number m and links it to a monetary amount for the electronic coin data record, eMD.
  • the first subscriber TI generates two integer random numbers g, i.
  • step 105 the publisher H generates a random number r and calculates a point R of the curve which is transmitted to the first subscriber TI.
  • step 106 the first participant TI calculates a point on the curve using equation (1):
  • Point A is represented by an x coordinate A x and a y coordinate A y .
  • the blind signature is regarded as confirmed and the eMD as genuine.
  • FIG. 3 shows an exemplary embodiment of a process flow diagram of a signature-generating method 100 according to the invention.
  • FIG. 4 shows an exemplary embodiment of a process flow for generating and checking a blind signature for an eMD according to the invention. The method in Figure 3 is explained in conjunction with Figure 4.
  • the method 100 for creating a blind signature according to FIG. 3 and FIG. 4 is based on the creation of a blind signature with a corresponding check by a testing entity PI according to FIG. 2 and reflects a process sequence in an ECDSA method.
  • the checking with steps 111 and 112 can also be carried out by another subscriber T2, T3, for example in order to verify the monetary amount or partial amount.
  • checking PR with steps 111 and 112 can also take place between two participants T2, T3 who have not generated the serial number m of the eMD c. These participants then want to verify and transmit, for example, a total monetary amount or a partial amount derived therefrom or a second partial amount derived therefrom.
  • ECDSA is only exemplary and any method for generating a blind signature, for example DAS or RSA based, can be operated with the basic idea of the invention, namely the addition of issuer information, possibly in conjunction with the derivation of monetary partial amounts.
  • This is indicated by the dashed lines of steps 101 to 105 in FIG. 4, which are therefore to be regarded as optional steps.
  • the repetition of the explanation of these steps 101 to 105 of FIG. 2 is therefore dispensed with, even though they are part of the inventive method when using an ECDSA method.
  • step 107 the unsigned, blinded eMD c 'described with equation (3) is sent to the publisher H.
  • a publisher value w is generated there in step 113.
  • the publisher value w is, for example, a time stamp or a random value.
  • This publisher value w is converted into publisher information u by means of a scatter value function H ().
  • This scatter value function H () is preferably the scatter value function that was agreed in step 101. This simplifies the procedure with regard to compatibility and agreement of the cryptographic functions to be used.
  • step 109 the extended, signed, blinded eMD s “is transmitted to the first subscriber TI together with the editor value w.
  • the subscriber TI generates the eMD c and blinds it in c 'with the random number g, so that the eMD c is not known to the publisher H.
  • the eMD c is also assigned a monetary maximum amount.
  • the publisher H signs the blinded unsigned eMD c 'without knowing the eMD c or the serial number m. This is called blind signing.
  • the publisher H adds a publisher-generated value w in the form of publisher information u.
  • This publisher information u becomes an unchangeable part of the signed, blinded eMD s ”and, according to equation (13) as the publisher value w, also part of the signed, unblended eMD s.
  • step 111 the unsigned unblended eMD c, the signed unblended eMD s, the subscriber-generated serial number m and the publisher value w are transmitted from the subscriber TI to the testing entity PI, T2, T3.
  • the blind signature is considered to be genuine.
  • FIG. 5 shows an embodiment of a process flow diagram of a signature-obtaining method according to the invention.
  • FIG. 6 shows an exemplary embodiment of a method sequence for obtaining S a blind signature and also for checking PR for a blind signature for an eMD according to the invention.
  • the checking method PR has three different scenarios PR1, PR2, PR3.
  • the method in Figure 5 is explained in connection with Figure 6.
  • the method for obtaining a blind signature according to FIG. 5 and FIG. 6 is based on the creation of a blind signature with a corresponding check by a testing body PI, T2, T3 according to FIG. 2 and reflects a procedure in an ECDSA method.
  • checking PR1, PR2, PR3 with steps 111, 111 ', 111 "and 112, 112% 112" can also be carried out by another participant T2, T3, for example to verify the monetary amount or partial amount .
  • checking PR1, PR2, PR3 with steps 111, 111% 111 "and 112, 112% 112" can also take place between two participants T2, T3 who have not generated the serial number m of the eMD c, for example, to verify and transfer a monetary total amount or a partial amount u derived therefrom or a second partial amount e derived therefrom. Subsequently, the testing entity PI is equated to another participant T2, T3.
  • ECDSA is only an example, and any method for generating / receiving a blind signature, for example DAS or RSA-based, can be carried out with the basic idea of the invention, namely the derivation of partial monetary amounts, possibly using publisher information from the signature publisher H done. Repetition of steps 101 to 105 of FIG. 2 is therefore dispensed with, although when using an ECDSA method they are part of the method according to the invention.
  • the method steps 101 to 105 of FIG. 5 and FIG. 6 are the same as the method steps 101 to 105 of FIG. 2 and reference is made to this FIG. 2 for further explanations.
  • step 114 a public key M described in equation (18) is generated in the subscriber TI:
  • the subscriber-generated serial number m is to be regarded as a secret and the public key G is derived using the (agreed) base point G of the elliptical curve. Alternatively, other agreed values can be used to generate the public key M.
  • the first subscriber TI calculates a point on the curve using equation (1).
  • the point A is represented by an x coordinate A x and a y coordinate A y .
  • step 107 the unsigned, blinded eMD c ′ (M) described with equation (20) is sent to the publisher H.
  • step 110 the signed, blinded eMD s' is obtained by means of equation (5).
  • the subscriber TI generates the eMD c using a public key M instead of the serial number m.
  • This serial number m is secret to the signature publisher H.
  • FIG. 6 now shows three scenarios with which an eMD which can be divided using the signature method S obtained in FIG. 6 can be transmitted, the blind signature nevertheless remaining valid.
  • non-circular amounts can now be transferred very precisely or corresponding change (change) can be generated.
  • the maximum monetary amount of an eMD c could be sent from a first participant TI to a second participant T2 in the test procedure PR1.
  • a partial amount u is then returned as change to the first participant TI by the second participant T2.
  • the first participant TI can now further split the partial amount u and transfer the second partial amount e to the third participant T3 in the test procedure PR3: In the test procedure PR1 in FIG a second participant T2, T3 is to be redeemed.
  • step 111 the unsigned, unblended eMD c, the signed, unblended eMD s and the subscriber-generated serial number m are transmitted from the subscriber TI to the testing entity PI. There, the blind signature is verified in step 112.
  • the subscriber-generated public key M is first calculated using equation (23).
  • the blind signature is valid and the eMD c can be used by the testing body PI, or also by the other participants T2, T3, for further payment processes.
  • the eMD c obtained in equation (24) corresponds to the eMD c sent in step 111, the blind signature is considered confirmed and the eMD is genuine.
  • the derivation of a partial amount u from the monetary total amount is shown first with step 115.
  • the subscriber TI or another subscriber who is in possession of the eMD c
  • the subscriber TI generates a secret p and a further public key P using the subscriber-generated secret p.
  • the secret p is different from the serial number m.
  • the further subscriber-generated key P is different from the subscriber-generated public key M.
  • the subscriber-generated public key P can be obtained by multiplying it by the base point G, see equation (25):
  • U is the partial amount to be derived, which is smaller than the total monetary amount of the eMD c.
  • the real signature s hi is a logical OR combination of the public key P and the partial amount u. Other logical links or mathematical operations are also conceivable for creating the real signature s hi .
  • step 111 the following variables are now exchanged between two participants TI, T2, T3:
  • step 112 ' the authenticity of the blind signature and the authenticity of the real signature s hi can now be checked, as a result of which the partial amount u is considered to be - transmitted between the participants TI, T2, T3.
  • the further public key P is first calculated using the participant-generated secret p and the agreed base point G, see equation (25).
  • the blind signature is checked according to equations (7) to (9) and (24).
  • the real signature is hi the calculated further subscriber-generated public key P and the partial amount u obtained, and if equation (27) matches
  • the partial amount u is considered to be verified and is also transmitted by transmitting the secret p.
  • the test body PI, T2, T3 is not in possession of the subscriber-generated serial number m and can therefore verify the blind signature (using the key M) but does not have the total monetary value.
  • the derivation of a second partial amount e from the partial amount u is shown in step 116.
  • the subscriber TI or another subscriber who is in possession of the eMD c
  • the second secret q is different from the serial number m and from the secret p.
  • the second further subscriber-generated key Q is different from the subscriber-generated public key M and the further ren subscriber-generated key P.
  • the second further subscriber-generated public key Q can be obtained by multiplication by the base point G, see equation (28):
  • Equation (28) also creates a second real signature s r for derivation 116:
  • e is the second partial amount to be derived, which is smaller than the total monetary amount and which is also smaller than the partial amount u of the eMD c.
  • the real signature s r here is a logical OR combination of the public key Q and the partial amount e. Other logical links or mathematical operations are also conceivable for creating the real signature s r .
  • step 111 “the following variables are now exchanged between two participants TI, T2, T3:
  • step 112 “ the authenticity of the blind signature, the authenticity of the real signature s hi and also the authenticity of the second real signature s r can now be checked, as a result of which the second partial amount e is considered to be - between the participants TI, T2, T3 .
  • the second further subscriber-generated public key Q is first calculated using the second subscriber-generated secret q and the agreed base point G, see equation (28).
  • the blind signature is checked in accordance with equations (7) to (9) and (24).
  • the test body PI, T2, T3 does not have the subscriber-generated serial number m or the subscriber-generated secret p.
  • the blind signature and the real signature s hi can be verified (by the subscriber-generated public keys M and P), but the test body PI, T2, T3 does not get the monetary total amount or the (first) partial amount u.
  • any monetary (partial) amounts u, e can now be transferred between any participants, whereby the authenticity of the blind signature and that with the respective partial amounts u, e e connected real signatures s hi and s r can be checked.
  • the receiving entity PI, T2, T3 receives full access rights to the respective partial amounts, whereby the eMD is considered to be transmitted.
  • 7 shows a further exemplary embodiment of a method sequence for generating and checking a blind signature for an eMD with an entire monetary amount and monetary partial amounts divided therefrom according to the invention.
  • the process sequences in FIGS. 4 and 6 were combined with one another.
  • the sharing of monetary amounts according to the invention is now also possible.
  • the checking process PR has three different scenarios PR1, PR2, PR3.
  • the method for obtaining a blind signature according to FIG. 7 is based on the creation of a blind signature with a corresponding check by a testing entity PI according to FIG. 2 and reflects a process sequence in an ECDSA method. It should be noted that checking PR1, PR2, PR3 with steps 111, 111 ', 111 "and 112, 112% 112" can also be carried out by another participant T2, T3, for example by adding the monetary amount or partial amount to verify.
  • checking PR1, PR2, PR3 with steps 111, 111% 111 "and 112, 112% 112" can also take place between two participants T2, T3 who have not generated the serial number m of the eMD c, for example to verify a monetary total amount or a portion derived therefrom or a second portion e derived therefrom and to receive it. Subsequently, the testing entity PI is equated to another participant T2, T3.
  • ECDSA is only exemplary and any method for generating / obtaining a blind signature, for example DAS or RSA-based, can be carried out with the basic idea of the invention, namely the derivation of monetary partial amounts using publisher information u, w of the signature publisher H done.
  • Repetition of steps 101 to 105 in FIG. 2 is dispensed with, although they are part of the method according to the invention when using an ECDSA method.
  • the method steps 101 to 105 of FIG. 7 are the same as method steps 101 to 105 of FIG. 2 and reference is made to this FIG. 2 for further explanations.
  • step 114 the generation of a public key M described in equation (18) in the subscriber TI is described.
  • the first subscriber TI calculates a point on the curve using equation (1).
  • the point A is represented by an x coordinate A x and a y coordinate A y .
  • the x coordinate A x is used with the public key M as the input parameter of the hash function H () in equation (19) in order to obtain an unsigned, unblended eMD c.
  • the unsigned, unblended eMD c is converted into an unsigned, blended eMD c '(M) using equation (20).
  • step 107 the unsigned, blinded eMD c ′ (M) obtained with equation (20) is sent to the publisher H.
  • a publisher worth w is generated there in step 113.
  • the publisher value w is, for example, a time stamp or a random value.
  • This publisher value w is converted into publisher information u by means of a scatter value function H ().
  • This scatter value function H () is preferably the scatter value function that was agreed in step 101. This simplifies the procedure with regard to compatibility and agreement of cryptographic functions to be used.
  • the unsigned, blinded eMD c ' is then expanded in accordance with equation (11) with this publisher information u in step 113.
  • step 109 the extended, signed, blinded eMD s “is transmitted to the first subscriber TI together with the editor value w.
  • step 110 the signed, blinded eMD s “is not blinded using equation (13).
  • the subscriber TI generates the eMD c using a public key M instead of the serial number m.
  • This serial number m is secret to the signature publisher H.
  • the signature publisher also generates H the publisher information u, w and adds this as an integral part of the blind signature.
  • eMD c simplifies the administrative work for the signature issuer H and enables a payment system with eMD c for which change can be paid or in which non-circular amounts of money can be electronically transferred.
  • Fig. 7 three scenarios are now shown, by means of which a divisible eMD obtained with the signing method S shown in Fig. 7 is transmitted and the blind signature nevertheless remains valid.
  • non-circular amounts can now be transferred very precisely or corresponding change (change) can be generated.
  • the maximum monetary amount of an eMD c could be sent from a first participant TI to a second participant T2 in the test procedure PR1.
  • a partial amount u is then returned as change to the first participant TI by the second participant T2.
  • the first participant TI can now further split the partial amount u and transfer the second partial amount e to the third participant T3 in the test procedure PR3:
  • test procedure PR1 of FIG. 7 it is initially shown that the entire monetary amount of an eMD c is to be checked and, if necessary, to be redeemed by a second subscriber T2, T3.
  • Curve parameters and the verification key D is to check the blind signature of the eMD c, which is done, for example, by means of a test entity PI, which is not necessarily the publisher H.
  • step 111 the unsigned, unblended eMD c, the signed, unblended eMD s, the subscriber-generated serial number m and the publisher information w are transmitted from the subscriber TI to the testing entity PI.
  • Ren PR1 of Figure 7 is then checked whether the public key M has been changed and whether w has been changed, which is described below.
  • step 112 the blind signature is verified.
  • the subscriber-generated public key M is first calculated using equation (23).
  • the publisher information u is obtained with equation (15) and with equation (33)
  • A s G + (c ’(M) + u) D (33) it is checked whether the condition of equations (24) is fulfilled. If the calculated eMD c matches the received eMD c, the blind signature is valid and the eMD c can be used by the testing body PI, or for example also by the other participants T2, T3, for further payment processes.
  • step 115 the participant TI (or another participant T2, T3 who is in possession of the eMD c) generates a secret p and a further public key P using the participant-generated secret p.
  • the secret p is different from the serial number m.
  • the further subscriber-generated key P is different from the subscriber-generated public key M.
  • the further public key P generated by the subscriber can be obtained by multiplying by the base point G, see equation (25).
  • a real signature s hi is also created using equation (26).
  • U is the partial amount to be derived, which is smaller than the total monetary amount of the eMD c.
  • the real signature s hi is a logical OR combination of the public key P and the partial amount u. Other logical links or mathematical operations for creating the real signature s hi are also conceivable.
  • step 111 ' the following variables are now exchanged between two participants TI, T2, T3:
  • step 112 ' the authenticity of the blind signature and the authenticity of the real signature s hi can now be checked, as a result of which the partial amount u is considered to be - transferred between the participants PI, TI, T2, T3.
  • the further public key P is first calculated using the subscriber generated secret p and the agreed base point G, see equation (25).
  • the blind signature is checked according to equations (15), (33) and (24).
  • the real signature G m is calculated from the calculated further subscriber-generated public key P and the partial amount u obtained, and if equation (26) matches, the partial amount u is considered to be verified and is transmitted by the secret p.
  • test body PI, T2, T3 is not in possession of the subscriber-generated serial number m and can therefore verify the blind signature (using the key M) but does not have the total monetary amount of the eMD c.
  • a check is therefore carried out to determine whether the public key M has been changed, whether w has been changed and whether the real signature G m has been changed.
  • step 116 the derivation of a second partial amount e from the partial amount u is shown in step 116.
  • the subscriber TI (or another subscriber who is in possession of the eMD c) generates a second secret q and a second further public key Q using the second subscriber-generated secret q.
  • the second secret q is different from the serial number m and from the secret p.
  • the second further subscriber-generated key Q is different from the subscriber-generated public key M and the further subscriber-generated key P.
  • the second further subscriber-generated public key Q can be obtained by multiplication by the base point G, see equation (28). Equation (29) also creates a second real signature s r for derivation 116.
  • e is the second partial amount to be derived, which is smaller than the total monetary amount and which is also smaller than the partial amount u of the eMD c.
  • the real signature s r here is a logical OR combination of the public key Q and the partial amount e. Other logical links or mathematical operations are also conceivable for creating the real signature s r .
  • step 111 “the following variables are now exchanged between two participants TI, T2, T3: the eMD c
  • step 112 “ the authenticity of the blind signature, the authenticity of the real signature s hi and also the authenticity of the second real signature s r can now be checked, as a result of which the second partial amount e is considered to be - between the participants TI, T2, T3 .
  • the second further public key Q is first calculated using the second subscriber-generated secret q and the agreed base point G, see equation (28).
  • the blind signature is checked according to equations (15), (33) and (24).
  • the second real signature s r is calculated from the calculated second further subscriber-generated public key Q and the received second partial amount e and, if equation (30) matches, the partial amount e is verified and is also transmitted by the transmission of the second secret q .
  • test body PI, T2, T3 does not have the participant-generated serial number m or the participant-generated secret p.
  • the blind signature and the real signature s hi can be verified (by the subscriber-generated public keys M and P), but the verifier does not get the total monetary amount or the (first) partial amount u.

Abstract

The invention relates to a method for generating a blind signature for an electronic coin dataset, eMD, having the steps of: obtaining an unsigned blinded eMD from a participant by a signature issuer; expanding the unsigned blinded eMD with issuer information by means of the signature issuer in order to obtain an expanded unsigned eMD; signing the expanded unsigned eMD using an issuer-generated random number and a secret key of the signature issuer in order to obtain an expanded signed blinded eMD; and transmitting the expanded signed blinded eMD and the issuer information to the participant. The invention also relates to a method for checking the generated and/or obtained blind signature. The invention also relates to a payment system for transmitting an electronic coin dataset between at least two participants.

Description

VERFAHR EN ZUM RR TRUGEN EINER BLINDEN SIGNATUR METHOD FOR RR WEARING A BLIND SIGNATURE
TECHNISCHES GEBIET DER ERFINDUNG TECHNICAL FIELD OF THE INVENTION
Die Erfindung betrifft ein Verfahren zum Erzeugen einer blinden Signatur für einen elektronischen Münzdatensatz, eMD. Die Erfindung betrifft auch ein Verfahren zum Erhalten einer blinden Signatur in einem Teilnehmer. Die Erfindung betrifft auch ein Verfahren zum Ableiten eines geldwerten Teilbetrags von einer bereits blind signier ten eMD durch einen Teilnehmer. Die Erfindung betrifft auch mehrere Verfahren zum Überprüfen der erzeugten/erhaltenen blinden Signatur. Weiterhin betrifft die Erfindung ein Bezahlsystem zum Übertragen eines elektronischen Münzdatensatzes zwischen zumindest zwei Teilnehmern. The invention relates to a method for generating a blind signature for an electronic coin data record, eMD. The invention also relates to a method for obtaining a blind signature in a subscriber. The invention also relates to a method for deriving a partial monetary amount from an already blindly signed eMD by a subscriber. The invention also relates to several methods for checking the blind signature generated / obtained. Furthermore, the invention relates to a payment system for transmitting an electronic coin data record between at least two participants.
TECHNISCHER HINTERGRUND DER ERFINDUNG TECHNICAL BACKGROUND OF THE INVENTION
Zum anonymisierten Austauschen elektronischer Münzdatensätze auf Basis von so- genannten blinden Signaturen gibt es das Verfahren„DigiCash“. Ein Prinzip, dass dem„DigiCash“ Verfahren mit blinden Signaturen ähnelt, ist in Fig.l dargestellt. The "DigiCash" process is available for the anonymous exchange of electronic coin data records based on so-called blind signatures. A principle that is similar to the "DigiCash" process with blind signatures is shown in Fig.l.
Blinde digitale Signaturen können beispielsweise über einen Elliptic Curve Digital Signature Algorithm, ECDSA, erzeugt werden, einer Variante des Digitalen Signatur Algorithmus, DSA, in welcher eine Elliptische-Kurven-Kryptographie angewendet wird. Ein ECDSA ist beispielsweise in Fig.2 dargestellt. Blind digital signatures can be generated, for example, using an elliptic curve digital signature algorithm, ECDSA, a variant of the digital signature algorithm, DSA, in which elliptic curve cryptography is used. An ECDSA is shown for example in Fig.2.
Keines der bekannten Konzepte ermöglicht eine Vervielfältigung des geldwerten Betrags (Münznominal) der signierten digitalen Münze. Das bedeutet, wenn ein Münzdatensatz beispielsweise einen geldwerten Betrag von 1€ aufweist, so ist man für ein Bezahlen eines geldwerten Betrags von 100€ gezwungen, einhundert gene rierte elektronische Münzdatensätze zu versenden und verifizieren zu lassen. Dies erschwert das Verifizieren und erhöht die Datenmenge zum Übertragen hoher geld werter Beträge enorm. None of the known concepts enables a duplication of the monetary amount (coin denomination) of the signed digital coin. This means that, for example, if a coin data record has a monetary amount of € 1, then for payment of a monetary amount of € 100, one is forced to send and have one hundred generated electronic coin data records verified. This makes verification more difficult and increases the amount of data for transferring large amounts of money.
Keines der bekannten Konzepte ermöglicht eine Teilung des geldwerten Betrags (=Münznominal) der signierten digitalen Münze. Das bedeutet, wenn ein Münzda tensatz einen geldwerten Betrag von 1€ aufweist, so ist das Bezahlen eines Bruch teils dieses geldwerten Betrags, beispielsweise 0,50€ oder eines gemischten Bruch- teils, beispielsweise 1,50€ nicht möglich. Mitunter verhindern diese Konzepte dann ein passendes Bezahlen. Diese bekannten Konzepte sehen zudem keine Rückgeldzahlung vor, beispielsweise wenn ein Teilnehmer einen zu zahlenden Betrag mit einem größeren Münzwert be gleicht, kann der Bezahlte keinen geldwerten Betrag in Form von Rückgeld bzw. Wechselgeld auf Basis der erhaltenen eMD generieren und versenden. Dies macht 5 die bisherigen Konzepte unattraktiv und unflexibel. None of the known concepts enables the monetary amount (= coin denomination) of the signed digital coin to be divided. This means that if a coin data set has a monetary amount of € 1, then it is not possible to pay a fraction of this monetary amount, for example € 0.50 or a mixed fraction, for example € 1.50. Sometimes these concepts prevent appropriate payment. These known concepts also do not provide for a change in payment, for example if a participant compares an amount to be paid with a larger coin value, the paid person cannot generate and send a monetary amount in the form of change or change based on the eMD received. This makes the previous concepts unattractive and inflexible.
Zudem sind die bekannten Konzepte intransparent für eine Prüfinstanz und lediglich die Echtheit einer Signatur kann überprüft werden, ohne dabei sicher zu sein, ob ein Teilnehmer den eMD manipuliert hat. Tatsächlich werden blinde Signaturen in vie lt) len Verkaufsstellen aufgrund dieser Intransparenz nicht akzeptiert. In addition, the known concepts are non-transparent for an inspection body and only the authenticity of a signature can be checked without being sure whether a participant has manipulated the eMD. In fact, blind signatures are not accepted in many sales outlets due to this lack of transparency.
Es ist somit Aufgabe der vorliegenden Erfindung, ein Verfahren und ein System zu schaffen, bei welchem transparent überprüfbar ist, ob ein Signatur-Herausgeber einer blinden Signatur tatsächlich einen eMD signiert hat. Zudem soll der geldwerte Be- 15 trag (Münzwert) eines signierten eMD einfach teilbar sein, ohne dass eine blinde Signatur ihre Ungültigkeit verliert. Dabei soll ein direkter Austausch zwischen Teil nehmern bzw. den entsprechenden Endgeräten geschaffen werden, der unkompliziert und schnell ist. Ein Teilnehmer soll ebenfalls dazu in der Lage sein, passendes Rückgeld (Wechselgeld) in Form eines vom erhaltenen eMD geteilten eMD zurück- 20 zugeben. Das Verfahren soll für einen Dritten intransparent bleiben, um ein anony mes Bezahlen zu gewährleisten. It is therefore an object of the present invention to provide a method and a system in which it can be transparently checked whether a signature issuer of a blind signature actually signed an eMD. In addition, the monetary amount (coin value) of a signed eMD should be easily divisible without a blind signature losing its invalidity. The aim is to create a direct exchange between participants and the corresponding end devices, which is uncomplicated and fast. A participant should also be able to return appropriate change (change) in the form of an eMD shared by the received eMD. The procedure is intended to remain non-transparent for a third party in order to guarantee anonymous payment.
ZUSAMMENFASSUNG DER ERFINDUNG SUMMARY OF THE INVENTION
Die gestellte Aufgabe wird mit den Merkmalen der unabhängigen Patentansprüche 25 gelöst. Weitere vorteilhafte Ausgestaltungen sind in den jeweils abhängigen Pa tentansprüchen beschrieben. The object is achieved with the features of the independent claims 25. Further advantageous embodiments are described in the respective dependent Pa claims.
Die Aufgabe wird insbesondere durch ein Verfahren zum Erzeugen einer blinden Signatur für einen elektronischen Münzdatensatz, eMD, gelöst. Das Verfahren um- 30 fasst dabei die folgenden Schritte: Erhalten eines unsignierten verblendeten eMD von einem Teilnehmer bei einem Signatur-Herausgeber; Erweitern des unsignierten verblendeten eMD mit einer Herausgeberinformation durch den Signatur- Herausgeber zum Erhalten eines erweiterten unsignierten eMD; Signieren des erwei terten unsignierten eMD unter Verwendung einer herausgebergenerierten Zufallszahl 35 und eines geheimen Schlüssels des Signatur-Herausgebers zum Erhalten eines erwei terten signierten verblendeten eMD; und Senden des erweiterten signierten verblen deten eMD und der Herausgeberinformation an den Teilnehmer, wobei die gesendete Herausgeberinformation ein Teil der blinden Signatur ist. Beim (digitalen) blinden Signaturverfahren ist es möglich, als Besitzer einer eMD anonym zu bleiben, sodass Bezahlvorgänge, die ein Teilnehmer tätigt, nicht von dem Signatur-Herausgeber oder einer Prüfinstanz nachgeprüft werden können. Der Signa- tur-Herausgeber kennt demnach die eMD nicht, da er nur eine verblendete eMD empfängt. Als Verblendung wird beispielsweise eine Addition oder Subtraktion der eMD mit einer ganzzahligen teilnehmergenerierten Zufallszahl verstanden. Ein Rückschluss auf den Teilnehmer bei Besitz der verblendeten unsignierten eMD ist somit nicht möglich. The object is achieved in particular by a method for generating a blind signature for an electronic coin data record, eMD. The method comprises the following steps: Receiving an unsigned, blinded eMD from a subscriber at a signature publisher; Expanding the unsigned, blinded eMD with a publisher information by the signature publisher to obtain an expanded unsigned eMD; Signing the expanded unsigned eMD using a publisher-generated random number 35 and a secret key of the signature publisher to obtain an expanded signed veneered eMD; and sending the expanded signed hidden eMD and the publisher information to the subscriber, the sent publisher information being part of the blind signature. With the (digital) blind signature process, it is possible to remain anonymous as the owner of an eMD, so that payment transactions that a participant makes cannot be verified by the signature issuer or a verifier. Accordingly, the signature issuer does not know the eMD because he only receives a blinded eMD. A delusion is understood to mean, for example, an addition or subtraction of the eMD with an integer random number generated by the subscriber. It is therefore not possible to draw any conclusions about the participant if they own the blinded unsigned eMD.
Erfindungsgemäß wird nun der Signatur eine Herausgeberinformation, auch als Her- ausgebemachricht bezeichnet, durch den Herausgeber hinzugefügt. Durch das erfin dungsgemäße Erweitern wird diese Herausgeberinformation unveränderlicher Teil der blinden Signatur des eMD. Diese Herausgeberinformation wird - ebenso wie der signierte verblendete eMD - dem Teilnehmer, beispielsweise im Klartext, zur Verfü gung gestellt. Als Herausgeberinformation wird jegliche unmanipulierbare Informa tion eines Herausgebers angesehen. Die Herausgeberinformation ist eigenständig und somit nicht vom eMD oder dem Teilnehmer abhängig. Eine eigenständige In formation ist daher eine unabhängige, nicht von anderen Instanzen bedingte Informa- tion. According to the invention, the publisher adds information to the signature, also referred to as a release message. As a result of the expansion according to the invention, this publisher information becomes an invariable part of the blind signature of the eMD. This publisher information - as well as the signed, blinded eMD - is made available to the participant, for example in plain text. Any unmanipulable information from a publisher is regarded as publisher information. The publisher information is independent and therefore not dependent on the eMD or the participant. Independent information is therefore independent information that is not dependent on other entities.
Auf diese Weise kann bei einem späteren Prüfen der Signatur festgestellt werden, ob diese gesendete Herausgeberinformation mit der, in der Signatur befindlichen Her ausgeberinformation übereinstimmt oder im Rahmen eines Manipulationsversuchs verändert wurde. Die mit diesem Verfahren erzeugte blinde Signatur ermöglicht es jedem Teilnehmer am Bezahlsystem, eine Urheberschaft der Signatur über eine ver blendete eMD verbessert nachzuprüfen. Die Herausgeberinformation dient in einem Überprüfen-Schritt also dazu, den Teil der Signatur, der von der Herausgeberinfor mation gebildet wurde, gründlicher zu verifizieren. Die Herausgeberinformation ist nicht geheim und kann beispielsweise im Senden-Schritt als Klartext-Information übertragen werden. In this way, when the signature is checked later, it can be ascertained whether this sent publisher information matches the publisher information located in the signature or has been changed as part of a manipulation attempt. The blind signature generated with this method enables every participant in the payment system to verify the authorship of the signature via a blinded eMD. The publisher information thus serves in a checking step to verify the part of the signature that was formed by the publisher information more thoroughly. The publisher information is not secret and can be transmitted as plain text information in the sending step, for example.
Bevorzugt wird die Herausgeberinformation unabhängig von der signierten verblen deten eMD als eigenständige Information bereitgestellt wird. Mit dieser unabhängi- gen Bereitstellung ist gewährleistet, dass die Herausgeberinformation und die eMD vollkommen getrennte Informationen sind und ursprünglich von unterschiedlichen Instanzen generiert wurden. Während die eMD vom Teilnehmer selbst generiert werden kann, ist die Herausgeberinformation von dem (vertrauenswürdigen) Signa- tur-Herausgeber generiert worden. Auf diese Weise wird einerseits die Anonymität im Bezahlsystem gewahrt, andererseits wird durch diese Herausgeberinformation eine zusätzliche eMD unabhängige Information mitsigniert. Es ist darüber hinaus auch denkbar, dass die Herausgeberinformation in einem Prüfungsverfahren direkt einer Prüfinstanz zur Verfügung gestellt wird. The publisher information is preferably provided as independent information, regardless of the signed hidden eMD. This independent provision ensures that the publisher information and the eMD are completely separate information and were originally generated by different instances. While the eMD can be generated by the subscriber himself, the publisher information is from the (trustworthy) signal. tur publisher has been generated. In this way, anonymity in the payment system is preserved, on the one hand, and additional information independent of eMD is also signed by this publisher information. It is also conceivable that the publisher information is made available directly to a test body in an examination procedure.
Bevorzugt ist die zum Erweitern der unsignierten verblendeten eMD verwendete Herausgeberinformation das Ergebnis einer Streu wertfunktion (Hashfunktion) mit einem Herausgeberwert, wobei der Herausgeberwert als die Herausgeberinformation gesendet wird. The publisher information used to expand the unsigned, blinded eMD is preferably the result of a scatter value function (hash function) with a publisher value, the publisher value being sent as the publisher information.
Eine Streu wertfunktion (auch Hashfunktion) ist eine Abbildung, die eine große Ein gabemenge (beispielsweise die Herausgeberwert oder geheime Schlüssel) auf eine kleinere Zielmenge (die Hashwerte, beispielsweise die Herausgeberinformation) abbildet. Eine Hashfunktion ist daher im Allgemeinen nicht injektiv. Die Eingabe menge kann Elemente unterschiedlicher Längen enthalten, die Elemente der Ziel menge haben dagegen meist eine feste Länge. Auf diese Weise kann die Signatur in ihrer Größe reduziert werden, ohne jedoch das Sicherheitsniveau zu verringern. Die Streu wertfunktion ist bevorzugt eine, im Signier-Verfahren grundsätzlich ver einbarte, Streuwertfunktion, beispielsweise bei Verwendung eines ECDSA, bei dem neben den Kurvenparametem auch die zu wählende Streu wertfunktion festgelegt wird. Durch Verwenden eines Hashwertes als Herausgeberinformation anstelle des Herausgeberwertes selbst, wird die Sicherheit weiter erhöht und die Manipulation weiter erschwert. Zudem wird die zu sendende Datenmenge bestehend aus Heraus geberinformation und signiertem verblendeten eMD minimiert. Dies ist beispiels weise bei M2M-Anwendungen vorteilhaft. A scatter value function (also hash function) is a mapping that maps a large input quantity (for example the publisher value or secret key) to a smaller target quantity (the hash values, for example the publisher information). A hash function is therefore generally not injective. The input quantity can contain elements of different lengths, whereas the elements of the target quantity usually have a fixed length. In this way, the signature can be reduced in size without reducing the level of security. The scatter value function is preferably a scatter value function that is fundamentally agreed in the signing method, for example when using an ECDSA, in which, in addition to the curve parameters, the scatter value function to be selected is also specified. By using a hash value as publisher information instead of the publisher value itself, security is further increased and manipulation is made more difficult. In addition, the amount of data to be sent consisting of publisher information and signed, blinded eMD is minimized. This is advantageous for example in M2M applications.
Der Herausgeberwert kann dabei mindestens einer der folgenden Werte sein: ein Zeitwert, beispielsweise ein Zeitstempel oder eine Datumsangabe; eine Identifikation des Herausgebers, beispielsweise eine ID, Seriennummer, Vertragsnummer; und/oder eine Kennung des Herausgebers im Signierverfahren; und/oder ein heraus gebergenerierter Wert, beispielsweise eine Zufallszahl oder eine sonst wie erzeugtes Datum. Der Herausgeberwert wird bevorzugt im Klartext übertragen und als Hash- wert in der blinden Signatur unterbracht. Ist man im Besitz der Herausgeberinforma tion kann man durch erneute Streu Wertberechnung prüfen, ob die blinde Signatur korrekt ist und so, die Echtheit der blinden Signatur verbessert verifizieren. Das Erzeugen der blinden Signatur basiert bevorzugt auf einem Standard für digitale Signaturen, beispielsweise dem Digitalen Signatur Algorithmus, kurz DSA. Der DSA basiert auf dem diskreten Logarithmus in endlichen Körpern. Wie bei allen Signaturverfahren, die auf dem diskreten Logarithmus basieren, insbesondere für Verfahren, die auf elliptischen Kurven beruhen, hängt die Sicherheit ganz wesentlich von den Eigenschaften der verwendeten Zufallszahl des Signatur-Herausgebers ab. The publisher value can be at least one of the following values: a time value, for example a time stamp or a date; identification of the publisher, for example an ID, serial number, contract number; and / or an identifier of the publisher in the signing process; and / or a value generated by the publisher, for example a random number or an otherwise generated date. The publisher's value is preferably transmitted in plain text and placed as a hash value in the blind signature. If you are in possession of the publisher's information, you can check whether the blind signature is correct and verify the authenticity of the blind signature in an improved way by calculating the value again. The generation of the blind signature is preferably based on a standard for digital signatures, for example the digital signature algorithm, or DSA for short. The DSA is based on the discrete logarithm in finite fields. As with all signature methods that are based on the discrete logarithm, in particular for methods based on elliptic curves, security depends essentially on the properties of the random number used by the signature issuer.
Lür jede Signatur muss ein Zufallswert von dem Signatur-Herausgeber generiert werden. Dieser muss ausreichend Entropie besitzen, geheim gehalten werden und darf nur einmal im System verwendet werden. Diese Anforderungen sind kritisch, denn wird die Zufallszahl bekannt, so kann aus der Signatur der geheime Signatur schlüssel des Signatur-Herausgebers berechnet werden. Falls die Zufallszahl eine geringe Entropie hat, kann ein Angreifer für jede mögliche Zufallszahl einen gehei men Schlüssel berechnen und dann mit Hilfe des öffentlichen Verifikationsschlüssels testen, welcher davon der Richtige ist. A random value must be generated by the signature publisher for each signature. This must have sufficient entropy, be kept secret and may only be used once in the system. These requirements are critical, because if the random number is known, the signature issuer's key can be calculated from the signature. If the random number has a low entropy, an attacker can calculate a secret key for every possible random number and then use the public verification key to test which one is the right one.
Bevorzugt ist der eMD das Ergebnis einer Streuwertfunktion aus einer teilnehmer generierten Seriennummer und einem teilnehmerberechneten Punkt einer elliptischen Kurve. Damit wird eine Variante eines Digitalen Signatur Algorithmus, kurz DSA, nämlich ein Elliptische-Kurven-Kryptographie, ECDSA verwendet. Die Übertra gung des DSA auf elliptischen Kurven ist in ANSI X9.62 standardisiert. Somit ist ein hohes Maß an Sicherheit bei minimaler Schlüssellänge möglich. Das Prinzip des ECDSA ist in Fig.2 erläutert. Der DSA ist ein beispielhafter Standard für digitale Signaturen. Andere Algorith men, beispielsweise kann auch ein asymmetrisches kryptographisches Verfahren, RSA, zum digitalen Signieren verwendet werden. RSA verwendet ein Schlüsselpaar, bestehend aus einem privaten Schlüssel (das Geheimnis), der zum Entschlüsseln oder Signieren von Daten verwendet wird, und einem öffentlichen Schlüssel, mit dem man verschlüsselt oder Signaturen prüft. Der private Schlüssel wird geheim gehalten und kann nur mit hohem Rechenaufwand aus dem öffentlichen Schlüssel berechnet werden. The eMD is preferably the result of a scatter value function from a subscriber-generated serial number and a subscriber-calculated point of an elliptic curve. A variant of a digital signature algorithm, or DSA for short, namely an elliptic curve cryptography, ECDSA, is therefore used. The transmission of the DSA on elliptic curves is standardized in ANSI X9.62. This enables a high level of security with a minimal key length. The principle of the ECDSA is explained in Fig.2. The DSA is an exemplary standard for digital signatures. Other algorithms, for example an asymmetric cryptographic method, RSA, can also be used for digital signing. RSA uses a key pair consisting of a private key (the secret), which is used to decrypt or sign data, and a public key, which is used to encrypt or check signatures. The private key is kept secret and can only be calculated from the public key with a great deal of computing effort.
Bevorzugt ist der eMD das Ergebnis einer Streu wertfunktion aus einem teilnehmer- generierten öffentlichen Schlüssel und einem teilnehmerberechneten Punkt einer elliptischen Kurve, wobei der teilnehmergenerierte öffentliche Schlüssel von der teilnehmergenerierten Seriennummer abgeleitet ist. Über die jeweiligen Kurvenpa rameter haben sich die beteiligten Instanzen im Vorfeld des Signier-Verfahrens ge- einigt. In dieser Ausgestaltung verbleibt die teilnehmergenerierte Seriennummer beim Teilnehmer als ein Geheimnis (also ein privater Schlüssel) und dem Signatur- Herausgeber wird ein von der Seriennummer abgeleiteter öffentlicher Schlüssel be reitgestellt. Beispielsweise wird dieser öffentliche Schlüssel teilnehmerseitig dadurch generiert, dass die Seriennummer mit einem Basispunkt der elliptischen Kurve verknüpft wird, beispielsweise eine logische Verknüpfung oder eine einfache mathematische Operation, beispielsweise eine Multiplikation. Auf diese Weise kön nen erfindungsgemäß auch Teile eines geldwerten Betrags einer eMD von einem Teilnehmer auf einen anderen Teilnehmer übertragen werden, was später noch erläu- tert wird. Die Signatur wird dabei über den gesamten geldwerten Betrag der eMD erstellt, einen zweiten Teilnehmer berechtigt dies nach Übertragen der eMD noch nicht automatisch zum Besitzen des gesamten Betrags, da ihm die Kenntnis über der teilnehmergenerierten Seriennummer verborgen bleibt, wenn nur Teilbeträge über tragen werden sollen. The eMD is preferably the result of a scatter value function consisting of a subscriber-generated public key and a subscriber-calculated point of an elliptic curve, the subscriber-generated public key being derived from the subscriber-generated serial number. The parties involved have checked the respective curve parameters prior to the signing process. agrees. In this embodiment, the subscriber-generated serial number remains with the subscriber as a secret (i.e. a private key) and the signature issuer is provided with a public key derived from the serial number. For example, this public key is generated on the subscriber side by linking the serial number to a base point of the elliptic curve, for example a logical link or a simple mathematical operation, for example multiplication. In this way, parts of a monetary amount of an eMD can also be transferred from one subscriber to another subscriber, which will be explained later. The signature is created over the entire monetary amount of the eMD; a second participant does not automatically have the right to own the entire amount after transmitting the eMD, since knowledge of the participant-generated serial number remains hidden if only partial amounts are to be transferred.
Erfindungsgemäß ist nun zudem ein Verfahren zum Überprüfen einer blinden Signa tur eines eMD vorgesehen, wobei die blinde Signatur gemäß dem vorhergehenden Verfahren erzeugt wurde. Zum Überprüfen der Signatur wird der unsignierte, nicht verblendete (unverblendete) eMD und eine zum Erzeugen des eMD verwendete Se- riennummer und eine signierte nicht verblendete (unverblendete) eMD und die Her ausgeberinformation erhalten. Damit kann der vollständige geldwerte Betrag der eMD geprüft werden und bei erfolgreichem Überprüfen aufgrund der Kenntnis der (geheimen) Seriennummer den Besitzer wechseln. Im Unterschied zum bisherigen Überprüfen von blind signierten eMD, wird nun der eMD unter Verwendung der erhaltenen Seriennummer, des signierten unverblendeten eMD, der Herausgeberin formation und einem öffentlichen Schlüssel des Signatur-Herausgebers berechnet. Da die Herausgeberinformation auch unveränderlicher Teil der blinden Signatur ist, kann durch das Erhalten der (Klartext) Herausgeberinformation nun auch die blinde Signatur auf Korrektheit der Herausgeberinformation geprüft werden. Dabei erfolgt ein Vergleichen des berechneten eMD mit dem erhaltenen eMD und ein Verifizieren der Echtheit der blinden Signatur, wenn der berechnete eMD mit dem erhaltenen eMD übereinstimmt. According to the invention, a method for checking a blind signature of an eMD is now also provided, the blind signature being generated in accordance with the previous method. To verify the signature, the unsigned, unblended (unblended) eMD and a serial number used to generate the eMD and a signed unblanked (unblended) eMD and the publisher information are obtained. This means that the full monetary amount of the eMD can be checked and, if the check is successful, it changes hands based on knowledge of the (secret) serial number. In contrast to the previous verification of blindly signed eMD, the eMD is now calculated using the received serial number, the signed unblended eMD, the publisher information and a public key of the signature publisher. Since the publisher information is also an invariable part of the blind signature, the blind signature can now be checked for correctness of the publisher information by receiving the (plain text) publisher information. The calculated eMD is compared with the received eMD and the authenticity of the blind signature is verified if the calculated eMD matches the received eMD.
Bevorzugt ist der erhaltene eMD das Ergebnis einer Streuwertfunktion aus einer Verknüpfung einer teilnehmergenerierten Seriennummer mit einem Basispunkt und einem teilnehmerberechneten Punkt einer elliptischen Kurve, wobei vor dem Be rechnen der eMD ein teilnehmergenerierter öffentlicher Schlüssel von der teilneh mergenerierten Seriennummer abgeleitet wird. In dieser Ausgestaltung wurde die blinde Signatur der eMD mit dem teilnehmergenerierten öffentlichen Schlüssel an stelle der teilnehmergenerierten Seriennummer erstellt. Beispielsweise wird dieser öffentliche Schlüssel teilnehmerseitig dadurch generiert, dass die Seriennummer mit einem Basispunkt der elliptischen Kurve verknüpft wird, beispielsweise durch eine logische Verknüpfung oder eine einfache mathematische Operation, beispielsweise durch eine Multiplikation. Auf diese Weise können erfindungsgemäß auch Teile eines geldwerten Betrags einer eMD von einem Teilnehmer auf einen anderen Teil nehmer übertragen werden, was später noch erläutert wird. Die blinde Signatur wird dabei dennoch über den gesamten geldwerten Betrag der eMD erstellt. Zum Verifi- zieren der Echtheit der eMD muss dann der teilnehmergenerierte öffentliche Schlüs sel bereitgestellt werden. The eMD obtained is preferably the result of a scatter value function from a combination of a subscriber-generated serial number with a base point and a subscriber-calculated point of an elliptical curve, a subscriber-generated public key being derived from the subscriber-generated serial number before the eMD is calculated. In this configuration, the blind signature of the eMD with the participant-generated public key instead of the participant-generated serial number. For example, this public key is generated on the subscriber side in that the serial number is linked to a base point of the elliptic curve, for example by a logical link or a simple mathematical operation, for example by multiplication. In this way, according to the invention, parts of a monetary amount of an eMD can also be transferred from one subscriber to another subscriber, which will be explained later. The blind signature is nevertheless created over the entire monetary amount of the eMD. The subscriber-generated public key must then be provided to verify the authenticity of the eMD.
Beim bisher beschriebenen eMD ist ein geldwerter Betrag (=Maximalbetrag des eMD) mit der teilnehmergenerierten Seriennummer gekoppelt, das heißt die blinde Signatur des Herausgebers ist für den Gesamtbetrag des geldwerten Betrags gültig. Dies verhindert bislang das Senden von Teilen des geldwerten Gesamtbetrags von eMD, da die Signaturprüfung für Teilbeträge ungültig ist. Zudem wird mit der Über prüfung auch die Seriennummer (das Geheimnis) des eMD übertragen und bei er folgreichem Verifizieren ist das Geheimnis entlüftet und der geldwerte Betrag kann - ähnlich wie bei DigiCash - eingelöst werden. Nun ist es oft wünschenswert, die eMD zu teilen und nur Teilbeträge der signierten eMD zu übergeben. In the eMD described so far, a monetary amount (= maximum amount of the eMD) is linked to the subscriber-generated serial number, that is, the blind signature of the publisher is valid for the total amount of the monetary amount. So far, this has prevented parts of the total monetary amount from eMD from being sent, since the signature check for partial amounts is invalid. In addition, the verification also transmits the serial number (the secret) of the eMD and if it is successfully verified, the secret is vented and the monetary amount can be redeemed - similar to DigiCash. Now it is often desirable to share the eMD and only hand over partial amounts of the signed eMD.
Erfindungsgemäß ist dazu nun ein Verfahren zum Überprüfen einer blinden Signatur eines eMD vorgesehen, wobei die blinde Signatur ebenfalls nach dem zuvor be- schriebenen Verfahren erzeugt wurde. Erhalten wird dabei der eMD; ein zum Erzeu gen des eMD verwendeter teilnehmergenerierter öffentlicher Schlüssel; ein signierter unverblendeter eMD; ein geldwerter Teilbetrag der eMD; eine (echte) Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und einem weiteren teilnehmerge nerierten öffentlichen Schlüssel; das teilnehmergenerierte Geheimnis; und die Her- ausgeberinformation. According to the invention, a method for checking a blind signature of an eMD is now provided for this purpose, the blind signature likewise being generated according to the previously described method. The eMD is received; a subscriber-generated public key used to generate the eMD; a signed unblended eMD; a monetary portion of the eMD; a (real) signature via a link between the monetary component and another participant-generated public key; the subscriber-generated secret; and the publisher information.
Der geldwerte Teilbetrag ist ein Bruchteil des mit dem eMD verbundenen geldwer ten Gesamtbetrags. Dieser geldwerte Teilbetrag kann einen beliebigen Wert anneh men, er kann unrund sein und/oder er kann das Rückgeld in einem Bezahlvorgang sein. In dem Verfahren wird nun absichtlich die teilnehmergenerierte Seriennummer (das Geheimnis) nicht zum Überprüfen übertragen, um das Einlösen des Gesamtbe trages des eMD zu verhindern. Dementgegen wird ein neues (weiteres) Geheimnis teilnehmerseitig generiert, welches von der teilnehmergenerierten Seriennummer verschieden ist. Dieses teilnehmergenerierte Geheimnis wird zum Prüfen anstelle der teilnehmergenerierten Seriennummer übertragen. Zudem wird ein weiterer öffentli cher Schlüssel teilnehmerseitig von diesem Geheimnis abgeleitet. Dieses Ableiten ist beispielsweise eine mathematische Operation oder eine logische Verknüpfung des teilnehmergenerierten Geheimnisses mit einem Basispunkt (Generatorpunkt) oder einem alternativen vereinbarten Wert. The monetary amount is a fraction of the total monetary amount associated with the eMD. This monetary partial amount can take on any value, it can be out of round and / or it can be the change in a payment process. In the process, the subscriber-generated serial number (the secret) is now intentionally not transmitted for checking in order to prevent the entire amount of the eMD from being redeemed. In contrast, a new (further) secret is generated on the subscriber side, which is based on the subscriber generated serial number is different. This subscriber-generated secret is transmitted for checking instead of the subscriber-generated serial number. In addition, another public key on the subscriber side is derived from this secret. This derivation is, for example, a mathematical operation or a logical combination of the subscriber-generated secret with a base point (generator point) or an alternative agreed value.
Im Überprüfen- Verfahren erfolgt nach dem Erhalten- Schritt das Berechnen des wei teren öffentlichen Schlüssels aus dem erhaltenen teilnehmergenerierten Geheimnis. Dazu wird der vereinbarte Wert, beispielsweise ein Basispunkt, verwendet. Zudem erfolgt das Berechnen der Signatur aus der Verknüpfung aus dem geldwerten Teilbe trag und dem berechneten weiteren öffentlichen Schlüssel. Somit ist die (echte) Sig natur errechenbar und kann mit der erhaltenen (echten) Signatur verglichen werden. Hier wird der Teilbetrag echt signiert, das heißt ohne zusätzliche Verblendung, da sonst ein Empfänger des Teilbetrags die Echtheit und die korrekte Ableitung nicht verifizieren kann. In the checking process, after the receiving step, the further public key is calculated from the subscriber-generated secret received. The agreed value, for example a base point, is used for this. In addition, the signature is calculated from the combination of the monetary partial amount and the calculated further public key. Thus, the (real) Sig can be calculated naturally and can be compared with the (real) signature received. The partial amount is authentically signed here, that is, without additional blinding, since otherwise a recipient of the partial amount cannot verify the authenticity and the correct derivation.
Im darauffolgenden Überprüfen- Verfahren erfolgt sodann ein Vergleichen der be- rechneten echten Signatur mit der erhaltenen echten Signatur und so ein Verifizieren des Besitzes des geldwerten Teilbetrags. Auf diese Weise kann die Echtheit der er haltenen echten Signatur geprüft werden und es wird sichergestellt, dass das teil nehmergenerierte Geheimnis tatsächlich von dem Teilnehmer generiert wurde. Somit ist der Teilbetrag gültig. In the subsequent checking process, a comparison is then made between the calculated real signature and the received real signature and thus verification of the possession of the partial amount in money. In this way, the authenticity of the received real signature can be checked and it is ensured that the participant-generated secret was actually generated by the participant. The partial amount is therefore valid.
Schließlich wird der eMD berechnet unter Verwendung des teilnehmergenerierten öffentlichen Schlüssels, dem signierten unverblendeten eMD, der Herausgeberin formation und einem öffentlichen Schlüssel des Signatur-Herausgebers. Schließlich erfolgt ein Vergleichen des berechneten eMD mit dem erhaltenen eMD und ein Veri- fizieren der Echtheit der blinden Signatur, wenn der berechnete eMD mit dem erhal tenen eMD übereinstimmt. Während dieses Berechnens und Verifizierens kann nicht auf die teilnehmergenerierte Seriennummer des eMD geschlossen werden, sodass zwar die blinde Signatur geprüft werden kann, allerdings der volle geldwerte Betrag der eMD nicht entschlüsselt werden kann. Lediglich der mit der echten Signatur be- stätigte Teilbetrag kann so übertragen werden und vom Empfänger (Teilnehmer, Prüfinstanz) weiterverwendet werden. Bevorzugt erfolgt das Überprüfen durch den Signatur-Herausgeber oder einer, von dem Signatur-Herausgeber verschiedenen, Prüfinstanz. Darin kann ein wesentlicher Vorteil des Verfahrens gesehen werden, denn der Teilnehmer ist nun nicht gezwun gen, seinen eMD bei dem Signatur-Herausgeber überprüfen zu lassen, wodurch we- niger Rückschlüsse auf das Bezahlverhalten eines Teilnehmers gezogen werden können und die Anonymität erhöht wird. Finally, the eMD is calculated using the subscriber-generated public key, the signed uncovered eMD, the publisher information and a public key of the signature publisher. Finally, the calculated eMD is compared with the received eMD and the authenticity of the blind signature is verified if the calculated eMD matches the received eMD. During this calculation and verification, the participant-generated serial number of the eMD cannot be concluded, so that the blind signature can be checked, but the full monetary amount of the eMD cannot be decrypted. Only the partial amount confirmed with the real signature can be transferred in this way and used by the recipient (participant, inspection body). The verification is preferably carried out by the signature publisher or by a test body different from the signature issuer. This can be seen as a major advantage of the method, because the participant is now not forced to have his eMD checked by the signature issuer, which means less conclusions can be drawn about the payment behavior of a participant and anonymity is increased.
Bevorzugt wird beim Überprüfen auch die Herausgeberinformation verifiziert. So kann festgestellt werden, ob die Herausgeberinformation in der eMD verändert wur- de und ein Manipulationsversuch unternommen wurde. The publisher information is preferably also verified during the checking. In this way it can be determined whether the publisher information in the eMD has been changed and a manipulation attempt has been made.
Bevorzugt wurde die blinde Signatur mit einem ECDSA erzeugt, wobei zum Über prüfen der blinden Signatur die im ECDSA vereinbarte Kurvenparameter der ellipti schen Kurve bereitgestellt werden. The blind signature was preferably generated with an ECDSA, with the curve parameters of the elliptical curve agreed in the ECDSA being provided for checking the blind signature.
In einem anderen Aspekt der Erfindung umfasst ein Bezahlsystem zum Übertragen eines elektronischen Münzdatensatzes zwischen zumindest zwei Teilnehmern einen ersten Teilnehmer zum Erzeugen eines unsignierten verblendeten eMD; einen Signa turherausgeber zum Erzeugen einer blinden Signatur gemäß dem vorhergehend be- schriebenen Verfahren und einen zweiten Teilnehmer zum Erhalten des erzeugten eMD, eines signierten unverblendeten eMD und einer zum Erzeugen des eMD ver wendeten Seriennummer. In another aspect of the invention, a payment system for transmitting an electronic coin data record between at least two participants comprises a first participant for generating an unsigned, blinded eMD; a signature issuer for generating a blind signature according to the previously described method and a second subscriber for receiving the generated eMD, a signed unblended eMD and a serial number used for generating the eMD.
In einer bevorzugten Ausgestaltung überprüft der zweite Teilnehmer den erhaltenen erzeugten eMD, den signierten unverblendeten eMD und die zum Erzeugen des eMD verwendeten Seriennummer mittels dem zuvor beschrieben Überprüfen- Verfahren. In a preferred embodiment, the second participant checks the received generated eMD, the signed unblended eMD and the serial number used to generate the eMD using the previously described checking method.
Bevorzugt ist der eMD das Ergebnis einer Streuwertfunktion aus einer Verknüpfung eines teilnehmergenerierten öffentlichen Schlüssels mit einem teilnehmerberechne ten Punkt. Dabei ist der teilnehmergenerierte öffentliche Schlüssel von der teilneh mergenerierten Seriennummer abgeleitet. Auf diese Weise wird nicht die teilneh mergenerierte Seriennummer versendet, sondern ein davon abgeleiteter öffentlicher Schlüssel, wodurch eine Teilbarkeit eines eMD ermöglicht wird. The eMD is preferably the result of a scatter value function from a link between a subscriber-generated public key and a subscriber-calculated point. The subscriber-generated public key is derived from the subscriber-generated serial number. In this way, the participant-generated serial number is not sent, but a public key derived from it, which enables an eMD to be split.
In einem Aspekt der Erfindung wird die gestellte Aufgabe durch ein Verfahren zum Erhalten einer blinden Signatur für einen elektronischen Münzdatensatz, eMD in einem Teilnehmer gelöst. Dieses Verfahren umfasst die Verfahrensschritte: Erzeu- gen eines öffentlichen Schlüssels aus einer teilnehmergenerierten Seriennummer durch den Teilnehmer; Erzeugen eines eMD unter Verwendung des erzeugten öf fentlichen Schlüssels durch den Teilnehmer; Verblenden des erzeugten eMD zum Erhalten eines verblendeten unsignierten eMD durch den Teilnehmer; Senden des verblendeten unsignierten eMD von dem Teilnehmer zu einem Signatur- Herausgeber; Erhalten eines signierten verblendeten eMD von dem Signatur- Herausgeber durch den Teilnehmer; und Entfernen der Verblendung zum Erhalten eines signierten unverblendeten eMD durch den Teilnehmer. Das teilnehmerseitige Erzeugen des öffentlichen Schlüssels aus einer teilnehmerge nerierten Seriennummer durch den Teilnehmer wurde bereits mehrfach erläutert. Dabei wird ein im Verfahren zwischen den Teilnehmern, dem Signatur-Herausgeber und/oder der Prüfinstanz bereits vereinbarter Wert verwendet. Der Wert ist bei spielsweise ein Basispunkt der elliptischen Kurve. Dieser vereinbarte Wert wird lo- gisch mit der teilnehmergenerierten Seriennummer verknüpft, beispielsweise über eine logische Verknüpfung, wie AND; OR; XOR; NAND; NOR, oder über eine ein fache mathematische Operation, beispielsweise eine Multiplikation oder eine Additi on. Bevorzugt umfasst der Schritt des Erzeugens des eMD die Schritte: Errechnen eines Punktes einer elliptischen Kurve unter Verwendung von vereinbarten Kurvenpara metern; Verknüpfen des errechneten Punktes mit dem erzeugten öffentlichen Schlüs sel; Berechnen einer Streu wertfunktion aus der Verknüpfung aus errechne tem Punkt und dem erzeugten öffentlichen Schlüssel, wobei das Ergebnis der Streu wertfunktion der eMD ist. In one aspect of the invention, the object is achieved by a method for obtaining a blind signature for an electronic coin data record, eMD, in a subscriber. This process comprises the process steps: gene of a public key from a subscriber-generated serial number by the subscriber; Generating an eMD using the generated public key by the subscriber; Blending the generated eMD to obtain a blended unsigned eMD by the participant; Sending the blinded unsigned eMD from the subscriber to a signature publisher; The subscriber receiving a signed, blinded eMD from the signature publisher; and removing the bezel to obtain a signed unblanked eMD by the subscriber. The subscriber-side generation of the public key from a subscriber-generated serial number by the subscriber has already been explained several times. A value already agreed in the procedure between the participants, the signature issuer and / or the testing authority is used. For example, the value is a base point of the elliptic curve. This agreed value is logically linked to the subscriber-generated serial number, for example via a logical link, such as AND; OR; XOR; NAND; NOR, or via a simple mathematical operation, for example a multiplication or an addition. The step of generating the eMD preferably comprises the steps of: calculating a point of an elliptical curve using agreed curve parameters; Linking the calculated point with the generated public key; Calculate a scatter value function from the combination of the calculated point and the generated public key, the result of the scatter value function being the eMD.
Zum Erhalten der blinden Signatur wird nun der abgeleitete öffentliche Schlüssel verwendet anstelle der teilnehmergenerierten Seriennummer. Diese teilnehmergene rierte Seriennummer ist demnach für den Signatur-Herausgeber geheim und bleibt geheim. The derived public key is now used to obtain the blind signature instead of the subscriber-generated serial number. This subscriber-generated serial number is therefore secret for the signature publisher and remains secret.
Dieses Verfahren ermöglicht es, dass der eMD nicht mit seinem vollen geldwerten Betrag (Maximalbetrag des eMD) zwischen Teilnehmern übertragen werden muss, sondern, dass auch beliebige Teilbeträge von dem vollen geldwerten Betrag abgelei- tet und übertragen werden können. This method makes it possible that the eMD does not have to be transferred between participants with its full monetary amount (maximum amount of the eMD), but that any partial amounts can also be derived and transferred from the full monetary amount.
In einer bevorzugten Ausgestaltung ist der erhaltene signierte verblendete eMD ein, mit einer Herausgeberinformation erweiterter signierter verblendeter eMD. Dabei ist insbesondere die zum Erweitern des unsignierten verblendeten eMD verwendete Herausgeberinformation das Ergebnis einer Streuwertfunktion mit einem Herausge berwert, wobei der Herausgeberwert als die Herausgeberinformation gesendet wird und der Teil der blinden Signatur ist. Der Herausgeberwert ist bevorzugt ein Zeit- wert, eine Identifikation des Herausgebers und/oder ein herausgebergenerierter Wert. In a preferred embodiment, the signed, blinded eMD obtained is a signed, blinded eMD that is expanded with a publisher's information. It is In particular, the publisher information used to expand the unsigned, blinded eMD is the result of a scatter value function with a publisher, the publisher value being sent as the publisher information and being part of the blind signature. The publisher value is preferably a time value, an identification of the publisher and / or a publisher-generated value.
In einer bevorzugten Ausgestaltung wird zusammen mit dem erweiterten signierten verblendeten eMD die Herausgeberinformation erhalten, wobei bevorzugt die Her ausgeberinformation unabhängig von der signierten verblendeten eMD als eigen- ständige Information bereitgestellt wird. In a preferred embodiment, the publisher information is obtained together with the expanded, signed, blinded eMD, with the publisher information preferably being provided as independent information, independently of the signed, blinded eMD.
Diese Herausgeberinformation und das entsprechende Erweitern des signierten ver blendeten eMD sind bereits oben ausführlich beschrieben worden. Auf diese Be schreibung wird ausdrücklich Bezug genommen. Die Herausgeberinformation dient also dazu, das blinde Signieren transparenter auszugestalten, indem (vom Teilneh mer) nicht manipulierbare, nicht-geheime Herausgeberinformationen Teil der blin den Signatur werden und geprüft werden können. This publisher information and the corresponding expansion of the signed, blended eMD have already been described in detail above. Reference is expressly made to this description. The publisher information thus serves to make the blind signing more transparent by (non-manipulable, non-manipulable, non-secret publisher information from the participant) becoming part of the blinking signature and can be checked.
In einer bevorzugten Ausgestaltung ist ein Verfahren zum Ableiten eines geldwerten Teilbetrags eines signierten verblendeten eMD in einem Teilnehmer vorgesehen. Der eMD ist dabei gemäß dem vorherig beschriebenen Verfahren erhalten. Dieses Ablei- ten-Verfahren umfasst die Schritte: Erzeugen eines teilnehmergenerierten Geheim nisses und eines weiteren öffentlichen Schlüssels aus dem teilnehmergenerierten Geheimnis durch den Teilnehmer; Festlegen eines geldwerten Teilbetrags des eMD; und Errechnen einer Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und dem weiteren öffentlichen Schlüssel. In a preferred embodiment, a method is provided for deriving a monetary partial amount of a signed, blinded eMD in a subscriber. The eMD is preserved according to the procedure described above. This deriving method comprises the steps: generation by the subscriber of a subscriber-generated secret and a further public key from the subscriber-generated secret; Determination of a partial monetary amount of the eMD; and calculating a signature via a link from the monetary partial amount and the further public key.
Der Teilbetrag kann beliebig festgelegt werden. Er kann das Rückgeld in einer Be zahltransaktion sein oder ein x-beliebiger Wert sein. The partial amount can be determined arbitrarily. It can be the change in a payment transaction or it can be any value.
Das teilnehmergenerierte Geheimnis ist von der teilnehmergenerierten Seriennum mer verschieden und wird anstelle der Seriennummer verwendet, um zwischen Teil nehmern geldwerte Beträge zu übertragen. Dabei kann in vorteilhafter Weise anstelle des vollen geldwerten Betrages des eMD lediglich ein Teilbetrag übertragen werden. Mit diesem Ableiten wird also eine bereits blind signierte eMD für das Übertragen von geldwerten Teilbeträgen eingerichtet. Das Erzeugen des teilnehmergenerierten Geheimnisses kann sowohl von einem ers ten Teilnehmer erfolgen, wenn er einen Teilbetrag von dem Gesamtbetrag abteilen möchte. Bevorzugt erfolgt dieses Erzeugen durch einen weiteren Teilnehmer, der die teilnehmergenerierte Seriennummer nicht generiert hat. Somit kann ein Teilbetrag auch von einem beliebigen weiteren Teilnehmer abgeteilt werden, der die eMD legi tim erworben hat. Auf diese Weise können eMDs geteilt werden, wobei dennoch die blinde Signatur des eMD gültig bleibt. Zudem können nun Bezahlvorgänge mittels eMD ermöglicht werden, bei denen der eMD Empfänger (Bezahlte) einen abgeteil ten eMD zurücksenden kann, beispielsweise vergleichbar zu Rückgeld oder Wech- selgeld im Bargeldverkehr oder im Rahmen einer Rabattaktion. The subscriber-generated secret is different from the subscriber-generated serial number and is used instead of the serial number to transfer monetary amounts between subscribers. In this case, only a partial amount can advantageously be transferred instead of the full monetary amount of the eMD. With this derivation, an already blindly signed eMD is set up for the transfer of monetary partial amounts. The generation of the subscriber-generated secret can be done by a first subscriber if he wants to divide a partial amount from the total amount. This generation is preferably carried out by a further subscriber who has not generated the subscriber-generated serial number. This means that a partial amount can also be divided by any other participant who has acquired the eMD legit. In this way, eMDs can be shared, but the blind signature of the eMD remains valid. In addition, payment processes using eMD can now be enabled, in which the eMD recipient (paid) can send back a compartmentalized eMD, for example comparable to change or change in cash transactions or as part of a discount campaign.
Bevorzugt ist der weitere öffentliche Schlüssel eine Verknüpfung eines Basispunkts der elliptischen Kurve mit dem teilnehmergenerierten Geheimnis. Diese Verknüp fung ist beispielsweise eine logische Verknüpfung oder eine einfache mathematische Operation, wodurch der Rechenaufwand minimiert wird, ohne die Sicherheit und Manipulationsfestigkeit des Verfahrens zu gefährden. Alternativ zum Basispunkt kann auch ein anderer vereinbarter Wert verwendet werden. The further public key is preferably a link between a base point of the elliptic curve and the subscriber-generated secret. This linkage is, for example, a logical linkage or a simple mathematical operation, as a result of which the computation effort is minimized without endangering the security and manipulation resistance of the method. As an alternative to the base point, another agreed value can be used.
In einer bevorzugten Ausgestaltung umfasst das Ableiten weiter das Erzeugen eines zweiten teilnehmergenerierten Geheimnisses und eines zweiten weiteren öffentlichen Schlüssels aus dem zweiten teilnehmergenerierten Geheimnis durch den Teilnehmer oder einen anderen Teilnehmer; Festlegen eines zweiten geldwerten Teilbetrags des eMD, wobei der zweite geldwerte Teilbetrag kleiner ist als der geldwerte Teilbetrag und Errechnen einer zweiten Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und dem zweiten weiteren öffentlichen Schlüssel. In a preferred embodiment, the derivation further comprises generating a second subscriber-generated secret and a second further public key from the second subscriber-generated secret by the subscriber or another subscriber; Determination of a second monetary partial amount of the eMD, the second monetary partial amount being smaller than the monetary partial amount and calculation of a second signature by linking the monetary partial amount and the second further public key.
Das Erzeugen des zweiten teilnehmergenerierten Geheimnisses kann sowohl von dem ersten Teilnehmer erfolgen, wenn er einen Teilbetrag weiter aufteilen möchte. Bevorzugt erfolgt dieses Erzeugen durch einen Teilnehmer, der das (erste) teilneh- mergenerierte Geheimnis nicht generiert hat. Somit kann der Teilbetrag auch von einem beliebigen weiteren Teilnehmer weiter geteilt werden. Auf diese Weise kön nen eMDs mehrfach geteilt werden, wobei dennoch die blinde Signatur gültig bleibt. Zudem können nun Bezahlvorgänge mittels eMD ermöglicht werden, bei denen der eMD Empfänger (Bezahlte) einen geteilten eMD zurücksenden kann, beispielsweise vergleichbar zu Rückgeld oder Wechselgeld im Bargeldverkehr oder im Rahmen einer Rabattaktion. Der zweite Teilbetrag kann beliebig festgelegt werden, also ein x-beliebiger Wert kleiner dem (ersten) Teilbetrag sein. Bevorzugt ist der zweite weitere öffentliche Schlüssel eine Verknüpfung eines Ba sispunkts der elliptischen Kurve mit dem zweiten teilnehmergenerierten Geheimnis. Diese Verknüpfung ist beispielsweise eine logische Verknüpfung oder eine einfache mathematische Operation, wodurch der Rechenaufwand minimiert wird, ohne die Sicherheit und Manipulationsfestigkeit des Verfahrens zu gefährden. Alternativ zum Basispunkt kann auch ein anderer vereinbarter Wert verwendet werden. The second subscriber-generated secret can be generated by the first subscriber if he would like to further split a partial amount. This generation is preferably carried out by a subscriber who has not generated the (first) subscriber-generated secret. This means that the partial amount can also be shared by any other participant. In this way, eMDs can be shared several times, although the blind signature remains valid. In addition, payment processes using eMD can now be enabled, in which the eMD recipient (paid) can send back a shared eMD, for example comparable to change or change in cash transactions or as part of a discount campaign. The second partial amount can be set as desired, i.e. it can be any value less than the (first) partial amount. The second further public key is preferably a link between a base point of the elliptic curve and the second subscriber-generated secret. This link is, for example, a logical link or a simple mathematical operation, as a result of which the computation effort is minimized without endangering the security and manipulation resistance of the method. As an alternative to the base point, another agreed value can be used.
In einer bevorzugten Ausgestaltung ist ein Verfahren zum Überprüfen einer blinden Signatur eines eMD vorgesehen, wobei die blinde Signatur gemäß dem oben be schriebenen Verfahren erhalten wurde. Das Überprüfen umfasst die folgenden Schritte: Erhalten des eMD, einer zum Erzeugen des eMD verwendeten Seriennum mer und eines signierten unverblendeten eMD. Da die Seriennummer und nicht der davon abgeleitete öffentliche Schlüssel erhalten wird, kann nun der gesamte geld- werte Betrag der eMD geprüft, entschlüsselt und übertragen werden. Das Übertragen der Seriennummer ermöglicht generell die Verfügung über den gesamten geldwerten Betrag. Zum Überprüfen wird der öffentliche Schlüssel aus der teilnehmergenerier ten Seriennummer berechnet. Zudem wird der eMD unter Verwendung des berech neten öffentlichen Schlüssels, des signierten unverblendeten eMD und einem öffent lichen Schlüssel des Signatur-Herausgebers berechnet. Es gilt zu beachten, dass der berechnete öffentliche Schlüssel zum Verifizieren verwendet wird anstelle der Se- riennummer, denn in diesem Aspekt der Erfindung bleibt die Seriennummer dem Signatur-Herausgeber verborgen und die blinde Signatur wird über den öffentlichen Schlüssel erstellt. Zum Prüfen der Signatur ist dann der berechnete öffentliche Schlüssel zu verwenden. Schließlich wird der berechnete eMD mit dem erhaltenen eMD verglichen und die Echtheit der blinden Signatur verifiziert, wenn der berechnete eMD mit dem erhalte nen eMD übereinstimmt. In a preferred embodiment, a method for checking a blind signature of an eMD is provided, the blind signature being obtained in accordance with the method described above. Verification includes the following steps: Obtaining the eMD, a serial number used to generate the eMD, and a signed uncovered eMD. Since the serial number and not the public key derived from it is received, the entire monetary amount of the eMD can now be checked, decrypted and transmitted. The transfer of the serial number generally enables the disposal of the entire monetary amount. For verification purposes, the public key is calculated from the subscriber-generated serial number. In addition, the eMD is calculated using the calculated public key, the signed uncovered eMD and a public key of the signature issuer. It should be noted that the calculated public key is used for verification instead of the serial number, because in this aspect of the invention the serial number remains hidden from the signature issuer and the blind signature is created via the public key. The calculated public key must then be used to check the signature. Finally, the calculated eMD is compared with the received eMD and the authenticity of the blind signature is verified if the calculated eMD matches the received eMD.
In einer bevorzugten Ausgestaltung ist ein weiteres Verfahren zum Überprüfen einer blinden Signatur eines eMD vorgesehen, bei dem ebenfalls die blinde Signatur nach einem vorhergehend beschriebenen Verfahren erzeugt/erhalten wurde. Das weitere Verfahren umfasst: Erhalten des eMD, des teilnehmergenerierten öffentlichen Schlüssel, eines signierten unverblendeten eMD, eines geldwerten Teilbetrag der eMD, einer Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und ei- nes weiteren teilnehmergenerierten öffentlichen Schlüssel; und eines teilnehmerge nerierten Geheimnisses. Der Teilbetrag ist bevorzugt der oben erwähnte (erste) Teil betrag des geldwerten Gesamtbetrags. Nun erfolgt ein Berechnen des weiteren öf fentlichen Schlüssels aus dem teilnehmergenerierten Geheimnis; ein Berechnen der Signatur über die Verknüpfung aus dem geldwerten Teilbetrag und dem berechneten weiteren teilnehmergenerierten öffentlichen Schlüssel; ein Vergleichen der berech neten Signatur mit der erhaltenen Signatur und ein Verifizieren der Echtheit des geldwerten Teilbetrags; und das bereits oben beschriebene Berechnen des eMD unter Verwendung des erhaltenen öffentlichen Schlüssels, des signierten unverblendeten eMD und einem öffentlichen Schlüssel des Signatur-Herausgebers, sodass - wie be reits erwähnt - der berechneten eMD mit dem erhaltenen eMD verglichen werden kann und die Echtheit der blinden Signatur verglichen wird, wenn der berechnete eMD mit dem erhaltenen eMD übereinstimmt. In a preferred embodiment, a further method for checking a blind signature of an eMD is provided, in which the blind signature was also generated / obtained according to a previously described method. The further method comprises: obtaining the eMD, the subscriber-generated public key, a signed unblended eMD, a monetary partial amount of the eMD, a signature via a link from the monetary partial amount and another subscriber-generated public key; and a participant-generated secret. The partial amount is preferably the above-mentioned (first) partial amount of the total monetary amount. Now the further public key is calculated from the subscriber-generated secret; a calculating the Signature using the link between the monetary partial amount and the calculated further subscriber-generated public key; comparing the calculated signature with the received signature and verifying the authenticity of the monetary partial amount; and the calculation of the eMD already described above using the received public key, the signed unblended eMD and a public key of the signature issuer, so that - as already mentioned - the calculated eMD can be compared with the received eMD and the authenticity of the blind Signature is compared when the calculated eMD matches the received eMD.
Das weitere Verfahren ermöglicht somit das Verifizieren der Echtheit des eMD an hand des gesamten Geldbetrags, so wie sie von dem Signatur-Herausgeber (blind) signiert wurde. Zudem kann der Teilbetrag verifiziert werden und für weitere Be zahlvorgänge verwendet werden. Dabei muss das teilnehmergenerierte Geheimnis nicht von dem Teilnehmer generiert worden sein, der die Seriennummer generiert hat, wodurch eine übertragene eMD weiter teilbar ist ohne neu signiert werden zu müssen. The further method thus enables the authenticity of the eMD to be verified on the basis of the total amount of money, as it was signed (blindly) by the signature issuer. The partial amount can also be verified and used for other payment transactions. The subscriber-generated secret need not have been generated by the subscriber who generated the serial number, as a result of which a transmitted eMD can be further divided without having to be re-signed.
In einer bevorzugten Ausgestaltung ist noch ein weiteres Verfahren zum Überprüfen einer blinden Signatur eines eMD vorgesehen, bei dem ebenfalls die blinde Signatur nach einem vorhergehend beschriebenen Verfahren erzeugt/erhalten wurde. Das noch weitere Verfahren umfasst die Verfahrensschritten: Erhalten des eMD, des teil nehmergenerierten öffentlichen Schlüssels, eines signierten unverblendeten eMD, eines geldwerten Teilbetrags der eMD, einer Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und einem weiteren teilnehmergenerierten öffentlichen Schlüssels, des weiteren teilnehmergenerierten öffentlichen Schlüssels; eines zwei ten geldwerten Teilbetrag der eMD; einer zweiten Signatur über eine Verknüpfung aus dem zweiten geldwerten Teilbetrag und einem zweiten weiteren teilnehmergene rierten öffentlichen Schlüssel; und eines zweiten teilnehmergenerierten Geheimnis- ses. Zu beachten ist, dass das (erste) teilnehmergenerierte Geheimnis und auch die Seriennummer nicht erhalten werden, da deren Weitergabe auch den Besitz des (ers ten) geldwerten Teilbetrags oder des geldwerten Gesamtbetrags ermöglichen wür den. Der zweite Teilbetrag ist bevorzugt der oben erwähnte zweite Teilbetrag des geldwerten Gesamtbetrags, der kleiner ist als der (erste) Teilbetrag. In a preferred embodiment, a further method for checking a blind signature of an eMD is provided, in which the blind signature was also generated / obtained according to a previously described method. The still further method comprises the procedural steps: obtaining the eMD, the subscriber-generated public key, a signed unblended eMD, a monetary partial amount of the eMD, a signature via a link from the monetary partial amount and another subscriber-generated public key, the further subscriber-generated public key ; a second partial monetary amount of the eMD; a second signature via a combination of the second monetary partial amount and a second further subscriber-generated public key; and a second subscriber-generated secret. It should be noted that the (first) participant-generated secret and also the serial number are not received, since their disclosure would also enable the (first) monetary partial amount or the total monetary amount to be held. The second partial amount is preferably the above-mentioned second partial amount of the total monetary amount, which is smaller than the (first) partial amount.
Es erfolgt ein Berechnen des zweiten weiteren öffentlichen Schlüssels aus dem zwei ten teilnehmergenerierten Geheimnis; ein Berechnen der zweiten Signatur über die Verknüpfung aus dem geldwerten Teilbetrag und dem berechneten zweiten weiteren teilnehmergenerierten öffentlichen Schlüssel; ein Vergleichen der berechneten zwei ten Signatur mit der erhaltenen zweiten Signatur und Verifizieren der Echtheit des zweiten geldwerten Teilbetrags. Zudem erfolgt das bereits erwähnte Berechnen der Signatur über die Verknüpfung aus dem geldwerten Teilbetrag und dem berechneten weiteren teilnehmergenerierten öffentlichen Schlüssel; das Vergleichen der berechneten Signatur mit der erhaltenen Signatur und das Verifizieren der Echtheit des geldwerten Teilbetrags; das Berech nen der eMD unter Verwendung des erhaltenen öffentlichen Schlüssels, der signier- ten unverblendeten eMD und einem öffentlichen Schlüssel des Signatur- Herausgebers; das Vergleichen der berechneten eMD mit dem erhaltenen eMD und Verifizieren der Echtheit der blinden Signatur, wenn der berechnete eMD mit dem erhaltenen eMD übereinstimmt. Bevorzugt werden der (erste) geldwerte Teilbetrag und die (erste) Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und einem weiteren teilnehmergene rierten öffentlichen Schlüssel gemäß dem oben beschriebenen Ableiten- Verfahren von einem Teilnehmer erstellt. Der Teilnehmer muss nicht der Teilnehmer sein, der die Seriennummer generiert hat. Dies ermöglicht ein Teilen des eMD unter voller Gültigkeit der blinden Signatur. The second further public key is calculated from the second subscriber-generated secret; calculating the second signature via the linkage from the monetary partial amount and the calculated second additional one subscriber generated public key; comparing the calculated second signature with the received second signature and verifying the authenticity of the second monetary partial amount. In addition, the aforementioned calculation of the signature takes place via the link from the monetary partial amount and the calculated further subscriber-generated public key; comparing the calculated signature with the received signature and verifying the authenticity of the monetary partial amount; calculating the eMD using the received public key, the signed uncovered eMD and a public key of the signature issuer; comparing the calculated eMD with the received eMD and verifying the authenticity of the blind signature if the calculated eMD matches the received eMD. The (first) monetary partial amount and the (first) signature are created by a subscriber by linking the monetary partial amount and a further subscriber-generated public key in accordance with the derivation method described above. The participant does not have to be the participant who generated the serial number. This enables the eMD to be shared with the blind signature fully valid.
Bevorzugt werden der zweite geldwerte Teilbetrag und die zweite Signatur über eine Verknüpfung aus dem zweiten geldwerten Teilbetrag und einem zweiten weiteren teilnehmergenerierten öffentlichen Schlüssel gemäß dem oben beschriebenen Ablei- ten- Verfahren von einem Teilnehmer erstellt. The second monetary partial amount and the second signature are preferably created by a subscriber by linking the second monetary partial amount and a second further subscriber-generated public key in accordance with the derivation method described above.
Bevorzugt wird im Erhalten-Schritt zudem die Herausgeberinformation erhalten und diese wird im Berechnen- Schritt zum Berechnen des eMD ebenfalls verwendet wer den. The publisher information is preferably also obtained in the receive step and this is also used in the calculate step for calculating the eMD.
Bevorzugt wird das Überprüfen durch den Signatur-Herausgeber oder einer, von dem Signatur-Herausgeber verschiedene, Prüfinstanz, beispielsweise auch einem weiteren Teilnehmer durchgeführt. The verification is preferably carried out by the signature issuer or a testing entity other than the signature issuer, for example also another participant.
Bevorzugt wird beim Überprüfen auch die Herausgeberinformation verifiziert. Die blinde Signatur wird bevorzugt mit einem Elliptische-Kurven- Signieralgorithmus, ECDSA, erzeugt und zum Prüfen der blinden Signatur werden vereinbarte Kurvenparameter der elliptischen Kurve bereitgestellt. In einem weiteren Aspekt der Erfindung ist ein Bezahlsystem zum Übertragen eines elektronischen Münzdatensatzes, eMD zwischen zumindest zwei Teilnehmern vor gesehen. Das Bezahlsystem umfasst einen ersten Teilnehmer zum Erhalten einer blinden Signatur für einen eMD gemäß dem beschrieben Erhalten-Verfahren; einen Signatur-Herausgeber zum Erzeugen der blinden Signatur und einem zweiten Teil- nehmer zum Erhalten des erzeugten eMD, eines signierten unverblendeten eMD und einer zum Erzeugen des eMD verwendeten Seriennummer. The publisher information is preferably also verified during the checking. The blind signature is preferably generated with an elliptical curve signing algorithm, ECDSA, and agreed curve parameters of the elliptical curve are provided for checking the blind signature. In a further aspect of the invention, a payment system for transmitting an electronic coin data record, eMD, is provided between at least two participants. The payment system comprises a first participant for obtaining a blind signature for an eMD according to the described receiving method; a signature issuer for generating the blind signature and a second participant for receiving the generated eMD, a signed unblended eMD and a serial number used for generating the eMD.
Das Bezahlsystem umfasst zudem, dass der zweite Teilnehmer den erhaltenen er zeugten eMD, den signierten unverblendeten eMD und die zum Erzeugen des eMD verwendeten Seriennummer überprüft. Dabei ist vorgesehen, dass der zweite Teil nehmer das Geheimnis generiert und den Teilbetrag sowie die zu dem Teilbetrag gehörige ableitet. Dieser Teilbetrag wird in einem Bezahlverfahren verwendet, wo bei die blinde Signatur über den eMD gültig bleibt. Ein eMD ist insbesondere ein elektronischer Datensatz, der einen geldwerten Betrag repräsentiert und umgangssprachlich auch als„digitale Münze” oder„elektronische Münze” bezeichnet wird. Das Recht an diesem geldwerten Betrag wechselt bei dem Verfahren von einem ersten Konto zu einem anderen Konto. Als ein geldwerter Be trag wird im Folgenden ein digitaler Betrag verstanden, der auf einem Konto eines Geldinstituts gutgeschrieben werden kann. Der eMD repräsentiert also Bargeld in elektronischer Form. The payment system also includes the second participant checking the received generated eMD, the signed unblended eMD and the serial number used to generate the eMD. It is provided that the second participant generates the secret and derives the partial amount and the one belonging to the partial amount. This partial amount is used in a payment process where the blind signature via the eMD remains valid. An eMD is in particular an electronic data record that represents a monetary amount and is also colloquially referred to as a “digital coin” or “electronic coin”. The right to this monetary amount changes in the process from a first account to another account. In the following, a monetary amount is understood to be a digital amount that can be credited to an account of a financial institution. The eMD therefore represents cash in electronic form.
Die eMD unterscheiden sich wesentlich von elektronischen Datensätzen zum Daten austausch oder Datentransfer, da beispielsweise eine klassische Datentransaktion auf Basis eines Frage-Antwort-Prinzips bzw. auf einer Interkommunikation zwischen den Datentransferpartnern stattfindet. EMD kennzeichnen sich dementgegen durch Einmaligkeit, Eindeutigkeit und Sicherheitsmerkmale (Signaturen, Verschlüsselun gen) aus. In einem eMD sind prinzipiell alle Daten enthalten, die für eine empfan gende Instanz bezüglich Verifikation, Authentisierung und Weitergeben an andere Instanzen benötigt werden. Eine Interkommunikation ist daher bei dieser Art Da tensätze grundsätzlich nicht erforderlich. Ausnahmen bilden die Wechselgeld- Bezahltransaktionen. Zur Übertragung kann ein Sicherheitselement in einem Endgerät eines Teilnehmers vorgesehen sein. Ein Sicherheitselement ist bevorzugt eine spezielle Software, insbe sondere in Form einer abgesicherten Laufzeitumgebung innerhalb eines Betriebssys tems eines Endgeräts, englisch Trusted Execution Environments, TEE. Alternativ ist das Sicherheitselement beispielsweise als spezielle Hardware, insbesondere in Form eines gesicherten Hardware-Plattform-Moduls, englisch Trusted Platform Module, TPM oder als ein eingebettetes Sicherheitsmodul, cUICC, eSIM, ausgebildet. Das Sicherheitselement stellt eine vertrauenswürdige Umgebung bereit und sichert bei spielsweise auch eine Machine-2-Machine, M2M Anwendung ab. The eMD differ significantly from electronic data records for data exchange or data transfer because, for example, a classic data transaction takes place on the basis of a question-answer principle or on intercommunication between the data transfer partners. In contrast, EMD are characterized by uniqueness, uniqueness and security features (signatures, encryption). In principle, an eMD contains all the data required for a receiving entity with regard to verification, authentication and forwarding to other entities. Intercommunication is therefore generally not necessary with this type of data record. Exceptions are the change payment transactions. A security element can be provided in a subscriber's terminal for transmission. A security element is preferably a special software, in particular in the form of a secure runtime environment within an operating system of a terminal device, English Trusted Execution Environments, TEE. Alternatively, the security element is designed, for example, as special hardware, in particular in the form of a secured hardware platform module, English Trusted Platform Module, TPM or as an embedded security module, cUICC, eSIM. The security element provides a trustworthy environment and, for example, also secures a machine-2-machine, M2M application.
Die Kommunikation zwischen zwei Endgeräten bzw. Sicherheitselement kann kon taktlos oder kontaktbehaftet erfolgen und kann als ein gesicherter Kanal ausgebildet sein. Somit ist der Austausch des eMD durch kryptografische Schlüssel, beispiels weise einem für einen Münzdatensatz-Austausch ausgehandelten Sitzungsschlüssel oder einem symmetrischen oder asymmetrischen Schlüsselpaar. The communication between two end devices or security element can take place contactlessly or with contacts and can be designed as a secure channel. This is the exchange of the eMD with cryptographic keys, for example a session key negotiated for an exchange of coin data sets or a symmetrical or asymmetrical pair of keys.
Als ein Endgerät wird jegliches ein Programmcode verarbeitendes Endgerät mit Be- nutzer-Ein-Ausgabe abgesehen, beispielsweise ein PC, ein Smartphone, ein Tablet. Zudem kann das Endgerät auch Teil einer M2M-Umgebung sein, beispielsweise eine Maschine, Werkzeug, Automat oder auch Behälter und Fahrzeug verstanden. Ein erfindungsgemäßes Endgerät ist somit entweder stationär oder mobil. M2M steht dabei für den (voll-) automatisierten Informationsaustausch zwischen diesen Endge räten, beispielsweise unter Nutzung des Internets und den entsprechenden Zugangs netzen, wie dem Mobilfunknetz. Any terminal processing a program code with user input output is disregarded as a terminal, for example a PC, a smartphone, a tablet. In addition, the terminal can also be part of an M2M environment, for example a machine, tool, machine or container and vehicle understood. A terminal device according to the invention is thus either stationary or mobile. M2M stands for the (fully) automated exchange of information between these end devices, for example using the Internet and the corresponding access networks, such as the mobile network.
KURZE ZUSAMMENFASSUNG DER FIGUREN BRIEF SUMMARY OF THE FIGURES
Nachfolgend wird anhand von Figuren die Erfindung bzw. weitere Ausführungsfor men und Vorteile der Erfindung näher erläutert, wobei die Figuren lediglich Ausfüh- rungsbeispiele der Erfindung beschreiben. Gleiche Bestandteile in den Figuren wer den mit gleichen Bezugszeichen versehen. Die Figuren sind nicht als maßstabsgetreu anzusehen, es können einzelne Elemente der Figuren übertrieben groß bzw. übertrie ben vereinfacht dargestellt sein. The invention or further embodiments and advantages of the invention are explained in more detail below with the aid of figures, the figures merely describing exemplary embodiments of the invention. The same components in the figures who provided the same reference numerals. The figures are not to be regarded as true to scale, individual elements of the figures can be exaggeratedly large or exaggeratedly simplified.
Es zeigen: Show it:
Fig.l Prinzip des Digi-Cash Verfahrens mit blinden Signaturen; Fig.2 ein bekanntes Beispiel zum Erstellen und Prüfen einer Signatur mit tels ECDSA; Fig.l principle of the Digi-Cash method with blind signatures; 2 shows a known example for creating and checking a signature using ECDSA;
Fig.3 ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines er- findungsgemäßen Signatur-Erzeugen Verfahrens; 3 shows an exemplary embodiment of a process flow diagram of a signature generating method according to the invention;
Fig.4 ein Ausführungsbeispiel eines Verfahrensablaufs zum Erzeugen und Überprüfen einer blinden Signatur für einen eMD gemäß der Erfindung; Fig.5 ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines er findungsgemäßen Verfahrens; 4 shows an exemplary embodiment of a method sequence for generating and checking a blind signature for an eMD according to the invention; 5 shows an embodiment of a process flow diagram of a method according to the invention;
Fig.6 ein Ausführungsbeispiel eines Verfahrensablaufs zum Erzeugen und Überprüfen einer blinden Signatur für einen eMD mit ganzem geldwerten Betrag und davon abgeteilten geldwerten Teilbeträgen gemäß der Erfindung; und 6 shows an exemplary embodiment of a method sequence for generating and checking a blind signature for an eMD with an entire monetary amount and monetary partial amounts divided therefrom according to the invention; and
Fig.7 ein Ausführungsbeispiel eines Verfahrensablaufs zum Erzeugen und Überprüfen einer blinden Signatur für einen eMD mit ganzem geldwerten Betrag und davon abgeteilten geldwerten Teilbeträgen gemäß der Erfindung. 7 shows an exemplary embodiment of a method sequence for generating and checking a blind signature for an eMD with an entire monetary amount and monetary partial amounts divided therefrom according to the invention.
FIGURENBESCHREIBUNG FIGURE DESCRIPTION
Fig. l zeigt das Prinzip des„DigiCash“ Verfahrens mit blinden Signaturen. Hierbei überträgt ein erster Teilnehmer (Käufer) TI, einem zweiten Teilnehmer (Verkäufer) T2 eine vom Signatur-Herausgeber H signierte Münze. Dazu tauscht der erste Teil nehmer TI einen geldwerten Betrag durch eine digitale Münze, deren eindeutige Kennung, beispielsweise eine Seriennummer, er selbst im Schritt 1 generiert. Die eindeutige Kennung wird im Schritt 2 verschlüsselt und im Schritt 3 dem Signatur- Herausgeber H zusammen mit dem Wert der digitalen Münze übertragen. Der Signa tur-Herausgeber H bestätigt die Gültigkeit der digitalen Münze durch Signieren der verschlüsselten eindeutigen Kennung im Schritt 4 und sendet die so signierte digitale Münze im Schritt 5 zurück an den ersten Teilnehmer TI. Im Schritt 6 entschlüsselt der ersten Teilnehmer TI die Signatur und überträgt (bezahlt) im Schritt 7 die digita le Münze bestehend aus der eindeutigen Kennung und der entschlüsselten Signatur an den zweiten Teilnehmer T2. Der zweite Teilnehmer T2 fordert den Signatur- Herausgeber H im Schritt 8 zum Einlösen der digitalen Münze auf. Der Signatur- Herausgeber H verifiziert die Echtheit der digitalen Münze anhand der Signatur im Schritt 9 und ermöglicht so das Einlösen des geldwerten Betrags der digitalen Münze im Schritt 10. In Fig.2 wird ein Verfahrensablauf 100 bestehend aus einem Verfahren S zum Er stellen einer Signatur zwischen einem ersten Teilnehmer TI bzw. dessen ersten End gerät Ml und einem Herausgeber H und einem Verfahren P zum Überprüfen der erstellten Signatur zwischen einen ersten Teilnehmer TI und einer Prüfinstanz PI dargestellt. Fig. 1 shows the principle of the "DigiCash" method with blind signatures. A first participant (buyer) TI, a second participant (seller) T2 transmits a coin signed by the signature issuer H. To this end, the first participant TI exchanges a monetary amount with a digital coin, the unique identifier, for example a serial number, of which he generates himself in step 1. The unique identifier is encrypted in step 2 and transmitted to the signature issuer H together with the value of the digital coin in step 3. The signature publisher H confirms the validity of the digital coin by signing the encrypted unique identifier in step 4 and sends the digital coin thus signed back to the first subscriber TI in step 5. In step 6 the first participant TI decrypts the signature and in step 7 transmits (pays) the digital coin consisting of the unique identifier and the decrypted signature to the second participant T2. The second subscriber T2 requests the signature issuer H to redeem the digital coin in step 8. The signature issuer H verifies the authenticity of the digital coin using the signature in step 9 and thus enables the monetary amount of the digital coin to be redeemed in step 10. 2 shows a method sequence 100 consisting of a method S for providing a signature between a first subscriber TI or its first end device M1 and a publisher H and a method P for checking the created signature between a first subscriber TI and a PI is shown.
Im Signierverfahren S einigen sich im Schritt 101 alle beteiligten Instanzen TI, H und P über die Kurvenparameter, f, p, a, b, G, n, h einer elliptischen Kurve. Diese Kurvenparameter beschreiben eine verwendete Kurve, wobei f die Ordnung des Körpers ist, auf dem die Kurve definiert ist; p die Angabe der verwendeten Basis ist; a, b zwei Körperelemente, die die Gleichung der Kurve beschreiben sind; G der Er zeugerpunkt (Generatorpunkt, Basispunkt) der Kurve ist; n, die Ordnung des Punktes G ist; und h der Kofaktor ist. Zudem einigt man sich über eine zu verwendende kryp- tografische Streu wertfunktion H(), auch als Hashfunktion bezeichnet, beispielsweise ein SHA-2 Algorithmus. In the signing method S, in step 101 all involved instances TI, H and P agree on the curve parameters, f, p, a, b, G, n, h of an elliptical curve. These curve parameters describe a curve used, where f is the order of the body on which the curve is defined; p is the specification of the basis used; a, b two body elements that describe the equation of the curve; G is the generator point (generator point, base point) of the curve; n, is the order of point G; and h is the cofactor. In addition, agreement is reached on a cryptographic scatter value function H () to be used, also referred to as a hash function, for example a SHA-2 algorithm.
Im Schritt 102 generiert der Herausgeber H ein kryptografisches Schlüsselpaar d, D basierend auf dem Basispunkt G und teilt den öffentlichen Teil D dem ersten Teil nehmer TI und der Prüfinstanz PI im Schritt 103, 103‘ mit. Der öffentliche Schlüs selteil D wird auch als Verifizierschlüssel D bezeichnet. Der private Schlüsselteil d wird als Geheimnis nicht ausgegeben. In step 102, the publisher H generates a cryptographic key pair d, D based on the base point G and communicates the public part D to the first participant TI and the testing entity PI in steps 103, 103 '. The public key part D is also referred to as a verification key D. The private key part d is not given out as a secret.
Im Schritt 104 erzeugt der erste Teilnehmer TI eine Seriennummer m und verknüpft diese mit einem geldwerten Betrag zum elektronischen Münzdatensatz, eMD. Zu dem erzeugt der erste Teilnehmer TI zwei ganzzahlige Zufallszahlen g, d. Im Schritt 105 erzeugt der Herausgeber H eine Zufallszahl r, und errechnet einen Punkt R der Kurve, der an den ersten Teilnehmer TI übertragen wird. In step 104, the first subscriber TI generates a serial number m and links it to a monetary amount for the electronic coin data record, eMD. In addition, the first subscriber TI generates two integer random numbers g, i. In step 105, the publisher H generates a random number r and calculates a point R of the curve which is transmitted to the first subscriber TI.
Im Schritt 106 errechnet der erste Teilnehmer TI einen Punkt der Kurve mit der Gleichung (1): In step 106, the first participant TI calculates a point on the curve using equation (1):
A = R + g G + d D (1) A = R + g G + d D (1)
Der Punkt A wird durch eine x-Koordinate Ax und eine y-Koordinate Ay repräsen- tiert. Die x-Koordinate Ax wird mit der Seriennummer m als Eingangsparameter der Hashfunktion H() in Gleichung (2) verwendet, um einen unsignierten unverblende ten eMD c zu erhalten: c = H(m || Ax) (2) Point A is represented by an x coordinate A x and a y coordinate A y . The x coordinate A x with the serial number m is used as the input parameter of the hash function H () in equation (2) in order to obtain an unsigned, unblended eMD c: c = H (m || A x ) (2)
Der unsignierte unverblendete eMD c wird mit Gleichung (3) in einen unsignierte verblendeten eMD c‘ umgesetzt: c‘ = c - d (3) The unsigned, unblended eMD c is converted into an unsigned, blended eMD c 'using equation (3): c' = c - d (3)
Im Schritt 107 wird dieser unsignierte verblendete eMD c‘ an den Herausgeber H gesendet und dort im Schritt 108 mittels Gleichung (4) wird der signierte verblendete eMD s‘ erhalten und im Schritt 109 an den ersten Teilnehmer TI übertragen: s‘ = r— c‘d (4) In step 107, this unsigned, blinded eMD c 'is sent to the publisher H and there, in step 108, the signed, blinded eMD s' is obtained using equation (4) and transmitted in step 109 to the first subscriber TI: s' = r— c 'd (4)
Im Schritte 110 wird der signierte, verblendete eMD s‘ mittels Gleichung (5) in ei nen unverblendeten signierten eMD s umgesetzt: s = s‘ + g (5) In step 110, the signed, blinded eMD s 'is converted into an unblended signed eMD s using equation (5): s = s' + g (5)
Im Ergebnis des Signierverfahrens S ist ein eMD c erhalten, dessen teilnehmergene rierte Seriennummer m die Signatur (s, c) aufweist, siehe Gleichung (6): sig(m) = (s, c) (6) As a result of the signing method S, an eMD c is obtained whose subscriber-generated serial number m has the signature (s, c), see equation (6): sig (m) = (s, c) (6)
Im Prüfverfahren PR kann nun jeder, der in Kenntnis der o.g. Kurvenparameter und des Verifizier-Schlüssels D (öffentlicher Schlüssel des Herausgebers H) ist, die blin de Signatur des eMD c prüfen, was beispielsweise mittels einer Prüfinstanz PI oder eines beliebigen Teilnehmers T1,T2, T3, die alle nicht der Herausgeber H sein müs sen, erfolgt. Dazu wird im Schritt 111 der unsignierte unverblendete eMD c, der sig nierte unverblendete eMD s und die teilnehmergenerierte Seriennummer m vom Teilnehmer TI and die Prüfinstanz PI übertragen. Dort wird im Schritt 112 die blin de Signatur über folgende Gleichungen (7) bis (10) verifiziert: In the PR test procedure, anyone who is aware of the above Curve parameters and the verification key D (public key of the publisher H) is to check the blind signature of the eMD c, for example by means of a test body PI or any participant T1, T2, T3, all of which do not have to be the publisher H. , he follows. For this purpose, in step 111, the unsigned unblended eMD c, the signed unblended eMD s and the subscriber-generated serial number m are transmitted from the subscriber TI to the testing entity PI. In step 112, the blind signature is verified there using the following equations (7) to (10):
(c D)+(s G) (7) (c D) + (s G) (7)
= (c d G) + (r G) - (c d G) + (d· d G) + (g G) (8) = (c d G) + (r G) - (c d G) + (dd G) + (g G) (8)
= R + Ö D + y G) = A (9) c == H(m | | Ax) (10) = R + Ö D + y G) = A (9) c == H (m | | A x ) (10)
Wenn der in Gleichung (10) errechnete eMD c dem in Schritt 111 gesendeten (erhal tenen) eMD c entspricht, so gilt die blinde Signatur als bestätigt und der eMD als echt. If the eMD c calculated in equation (10) corresponds to the eMD c sent (received) in step 111, the blind signature is regarded as confirmed and the eMD as genuine.
Fig.3 zeigt ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfin dungsgemäßen Signatur-Erzeugen Verfahrens 100. In Fig.4 ist ein Ausführungsbei spiel eines Verfahrensablaufs zum Erzeugen und Überprüfen einer blinden Signatur für einen eMD gemäß der Erfindung gezeigt. Das Verfahren in Fig.3 wird in Verbin dung mit Fig.4 erläutert. 3 shows an exemplary embodiment of a process flow diagram of a signature-generating method 100 according to the invention. FIG. 4 shows an exemplary embodiment of a process flow for generating and checking a blind signature for an eMD according to the invention. The method in Figure 3 is explained in conjunction with Figure 4.
Das Verfahren 100 zum Erstellen einer blinden Signatur gemäß Fig.3 und Fig.4 ist an das Erstellen einer blinden Signatur mit entsprechender Überprüfung durch eine Prüfinstanz PI gemäß der Fig.2 angelehnt und spiegelt einen Verfahrensablauf in einem ECDSA Verfahren wieder. Zu beachten ist, dass das Prüfen mit den Schritten 111 und 112 auch von einem anderen Teilnehmer T2, T3 vorgenommen werden kann, beispielsweise um den geldwerten Betrag oder Teilbetrag zu verifizieren. Zu beachten ist weiter, dass das Prüfen PR mit den Schritten 111 und 112 auch zwi schen zwei Teilnehmern T2, T3 stattfinden kann, die nicht die Seriennummer m des eMD c generiert haben. Diese Teilnehmer wollen dann beispielsweise einen geld- werten Gesamtbetrag oder einen davon abgeleiteten Teilbetrag oder einen davon abgeleiteten zweiten Teilbetrag verifizieren und übertragen. The method 100 for creating a blind signature according to FIG. 3 and FIG. 4 is based on the creation of a blind signature with a corresponding check by a testing entity PI according to FIG. 2 and reflects a process sequence in an ECDSA method. It should be noted that the checking with steps 111 and 112 can also be carried out by another subscriber T2, T3, for example in order to verify the monetary amount or partial amount. It should also be noted that checking PR with steps 111 and 112 can also take place between two participants T2, T3 who have not generated the serial number m of the eMD c. These participants then want to verify and transmit, for example, a total monetary amount or a partial amount derived therefrom or a second partial amount derived therefrom.
Die Verwendung des ECDSA ist dabei lediglich beispielhaft und jegliches Verfahren zum Erzeugen einer blinden Signatur, beispielsweise DAS oder RSA basiert, kann mit dem erfindungsgemäßen Grundgedanken, nämlich dem Hinzufügen einer Her ausgeberinformation ggf. in Verbindung mit dem Ableiten von geldwerten Teilbe trägen betrieben werden. Dies wird durch die gestrichelten Linien der Schritte 101 bis 105 in der Fig.4 angedeutet, die somit als optionale Schritte anzusehen sind. Auf die Wiederholung der Erläuterung dieser Schritte 101 bis 105 der Fig.2 wird somit verzichtet, obwohl Sie bei Verwendung eines ECDSA Verfahrens Bestandteil des erfindungsgemäßen Verfahrens sind. The use of the ECDSA is only exemplary and any method for generating a blind signature, for example DAS or RSA based, can be operated with the basic idea of the invention, namely the addition of issuer information, possibly in conjunction with the derivation of monetary partial amounts. This is indicated by the dashed lines of steps 101 to 105 in FIG. 4, which are therefore to be regarded as optional steps. The repetition of the explanation of these steps 101 to 105 of FIG. 2 is therefore dispensed with, even though they are part of the inventive method when using an ECDSA method.
Die Verfahrens schritte 101 bis 107 der Fig.3 und Fig.4 gleichen den Verfahrens schritten 101 bis 107 der Fig.2 und für weitere Erläuterungen wird auf diese Fig.2 verwiesen. Im Schritt 107 wird der mit Gleichung (3) beschriebene unsignierte verblendete eMD c‘ an den Herausgeber H gesendet. Dort wird im Schritt 113 ein Herausgeberwert w generiert. Der Herausgeberwert w ist beispielsweise ein Zeitstempel oder ein Zufallswert. Dieser Herausgeberwert w wird mittels einer Streu wertfunktion H() in eine Herausgeberinformation u umge setzt. Diese Streu wertfunktion H() ist bevorzugt die Streuwertfunktion, die im Schritt 101 vereinbart wurde. Dies vereinfacht das Verfahren bezüglich Kompatibili- tat und Vereinbarung von zu verwendenden kryptografischen Funktionen. The method steps 101 to 107 of FIG. 3 and FIG. 4 are the same as the method steps 101 to 107 of FIG. 2 and reference is made to this FIG. 2 for further explanations. In step 107, the unsigned, blinded eMD c 'described with equation (3) is sent to the publisher H. A publisher value w is generated there in step 113. The publisher value w is, for example, a time stamp or a random value. This publisher value w is converted into publisher information u by means of a scatter value function H (). This scatter value function H () is preferably the scatter value function that was agreed in step 101. This simplifies the procedure with regard to compatibility and agreement of the cryptographic functions to be used.
Mit dieser Herausgeberinformation u wird in Gleichung (11) der unsignierte ver blendete eMD c‘ gemäß Schritt 113 erweitert: c‘+ u (11) With this publisher information u, the unsigned veneered eMD c 'is expanded in accordance with step 113 in equation (11): c' + u (11)
Im Schritt 108 wird mittels Gleichung (12) der erweiterte signierte verblendeten eMD s“ erhalten: s“ = r - (c‘+ u)-d (12) In step 108, the extended signed blinded eMD s “is obtained using equation (12): s“ = r - (c ’+ u) -d (12)
Im Schritt 109 wird der erweiterte signierte verblendete eMD s“ zusammen mit dem Herausgeberwert w an den ersten Teilnehmer TI übertragen. In step 109, the extended, signed, blinded eMD s “is transmitted to the first subscriber TI together with the editor value w.
Im Schritte 110 wird der signierte verblendete eMD s“ mittels Gleichung (13) un verblendet: s = s“ + g (13) In step 110, the signed, blinded eMD s “is unblended using equation (13): s = s“ + g (13)
Im Ergebnis des Signierverfahrens S hat ein eMD c mit der teilnehmergenerierten Seriennummer m die Signatur (s, c, w), siehe Gleichung (14): sig(m) = (s, c, w) (14) As a result of the signing method S, an eMD c with the subscriber-generated serial number m has the signature (s, c, w), see equation (14): sig (m) = (s, c, w) (14)
Erfindungsgemäß generiert der Teilnehmer TI den eMD c und verblendet diesen in c‘ mit der Zufallszahl g, sodass der eMD c nicht beim Herausgeber H bekannt wird. Dem eMD c ist neben der eindeutigen Seriennummer m auch ein geldwerter Maxi malbetrag zugeordnet. According to the invention, the subscriber TI generates the eMD c and blinds it in c 'with the random number g, so that the eMD c is not known to the publisher H. In addition to the unique serial number m, the eMD c is also assigned a monetary maximum amount.
Der Herausgeber H signiert den verblendeten unsignierten eMD c‘, ohne dass er den eMD c oder die Seriennummer m kennt. Das wird als blindes Signieren bezeichnet. Der Herausgeber H fügt erfindungsgemäß einen herausgebergenerierten Wert w in Form einer Herausgeberinformation u an. Diese Herausgeberinformation u wird un- veränderbarer Teil der signierten verblendeten eMD s“ und nach Gleichung (13) als Herausgeberwert w auch Teil der signierten unverblendeten eMD s. The publisher H signs the blinded unsigned eMD c 'without knowing the eMD c or the serial number m. This is called blind signing. According to the invention, the publisher H adds a publisher-generated value w in the form of publisher information u. This publisher information u becomes an unchangeable part of the signed, blinded eMD s ”and, according to equation (13) as the publisher value w, also part of the signed, unblended eMD s.
Im Prüfverfahren PR kann nun jeder, der in Kenntnis der o.g. Kurvenparameter und des Verifizierschlüssels D ist, die Signatur (s, c, w) des eMD c mit der Seriennum mer m und dem Herausgeberwert w prüfen, was beispielsweise mittels einer Prüfinstanz PI, T2, T3, die nicht zwangsläufig der Herausgeber H ist, erfolgt. Beim Überprüfen im Verfahren PR der Fig.4 erfolgt sodann ein Überprüfen, ob m verän dert wurde und ob w verändert wurde, was nachfolgend beschrieben ist. In the PR test procedure, anyone who is aware of the above Curve parameters and the verification key D is, check the signature (s, c, w) of the eMD c with the serial number mer m and the publisher value w, which is done, for example, by means of a test body PI, T2, T3, which is not necessarily the publisher H. . When checking in the process PR of FIG. 4, a check is then carried out to determine whether m has been changed and whether w has been changed, which is described below.
Dazu wird im Schritt 111 der unsignierte unverblendete eMD c, der signierte unver blendete eMD s, die teilnehmergenerierte Seriennummer m und der Herausgeberwert w vom Teilnehmer TI and die Prüfinstanz PI, T2, T3 übertragen. Dort wird im Schritt 112 die Signatur über folgende Gleichungen (15) bis (17) verifiziert: u=H(w) (15) For this purpose, in step 111 the unsigned unblended eMD c, the signed unblended eMD s, the subscriber-generated serial number m and the publisher value w are transmitted from the subscriber TI to the testing entity PI, T2, T3. In step 112, the signature is verified there using the following equations (15) to (17): u = H (w) (15)
A=s G + (c+u) D (16) c == H(m || Ax) (17) A = s G + (c + u) D (16) c == H (m || A x ) (17)
Wird mit Gleichung (17) festgestellt, dass der im Schritt 111 erhaltene unsignierte unverblendete eMD c dem errechneten eMD entspricht, so gilt die blinde Signatur als echt. If it is determined with equation (17) that the unsigned, unblended eMD c obtained in step 111 corresponds to the calculated eMD, the blind signature is considered to be genuine.
Fig.5 zeigt ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfin dungsgemäßen Signatur-Erhalten Verfahrens. In Fig.6 ist ein Ausführungsbeispiel eines Verfahrensablaufs zum Erhalten S einer blinden Signatur und auch zum Über prüfen PR einer blinden Signatur für einen eMD gemäß der Erfindung gezeigt. Das Überprüfen- Verfahren PR weist dabei drei unterschiedliche Szenarien PR1, PR2, PR3 auf. Das Verfahren in Fig.5 wird in Verbindung mit Fig.6 erläutert. Das Verfahren zum Erhalten einer blinden Signatur gemäß Fig.5 und Fig.6 ist an das Erstellen einer blinden Signatur mit entsprechender Überprüfung durch eine Prüfinstanz PI, T2, T3 gemäß der Fig.2 angelehnt und spiegelt einen Verfahrensab lauf in einem ECDSA Verfahren wieder. Zu beachten ist, dass das Prüfen PR1, PR2, PR3 mit den Schritten 111, 111‘, 111“ und 112, 112% 112“ auch von einem anderen Teilnehmer T2, T3 vorgenommen werden kann, beispielsweise um den geldwerten Betrag oder Teilbetrag zu verifizieren. Zu beachten ist weiter, dass das Prüfen PR1, PR2, PR3 mit den Schritten 111, 111 % 111“ und 112, 112% 112“ auch zwischen zwei Teilnehmern T2, T3 stattfinden kann, die nicht die Seriennummer m des eMD c generiert haben, beispielsweise um einen geldwerten Gesamtbetrag oder einen davon abgeleiteten Teilbetrag u oder einen davon abgeleiteten zweiten Teilbetrag e zu veri fizieren und übertragen zu bekommen. Nachfolgend wird die Prüfinstanz PI einem anderen Teilnehmer T2, T3 gleichgesetzt. 5 shows an embodiment of a process flow diagram of a signature-obtaining method according to the invention. FIG. 6 shows an exemplary embodiment of a method sequence for obtaining S a blind signature and also for checking PR for a blind signature for an eMD according to the invention. The checking method PR has three different scenarios PR1, PR2, PR3. The method in Figure 5 is explained in connection with Figure 6. The method for obtaining a blind signature according to FIG. 5 and FIG. 6 is based on the creation of a blind signature with a corresponding check by a testing body PI, T2, T3 according to FIG. 2 and reflects a procedure in an ECDSA method. It should be noted that checking PR1, PR2, PR3 with steps 111, 111 ', 111 "and 112, 112% 112" can also be carried out by another participant T2, T3, for example to verify the monetary amount or partial amount . It should also be noted that checking PR1, PR2, PR3 with steps 111, 111% 111 "and 112, 112% 112" can also take place between two participants T2, T3 who have not generated the serial number m of the eMD c, for example, to verify and transfer a monetary total amount or a partial amount u derived therefrom or a second partial amount e derived therefrom. Subsequently, the testing entity PI is equated to another participant T2, T3.
Die Verwendung des ECDSA ist dabei lediglich beispielhaft und jegliches Verfahren zum Erzeugen/Erhalten einer blinden Signatur, beispielsweise DAS- oder RSA- basiert, kann mit dem erfindungsgemäßen Grundgedanken, nämlich dem Ableiten von geldwerten Teilbeträgen, ggf. unter Verwendung von Herausgeberinformationen des Signatur-Herausgebers H erfolgen. Auf die Wiederholung der Schritte 101 bis 105 der Fig.2 wird somit verzichtet, obwohl Sie bei Verwendung eines ECDSA Ver fahrens Bestandteil des erfindungsgemäßen Verfahrens sind. The use of the ECDSA is only an example, and any method for generating / receiving a blind signature, for example DAS or RSA-based, can be carried out with the basic idea of the invention, namely the derivation of partial monetary amounts, possibly using publisher information from the signature publisher H done. Repetition of steps 101 to 105 of FIG. 2 is therefore dispensed with, although when using an ECDSA method they are part of the method according to the invention.
Die Verfahrens schritte 101 bis 105 der Fig.5 und Fig.6 gleichen den Verfahrens schritten 101 bis 105 der Fig.2 und für weitere Erläuterungen wird auf diese Fig.2 verwresen. The method steps 101 to 105 of FIG. 5 and FIG. 6 are the same as the method steps 101 to 105 of FIG. 2 and reference is made to this FIG. 2 for further explanations.
Im Schritt 114 erfolgt ein mit Gleichung (18) beschriebenes Erzeugen eines öffentli chen Schlüssels M im Teilnehmer TI: In step 114, a public key M described in equation (18) is generated in the subscriber TI:
M = m G (18) M = m G (18)
Dabei ist die teilnehmergenerierte Seriennummer m als ein Geheimnis anzusehen und der öffentliche Schlüssel G wird unter Verwendung des (vereinbarten) Basis punktes G der elliptischen Kurve abgeleitet. Alternativ können andere vereinbarte Werte zum Erzeugen des öffentlichen Schlüssels M verwendet werden. Im Schritt 106 errechnet der erste Teilnehmer TI einen Punkt der Kurve mit der Gleichung (1) Der Punkt A wird durch eine x-Koordinate Ax und eine y-Koordinate Ay repräsentiert. Die x-Koordinate Ax wird mit dem öffentlichen Schlüssel M als Eingangsparameter der Hashfunktion H() in Gleichung (19) verwendet, um einen unsignierten unverblendeten eMD c zu erhalten: c = H(M 11 Ax) (19) The subscriber-generated serial number m is to be regarded as a secret and the public key G is derived using the (agreed) base point G of the elliptical curve. Alternatively, other agreed values can be used to generate the public key M. In step 106, the first subscriber TI calculates a point on the curve using equation (1). The point A is represented by an x coordinate A x and a y coordinate A y . The x coordinate A x is used with the public key M as the input parameter of the hash function H () in equation (19) in order to obtain an unsigned, unblended eMD c: c = H (M 11 A x ) (19)
Der unsignierte unverblendete eMD c wird mit Gleichung (20) in einen unsignierte verblendeten eMD c‘(M) umgesetzt: c‘(M) = c - d (20) The unsigned, unblended eMD c is converted into an unsigned, blended eMD c '(M) using equation (20): c' (M) = c - d (20)
Im Schritt 107 wird der mit Gleichung (20) beschriebene unsignierte verblendete eMD c‘(M) an den Herausgeber H gesendet. Im Schritt 108 wird mittels Gleichung (21) der signierte verblendete eMD s‘ erhalten und im Schritt 109 an den ersten Teilnehmer TI übertragen: s‘ = r - c‘(M) d (21) In step 107, the unsigned, blinded eMD c ′ (M) described with equation (20) is sent to the publisher H. In step 108, the signed, blinded eMD s' is obtained using equation (21) and transmitted in step 109 to the first subscriber TI: s' = r - c '(M) d (21)
Im Schritte 110 wird der signierte, verblendete eMD s‘ mittels Gleichung (5) erhal ten. Im Ergebnis des Signierverfahrens S ist ein eMD c erhalten, dessen öffentlicher Schlüssel M die Signatur (s, c) aufweist, siehe Gleichung (22): sig(M) = (s, c) (22) In step 110, the signed, blinded eMD s' is obtained by means of equation (5). As a result of the signing method S, an eMD c is obtained whose public key M has the signature (s, c), see equation (22): sig (M) = (s, c) (22)
Gemäß Fig.5 und Fig.6 generiert der Teilnehmer TI den eMD c unter Verwendung eines öffentlichen Schlüssels M anstelle der Seriennummer m. Diese Seriennummer m ist dem Signatur-Herausgeber H geheim. Dies ermöglicht es, den geldwerten Be trag der eMD c zu teilen und Teilbeträge u oder zweite Teilbeträge e zwischen Teil nehmern TI, T2, T3 zu übertragen, ohne dass die blinde Signatur ungültig wird. Dies vereinfacht den Verwaltungsaufwand beim Signatur-Herausgeber H und ermöglicht ein Bezahlsystem mit eMD c bei dem auch Wechselgeld gezahlt werden kann oder bei dem unrunde Beträge übertragen werden können oder dessen geldwertere Betrag an verschiedene Instanzen gesendet werden kann. In Fig.6 sind nun drei Szenarien dargestellt, mit denen ein mit dem in Fig.6 erhaltenen Signierverfahren S teilbarer eMD übertragbar ist, wobei dennoch die blinde Signatur gültig bleibt. Mit den Prüfverfahren PR1, PR2, PR3 können nun unrunde Beträge sehr genau über tragen werden oder entsprechendes Rückgeld (Wechselgeld) generiert werden. Bei spielsweise könnte der maximale geldwerte Betrag einer eMD c im Prüfverfahren PR1 von einem ersten Teilnehmer TI an einen zweiten Teilnehmer T2 gesendet werden. Im Prüfverfahren PR2 wird dann vom zweiten Teilnehmer T2 ein Teilbetrag u als Wechselgeld an den ersten Teilnehmer TI zurückübertragen. Der erste Teil nehmer TI kann nun den Teilbetrag u weiter aufteilen und den zweiten Teilbetrag e an den dritten Teilnehmer T3 im Prüfverfahren PR3 übertragen: Im Prüfverfahren PR1 der Fig.6 ist zunächst dargestellt, dass der gesamte geldwerte Betrag eines eMD geprüft und ggf. bei einem zweiten Teilnehmer T2, T3 eingelöst werden soll. 5 and 6, the subscriber TI generates the eMD c using a public key M instead of the serial number m. This serial number m is secret to the signature publisher H. This makes it possible to share the monetary amount of the eMD c and to transfer partial amounts u or second partial amounts e between participants TI, T2, T3 without the blind signature becoming invalid. This simplifies the administrative effort for the signature issuer H and enables a payment system with eMD c in which change can also be paid or in which non-circular amounts can be transferred or whose monetary value can be sent to different instances. FIG. 6 now shows three scenarios with which an eMD which can be divided using the signature method S obtained in FIG. 6 can be transmitted, the blind signature nevertheless remaining valid. With the test methods PR1, PR2, PR3, non-circular amounts can now be transferred very precisely or corresponding change (change) can be generated. For example, the maximum monetary amount of an eMD c could be sent from a first participant TI to a second participant T2 in the test procedure PR1. In the test procedure PR2, a partial amount u is then returned as change to the first participant TI by the second participant T2. The first participant TI can now further split the partial amount u and transfer the second partial amount e to the third participant T3 in the test procedure PR3: In the test procedure PR1 in FIG a second participant T2, T3 is to be redeemed.
Im Prüfverfahren PR1 der Fig.6 kann jede Instanz (PI, T2, T3), die in Kenntnis der o.g. Kurvenparameter und des Verifizier-Schlüssels D (öffentlicher Schlüssel des Herausgebers H) ist, die blinde Signatur des eMD c prüfen, was beispielsweise mit tels der Prüfinstanz PI, die nicht zwangsläufig der Herausgeber H ist, erfolgt. In the test procedure PR1 of Fig. 6, each instance (PI, T2, T3) that is aware of the above Curve parameters and the verification key D (public key of the publisher H), check the blind signature of the eMD c, which is done, for example, by means of the test entity PI, which is not necessarily the publisher H.
Dazu wird im Schritt 111 der unsignierte unverblendete eMD c, der signierte unver- blendete eMD s und die teilnehmergenerierte Seriennummer m vom Teilnehmer TI an die Prüfinstanz PI übertragen. Dort wird im Schritt 112 die blinde Signatur verifi ziert. Mit Gleichung (23) wird zunächst der teilnehmergenerierte öffentliche Schlüs sel M errechnet. For this purpose, in step 111, the unsigned, unblended eMD c, the signed, unblended eMD s and the subscriber-generated serial number m are transmitted from the subscriber TI to the testing entity PI. There, the blind signature is verified in step 112. The subscriber-generated public key M is first calculated using equation (23).
M = m- G (23) M = m- G (23)
Gemäß den Gleichungen (7) bis (9) wird dann die eMD c errechnet und mit Glei chungen (24) wird dann geprüft, ob die errechnet eMD der erhaltenen eMD c ent spricht: c, s == b.sig(M); c == H(M \ \AX ) (24) The eMD c is then calculated in accordance with equations (7) to (9), and equations (24) are then used to check whether the calculated eMD corresponds to the eMD c obtained: c, s == b.sig (M); c == H (M \ \ A X ) (24)
Stimmt die errechnete eMD c mit der erhaltenen eMD c überein, so ist die blinde Signatur gültig und die eMD c kann von der Prüfinstanz PI, oder auch den anderen Teilnehmern T2, T3, für weitere Bezahlvorgänge verwendet werden. If the calculated eMD c matches the received eMD c, the blind signature is valid and the eMD c can be used by the testing body PI, or also by the other participants T2, T3, for further payment processes.
Wenn der in Gleichung (24) erhaltene eMD c dem in Schritt 111 gesendeten eMD c entspricht, so gilt die blinde Signatur als bestätigt und der eMD als echt. Im Prüfverfahren PR2 der Fig.6 ist nun zunächst mit Schritt 115 das Ableiten eines Teilbetrags u vom geldwerten Gesamtbetrag gezeigt. Dazu generiert der Teilnehmer TI (oder ein anderer Teilnehmer, der im Besitz der eMD c ist) ein Geheimnis p und einen weiteren öffentlichen Schlüssel P unter Verwendung des teilnehmergenerierten Geheimnisses p. Das Geheimnis p ist von der Seriennummer m verschieden. Der weitere teilnehmergenerierte Schlüssel P ist vom teilnehmergenerierten öffentlichen Schlüssel M verschieden. Beispielsweise kann der teilnehmergenerierte öffentliche Schlüssel P durch Multiplikation mit dem Basispunkt G erhalten werden, siehe Glei- chung (25): If the eMD c obtained in equation (24) corresponds to the eMD c sent in step 111, the blind signature is considered confirmed and the eMD is genuine. In the test method PR2 of FIG. 6, the derivation of a partial amount u from the monetary total amount is shown first with step 115. For this purpose, the subscriber TI (or another subscriber who is in possession of the eMD c) generates a secret p and a further public key P using the subscriber-generated secret p. The secret p is different from the serial number m. The further subscriber-generated key P is different from the subscriber-generated public key M. For example, the subscriber-generated public key P can be obtained by multiplying it by the base point G, see equation (25):
P = p G (25) P = p G (25)
Für das Ableiten 115 wird mit Gleichung (26) zudem eine echte Signatur om erstellt: For derivation 115, a real signature o m is also created using equation (26):
Om = Sigm (P || V) (26) O m = Sig m (P || V) (26)
Dabei ist u der abzuleitende Teilbetrag, der kleiner ist als der geldwerte Gesamtbe trag der eMD c. Die echte Signatur shi ist hier eine logische ODER Verknüpfung aus dem öffentlichen Schlüssel P und dem Teilbetrag u. Andere logische Verknüpfungen oder mathematische Operationen sind für das Erstellen der echten Signatur shi eben falls denkbar. Im Schritt 111‘ werden nun folgende Variablen zwischen zwei Teil nehmern TI, T2, T3 ausgetauscht: U is the partial amount to be derived, which is smaller than the total monetary amount of the eMD c. The real signature s hi is a logical OR combination of the public key P and the partial amount u. Other logical links or mathematical operations are also conceivable for creating the real signature s hi . In step 111 'the following variables are now exchanged between two participants TI, T2, T3:
• der eMD c • the eMD c
• der teilnehmergenerierte öffentliche Schlüssel M The subscriber-generated public key M
· der signierte unverblendete eMD s · The signed unblended eMD s
• die echte Signatur shi • the real signature s hi
• der Teilbetrag u • the partial amount u
• das teilnehmergenerierte Geheimnis p Im Schritt 112‘ kann nun die Echtheit der blinden Signatur und die Echtheit der ech ten Signatur shi überprüft werden, wodurch der Teilbetrag u als - zwischen den Teil nehmern TI, T2, T3 -übertragen gilt. Dazu wird zunächst mittels des teilnehmerge nerierten Geheimnisses p und dem vereinbarten Basispunkt G der weitere öffentliche Schlüssel P errechnet, siehe Gleichung (25). Zudem wird die blinde Signatur gemäß den Gleichungen (7) bis (9) und (24) geprüft. Zudem wird die echte Signatur shi aus dem errechneten weiteren teilnehmergenerierten öffentlichen Schlüssel P und dem erhaltenen Teilbetrag u errechnet und bei Übereinstimmung der Gleichung (27) • The participant-generated secret p In step 112 ', the authenticity of the blind signature and the authenticity of the real signature s hi can now be checked, as a result of which the partial amount u is considered to be - transmitted between the participants TI, T2, T3. For this purpose, the further public key P is first calculated using the participant-generated secret p and the agreed base point G, see equation (25). In addition, the blind signature is checked according to equations (7) to (9) and (24). In addition, the real signature is hi the calculated further subscriber-generated public key P and the partial amount u obtained, and if equation (27) matches
Om = = Sigm (P || Ό) (27) gilt der Teilbetrag u als verifiziert und ist durch das Übertragen des Geheimnisses p auch übertragen. Es gilt zu beachten, dass die Prüfinstanz PI, T2, T3 nicht im Besitz der teilnehmergenerierten Seriennummer m ist und somit zwar die blinde Signatur verifizieren kann (durch den Schlüssel M) aber nicht in den Besitz des geldwerten Gesamtbetrags gelangt. Im Prüfverfahren PR3 der Fig.6 ist nun zunächst mit Schritt 116 das Ableiten eines zweiten Teilbetrags e vom Teilbetrag u gezeigt. Dazu generiert der Teilnehmer TI (oder ein anderer Teilnehmer, der im Besitz der eMD c ist) ein zweites Geheimnis q und einen zweiten weiteren öffentlichen Schlüssel Q unter Verwendung des teilneh mergenerierten Geheimnisses q. Das zweite Geheimnis q ist von der Seriennummer m und vom Geheimnis p verschieden. Der zweite weitere teilnehmergenerierte Schlüssel Q ist vom teilnehmergenerierten öffentlichen Schlüssel M und dem weite ren teilnehmergenerierten Schlüssel P verschieden. Beispielsweise kann der zweite weitere teilnehmergenerierte öffentliche Schlüssel Q durch Multiplikation mit dem Basispunkt G erhalten werden, siehe Gleichung (28): O m = = Sigm (P || Ό) (27), the partial amount u is considered to be verified and is also transmitted by transmitting the secret p. It should be noted that the test body PI, T2, T3 is not in possession of the subscriber-generated serial number m and can therefore verify the blind signature (using the key M) but does not have the total monetary value. 6, the derivation of a second partial amount e from the partial amount u is shown in step 116. For this purpose, the subscriber TI (or another subscriber who is in possession of the eMD c) generates a second secret q and a second further public key Q using the subscriber-generated secret q. The second secret q is different from the serial number m and from the secret p. The second further subscriber-generated key Q is different from the subscriber-generated public key M and the further ren subscriber-generated key P. For example, the second further subscriber-generated public key Q can be obtained by multiplication by the base point G, see equation (28):
Q = q G (28) Q = q G (28)
Für das Ableiten 116 wird mit Gleichung (28) zudem eine zweite echte Signatur sr erstellt: Equation (28) also creates a second real signature s r for derivation 116:
<P = sigP (Q \\ e) (29) < P = sig P (Q \\ e) (29)
Dabei ist e der abzuleitende zweite Teilbetrag, der kleiner ist als der geldwerte Ge samtbetrag und der auch kleiner ist als der Teilbetrag u der eMD c. Die echte Signa tur sr ist hier eine logische ODER Verknüpfung aus dem öffentlichen Schlüssel Q und dem Teilbetrag e. Andere logische Verknüpfungen oder mathematische Operati- onen sind für das Erstellen der echten Signatur sr ebenfalls denkbar. Im Schritt 111“ werden nun folgende Variablen zwischen zwei Teilnehmern TI, T2, T3 ausge tauscht: Here, e is the second partial amount to be derived, which is smaller than the total monetary amount and which is also smaller than the partial amount u of the eMD c. The real signature s r here is a logical OR combination of the public key Q and the partial amount e. Other logical links or mathematical operations are also conceivable for creating the real signature s r . In step 111 “the following variables are now exchanged between two participants TI, T2, T3:
• der eMD c • the eMD c
· der teilnehmergenerierte öffentliche Schlüssel M • der signierte unverblendete eMD s · The subscriber-generated public key M • the signed unblended eMD s
• die echte Signatur shi • the real signature s hi
• der Teilbetrag u • the partial amount u
• der weitere teilnehmergenerierte öffentliche Schlüssel P The further subscriber-generated public key P
• die zweite echte Signatur sr • the second real signature s r
• der zweite Teilbetrag e • the second partial amount e
• das zweite teilnehmergenerierte Geheimnis q • the second subscriber generated secret q
Im Schritt 112“ kann nun die Echtheit der blinden Signatur, die Echtheit der echten Signatur shi und auch die Echtheit der zweiten echten Signatur sr überprüft werden, wodurch der zweite Teilbetrag e als - zwischen den Teilnehmern TI, T2, T3 - übertragen gilt. Dazu wird zunächst mittels des zweiten teilnehmergenerierten Ge heimnisses q und dem vereinbarten Basispunkt G der zweite weitere teilnehmergene rierte öffentliche Schlüssel Q errechnet, siehe Gleichung (28). Zudem wird die blin- de Signatur gemäß den Gleichungen (7) bis (9) und (24) geprüft. Zudem wird die zweite echte Signatur sr aus dem errechneten zweiten weiteren teilnehmergenerier ten öffentlichen Schlüssel Q und dem erhaltenen zweiten Teilbetrag e errechnet und bei Übereinstimmung der Gleichung (30) sR == sigP (Q \\ e) (30) gilt der Teilbetrag e als verifiziert und ist durch das Übertragen des zweiten Geheim nis q auch übertragen. Es gilt zu beachten, dass die Prüfinstanz PI, T2, T3 nicht im Besitz der teilnehmergenerierten Seriennummer m oder des teilnehmergenerierten Geheimnisses p ist. Somit kann zwar die blinde Signatur und die echte Signatur shi verifiziert werden (durch die teilnehmergenerierten öffentlichen Schlüssel M und P), aber die Prüfinstanz PI, T2, T3 gelangt nicht in den Besitz des geldwerten Gesamtbe trags oder des (ersten) Teilbetrags u. In step 112 “, the authenticity of the blind signature, the authenticity of the real signature s hi and also the authenticity of the second real signature s r can now be checked, as a result of which the second partial amount e is considered to be - between the participants TI, T2, T3 . For this purpose, the second further subscriber-generated public key Q is first calculated using the second subscriber-generated secret q and the agreed base point G, see equation (28). In addition, the blind signature is checked in accordance with equations (7) to (9) and (24). In addition, the second real signature s r is calculated from the calculated second further subscriber-generated public key Q and the second partial amount e obtained and if the equation (30) s R == sig P (Q \\ e) (30) matches, the applies Partial amount e as verified and is also transmitted by the transmission of the second secret q. It should be noted that the test body PI, T2, T3 does not have the subscriber-generated serial number m or the subscriber-generated secret p. Thus, the blind signature and the real signature s hi can be verified (by the subscriber-generated public keys M and P), but the test body PI, T2, T3 does not get the monetary total amount or the (first) partial amount u.
Mit den Prüfverfahren PR1, PR2 und PR3 wurde demonstriert, dass zwischen belie- bigen Teilnehmern nunmehr beliebige geldwerte (Teil-)Beträge u, e übertragen wer den können, wobei zu jedem Zeitpunkt die Echtheit der blinden Signatur und die mit den jeweiligen Teilbeträgen u, e verbundenen echten Signaturen shi und sr geprüft werden können. Durch geeignete Wahl der zu übertragenden Variablen erhält die empfangende Instanz PI, T2, T3 dann die vollen Zugriffsrechte auf die jeweiligen Teilbeträge, wodurch der eMD als übertragen gilt. In Fig.7 ist ein weiteres Ausführungsbeispiel eines Verfahrensablaufs zum Erzeugen und Überprüfen einer blinden Signatur für einen eMD mit ganzem geldwerten Be trag und davon abgeteilten geldwerten Teilbeträgen gemäß der Erfindung dargestellt. Dabei wurden die Verfahrensabläufe der Fig. 4 und Fig.6 miteinander kombiniert. Damit wird neben dem erfindungsgemäßen Verwenden einer Herausgeberinformati on u, w nun auch das erfindungsgemäße Teilen von geldwerten Beträgen ermöglicht. With the test methods PR1, PR2 and PR3 it was demonstrated that any monetary (partial) amounts u, e can now be transferred between any participants, whereby the authenticity of the blind signature and that with the respective partial amounts u, e e connected real signatures s hi and s r can be checked. By a suitable choice of the variables to be transmitted, the receiving entity PI, T2, T3 then receives full access rights to the respective partial amounts, whereby the eMD is considered to be transmitted. 7 shows a further exemplary embodiment of a method sequence for generating and checking a blind signature for an eMD with an entire monetary amount and monetary partial amounts divided therefrom according to the invention. The process sequences in FIGS. 4 and 6 were combined with one another. In addition to the use according to the invention of a publisher information u, w, the sharing of monetary amounts according to the invention is now also possible.
In Fig.7 ist ein Ausführungsbeispiel eines Verfahrensablaufs zum Erhalten S einer blinden Signatur und auch zum Überprüfen PR einer blinden Signatur für einen eMD gemäß der Erfindung gezeigt. Das Überprüfen- Verfahren PR weist dabei drei unter schiedliche Szenarien PR1, PR2, PR3 auf. 7 shows an exemplary embodiment of a method sequence for obtaining S a blind signature and also for checking PR for a blind signature for an eMD according to the invention. The checking process PR has three different scenarios PR1, PR2, PR3.
Das Verfahren zum Erhalten einer blinden Signatur gemäß Fig.7 ist an das Erstellen einer blinden Signatur mit entsprechender Überprüfung durch eine Prüfinstanz PI gemäß der Fig.2 angelehnt und spiegelt einen Verfahrensablauf in einem ECDSA Verfahren wieder. Zu beachten ist, dass das Prüfen PR1, PR2, PR3 mit den Schritten 111, 111‘, 111“ und 112, 112% 112“ auch von einem anderen Teilnehmer T2, T3 vorgenommen werden kann, beispielsweise um den geldwerten Betrag oder Teilbe trag zu verifizieren. Zu beachten ist weiter, dass das Prüfen PR1, PR2, PR3 mit den Schritten 111, 111 % 111“ und 112, 112% 112“ auch zwischen zwei Teilnehmern T2, T3 stattfinden kann, die nicht die Seriennummer m des eMD c generiert haben, bei spielsweise um einen geldwerten Gesamtbetrag oder einen davon abgeleiteten Teil betrag u oder einen davon abgeleiteten zweiten Teilbetrag e zu verifizieren und über tragen zu bekommen. Nachfolgend wird die Prüfinstanz PI einem anderen Teilneh- mer T2, T3 gleichgesetzt. The method for obtaining a blind signature according to FIG. 7 is based on the creation of a blind signature with a corresponding check by a testing entity PI according to FIG. 2 and reflects a process sequence in an ECDSA method. It should be noted that checking PR1, PR2, PR3 with steps 111, 111 ', 111 "and 112, 112% 112" can also be carried out by another participant T2, T3, for example by adding the monetary amount or partial amount to verify. It should also be noted that checking PR1, PR2, PR3 with steps 111, 111% 111 "and 112, 112% 112" can also take place between two participants T2, T3 who have not generated the serial number m of the eMD c, for example to verify a monetary total amount or a portion derived therefrom or a second portion e derived therefrom and to receive it. Subsequently, the testing entity PI is equated to another participant T2, T3.
Die Verwendung des ECDSA ist dabei lediglich beispielhaft und jegliches Verfahren zum Erzeugen/Erhalten einer blinden Signatur, beispielsweise DAS- oder RSA- basiert, kann mit dem erfindungsgemäßen Grundgedanken, nämlich dem Ableiten von geldwerten Teilbeträgen unter Verwendung von Herausgeberinformationen u, w des Signatur-Herausgebers H erfolgen. Auf die Wiederholung der Schritte 101 bis 105 der Fig.2 wird verzichtet, obwohl Sie bei Verwendung eines ECDSA Verfahrens Bestandteil des erfindungsgemäßen Verfahrens sind. Die Verfahrens schritte 101 bis 105 der Fig.7 gleichen den Verfahrensschritten 101 bis 105 der Fig.2 und für weitere Erläuterungen wird auf diese Fig.2 verwiesen. Im Schritt 114 wird das mit Gleichung (18) beschriebene Erzeugen eines öffentli chen Schlüssels M im Teilnehmer TI beschrieben. The use of the ECDSA is only exemplary and any method for generating / obtaining a blind signature, for example DAS or RSA-based, can be carried out with the basic idea of the invention, namely the derivation of monetary partial amounts using publisher information u, w of the signature publisher H done. Repetition of steps 101 to 105 in FIG. 2 is dispensed with, although they are part of the method according to the invention when using an ECDSA method. The method steps 101 to 105 of FIG. 7 are the same as method steps 101 to 105 of FIG. 2 and reference is made to this FIG. 2 for further explanations. In step 114, the generation of a public key M described in equation (18) in the subscriber TI is described.
Im Schritt 106 errechnet der erste Teilnehmer TI einen Punkt der Kurve mit der Gleichung (1) Der Punkt A wird durch eine x-Koordinate Ax und eine y-Koordinate Ay repräsentiert. Die x-Koordinate Ax wird mit dem öffentlichen Schlüssel M als Eingangsparameter der Hashfunktion H() in Gleichung (19) verwendet, um einen unsignierten unverblendeten eMD c zu erhalten. Der unsignierte unverblendete eMD c wird mit Gleichung (20) in einen unsignierte verblendeten eMD c‘(M) umgesetzt. In step 106, the first subscriber TI calculates a point on the curve using equation (1). The point A is represented by an x coordinate A x and a y coordinate A y . The x coordinate A x is used with the public key M as the input parameter of the hash function H () in equation (19) in order to obtain an unsigned, unblended eMD c. The unsigned, unblended eMD c is converted into an unsigned, blended eMD c '(M) using equation (20).
Im Schritt 107 wird der mit Gleichung (20) erhaltene unsignierte verblendete eMD c‘(M) an den Herausgeber H gesendet. Dort wird im Schritt 113 ein Herausgeber wert w generiert. Der Herausgeberwert w ist beispielsweise ein Zeitstempel oder ein Zufallswert. Dieser Herausgeberwert w wird mittels einer Streu wertfunktion H() in eine Herausgeberinformation u umgesetzt. Diese Streu wertfunktion H() ist bevorzugt die Streuwertfunktion, die im Schritt 101 vereinbart wurde. Dies vereinfacht das Verfahren bezüglich Kompatibilität und Vereinbarung von zu verwendenden kryp- tografischen Funktionen. Der unsignierte verblendete eMD c‘ wird dann gemäß Gleichung (11) mit dieser Herausgeberinformation u im Schritt 113 erweitert. In step 107, the unsigned, blinded eMD c ′ (M) obtained with equation (20) is sent to the publisher H. A publisher worth w is generated there in step 113. The publisher value w is, for example, a time stamp or a random value. This publisher value w is converted into publisher information u by means of a scatter value function H (). This scatter value function H () is preferably the scatter value function that was agreed in step 101. This simplifies the procedure with regard to compatibility and agreement of cryptographic functions to be used. The unsigned, blinded eMD c 'is then expanded in accordance with equation (11) with this publisher information u in step 113.
Im Schritt 108 wird mittels Gleichung (31) der erweiterte signierte verblendeten eMD s“ erhalten: s“ = r - (c‘(M) + u)-d (31) In step 108, the extended signed blinded eMD s “is obtained using equation (31): s“ = r - (c ’(M) + u) -d (31)
Im Schritt 109 wird der erweiterte signierte verblendete eMD s“ zusammen mit dem Herausgeberwert w an den ersten Teilnehmer TI übertragen. Im Schritte 110 wird der signierte verblendete eMD s“ mittels Gleichung (13) unverblendet. In step 109, the extended, signed, blinded eMD s “is transmitted to the first subscriber TI together with the editor value w. In step 110, the signed, blinded eMD s “is not blinded using equation (13).
Im Ergebnis des Signierverfahrens S ist ein eMD c erhalten, dessen öffentlicher Schlüssel M die Signatur (s, c, w) aufweist, siehe Gleichung (32): sig(M) = (s, c, w) (32) As a result of the signing method S, an eMD c is obtained whose public key M has the signature (s, c, w), see equation (32): sig (M) = (s, c, w) (32)
Gemäß Fig.7 generiert der Teilnehmer TI den eMD c unter Verwendung eines öf fentlichen Schlüssels M anstelle der Seriennummer m. Diese Seriennummer m ist dem Signatur-Herausgeber H geheim. Zudem generiert der Signatur-Herausgeber H die Herausgeberinformation u, w und fügt diese als festen Bestandteil der blinden Signatur bei. 7, the subscriber TI generates the eMD c using a public key M instead of the serial number m. This serial number m is secret to the signature publisher H. The signature publisher also generates H the publisher information u, w and adds this as an integral part of the blind signature.
Dies ermöglicht es, den geldwerten Betrag der eMD c zu teilen und Teilbeträge u oder zweite Teilbeträge e zwischen Teilnehmern TI, T2, T3 zu übertragen, ohne dass die blinde Signatur ungültig wird. Dabei ist es jeder Prüfinstanz PI ermöglicht, auch die Herausgeberinformation u, w zu überprüfen. Speziell bei mehrfach geteilten eMD und den entsprechend mehrfach abgeleiteten geldwerten Teilbeträgen u, e wird die Vertrauenswürdigkeit und Sicherheit erheblich verbessert. This makes it possible to divide the monetary amount of the eMD c and to transfer partial amounts u or second partial amounts e between participants TI, T2, T3 without the blind signature becoming invalid. Each PI is also able to check the publisher information u, w. Trustworthiness and security are significantly improved, especially in the case of multiple shared eMDs and the corresponding monetary partial amounts u, e.
Die Möglichkeit, einen eMD c zu teilen, vereinfacht den Verwaltungsaufwand beim Signatur-Herausgeber H und ermöglicht ein Bezahlsystem mit eMD c bei denen Wechselgeld gezahlt werden kann oder bei dem unrunde geldwerte Beträge elektro nisch übertragen werden können. In Fig.7 sind nun drei Szenarien dargesteht, mit denen ein mit dem in Fig.7 gezeigten Signierverfahren S erhaltener teilbar eMD übertragen wird und dennoch die blinde Signatur gültig bleibt. The possibility of sharing an eMD c simplifies the administrative work for the signature issuer H and enables a payment system with eMD c for which change can be paid or in which non-circular amounts of money can be electronically transferred. In Fig. 7, three scenarios are now shown, by means of which a divisible eMD obtained with the signing method S shown in Fig. 7 is transmitted and the blind signature nevertheless remains valid.
Mit den Prüfverfahren PR1, PR2, PR3 können nun unrunde Beträge sehr genau über tragen werden oder entsprechendes Rückgeld (Wechselgeld) generiert werden. Bei- spielsweise könnte der maximale geldwerte Betrag einer eMD c im Prüfverfahren PR1 von einem ersten Teilnehmer TI an einen zweiten Teilnehmer T2 gesendet werden. Im Prüfverfahren PR2 wird dann vom zweiten Teilnehmer T2 ein Teilbetrag u als Wechselgeld an den ersten Teilnehmer TI zurückübertragen. Der erste Teil nehmer TI kann nun den Teilbetrag u weiter aufteilen und den zweiten Teilbetrag e an den dritten Teilnehmer T3 im Prüfverfahren PR3 übertragen: With the test methods PR1, PR2, PR3, non-circular amounts can now be transferred very precisely or corresponding change (change) can be generated. For example, the maximum monetary amount of an eMD c could be sent from a first participant TI to a second participant T2 in the test procedure PR1. In the test procedure PR2, a partial amount u is then returned as change to the first participant TI by the second participant T2. The first participant TI can now further split the partial amount u and transfer the second partial amount e to the third participant T3 in the test procedure PR3:
Im Prüfverfahren PR1 der Fig.7 ist zunächst dargesteht, dass der gesamte geldwerte Betrag einer eMD c geprüft und ggf. bei einem zweiten Teilnehmer T2, T3 eingelöst werden soll. In the test procedure PR1 of FIG. 7, it is initially shown that the entire monetary amount of an eMD c is to be checked and, if necessary, to be redeemed by a second subscriber T2, T3.
Im Prüfverfahren PR1 der Fig.7 kann jeder, der in Kenntnis der o.g. Kurvenparame ter und des Verifizier-Schlüssels D (öffentlicher Schlüssel des Herausgebers H) ist, die blinde Signatur des eMD c prüfen, was beispielsweise mittels einer Prüfinstanz PI, die nicht zwangsläufig der Herausgeber H ist, erfolgt. In the test procedure PR1 of Fig. 7 anyone who is aware of the above. Curve parameters and the verification key D (public key of the publisher H) is to check the blind signature of the eMD c, which is done, for example, by means of a test entity PI, which is not necessarily the publisher H.
Dazu wird im Schritt 111 der unsignierte unverblendete eMD c, der signierte unver blendete eMD s, die teilnehmergenerierte Seriennummer m und die Herausgeberin formation w vom Teilnehmer TI and die Prüfinstanz PI übertragen. Im Prüfverfah- ren PR1 der Fig.7 erfolgt sodann ein Überprüfen, ob der öffentliche Schlüssel M verändert wurde und ob w verändert wurde, was nachfolgend beschrieben ist. For this purpose, in step 111, the unsigned, unblended eMD c, the signed, unblended eMD s, the subscriber-generated serial number m and the publisher information w are transmitted from the subscriber TI to the testing entity PI. In the test procedure Ren PR1 of Figure 7 is then checked whether the public key M has been changed and whether w has been changed, which is described below.
Im Schritt 112 wird die blinde Signatur verifiziert. Mit Gleichung (23) wird zunächst der teilnehmergenerierte öffentliche Schlüssel M errechnet. Mit Gleichung (15) wird die Herausgeberinformation u erhalten und mit Gleichung (33) In step 112, the blind signature is verified. The subscriber-generated public key M is first calculated using equation (23). The publisher information u is obtained with equation (15) and with equation (33)
A=s G + (c‘(M)+u) D (33) wird geprüft, ob die Bedingung der Gleichungen (24) erfüllt ist. Stimmt die errech- nete eMD c mit der erhaltenen eMD c überein, so ist die blinde Signatur gültig und die eMD c kann von der Prüfinstanz PI, oder beispielsweise auch den anderen Teil nehmern T2, T3 für weitere Bezahlvorgänge verwendet werden. A = s G + (c ’(M) + u) D (33) it is checked whether the condition of equations (24) is fulfilled. If the calculated eMD c matches the received eMD c, the blind signature is valid and the eMD c can be used by the testing body PI, or for example also by the other participants T2, T3, for further payment processes.
Im Prüfverfahren PR2 der Fig.7 ist nun zunächst mit Schritt 115 das Ableiten eines Teilbetrags u vom geldwerten Gesamtbetrag gezeigt. Dazu generiert der Teilnehmer TI (oder ein anderer Teilnehmer T2, T3, der im Besitz der eMD c ist) ein Geheimnis p und einen weiteren öffentlichen Schlüssel P unter Verwendung des teilnehmerge nerierten Geheimnisses p. Das Geheimnis p ist von der Seriennummer m verschie den. Der weitere teilnehmergenerierte Schlüssel P ist vom teilnehmergenerierten öffentlichen Schlüssel M verschieden. Beispielsweise kann der weitere teilnehmer generierte öffentliche Schlüssel P durch Multiplikation mit dem Basispunkt G erhal ten werden, siehe Gleichung (25). Für das Ableiten 115 wird mit Gleichung (26) zudem eine echte Signatur shi erstellt. Dabei ist u der abzuleitende Teilbetrag, der kleiner ist als der geldwerte Gesamtbe trag der eMD c. Die echte Signatur shi ist hier eine logische ODER Verknüpfung aus dem öffentlichen Schlüssel P und dem Teilbetrag u. Andere logische Verknüpfungen oder mathematische Operationen für das Erstellen der echten Signatur shi sind eben falls denkbar. Im Schritt 111‘ werden nun folgende Variablen zwischen zwei Teil- nehmern TI, T2, T3 ausgetauscht: In the test method PR2 of FIG. 7, the derivation of a partial amount u from the monetary total amount is shown first with step 115. For this purpose, the participant TI (or another participant T2, T3 who is in possession of the eMD c) generates a secret p and a further public key P using the participant-generated secret p. The secret p is different from the serial number m. The further subscriber-generated key P is different from the subscriber-generated public key M. For example, the further public key P generated by the subscriber can be obtained by multiplying by the base point G, see equation (25). For derivation 115, a real signature s hi is also created using equation (26). U is the partial amount to be derived, which is smaller than the total monetary amount of the eMD c. The real signature s hi is a logical OR combination of the public key P and the partial amount u. Other logical links or mathematical operations for creating the real signature s hi are also conceivable. In step 111 ', the following variables are now exchanged between two participants TI, T2, T3:
• der eMD c • the eMD c
• der teilnehmergenerierte öffentliche Schlüssel M The subscriber-generated public key M
• der signierte unverblendete eMD s • the signed unblended eMD s
· die echte Signatur shi · The real signature s hi
• der Teilbetrag u • the partial amount u
• das teilnehmergenerierte Geheimnis p • die Herausgeberinformation w • the participant-generated secret p • the publisher information w
Im Schritt 112‘ kann nun die Echtheit der blinden Signatur und die Echtheit der ech ten Signatur shi überprüft werden, wodurch der Teilbetrag u als - zwischen den Teil- nehmern PI, TI, T2, T3 -übertragen gilt. Dazu wird zunächst mittels des teilnehmer generierten Geheimnisses p und dem vereinbarten Basispunkt G der weitere öffentli che Schlüssel P errechnet, siehe Gleichung (25). Zudem wird die blinde Signatur gemäß den Gleichungen (15), (33) und (24) geprüft. Zudem wird die echte Signatur Gm aus dem errechneten weiteren teilnehmergenerierten öffentlichen Schlüssel P und dem erhaltenen Teilbetrag u errechnet und bei Übereinstimmung der Gleichung (26), gilt der Teilbetrag u als verifiziert und ist durch das Geheimnis p übertragen. Es gilt zu beachten, dass die Prüfinstanz PI, T2, T3 nicht im Besitz der teilnehmergenerier ten Seriennummer m ist und somit zwar die blinde Signatur verifizieren kann (durch den Schlüssel M) aber nicht in den Besitz des geldwerten Gesamtbetrags der eMD c gelangt. Beim Überprüfen im Verfahren PR2 der Fig.7 erfolgt also ein Überprüfen, ob der öffentliche Schlüssel M verändert wurde, ob w verändert wurde und ob die echte Signatur Gm verändert wurde. In step 112 ', the authenticity of the blind signature and the authenticity of the real signature s hi can now be checked, as a result of which the partial amount u is considered to be - transferred between the participants PI, TI, T2, T3. For this purpose, the further public key P is first calculated using the subscriber generated secret p and the agreed base point G, see equation (25). In addition, the blind signature is checked according to equations (15), (33) and (24). In addition, the real signature G m is calculated from the calculated further subscriber-generated public key P and the partial amount u obtained, and if equation (26) matches, the partial amount u is considered to be verified and is transmitted by the secret p. It should be noted that the test body PI, T2, T3 is not in possession of the subscriber-generated serial number m and can therefore verify the blind signature (using the key M) but does not have the total monetary amount of the eMD c. When checking in method PR2 of FIG. 7, a check is therefore carried out to determine whether the public key M has been changed, whether w has been changed and whether the real signature G m has been changed.
Im Prüfverfahren PR3 der Fig.7 ist nun zunächst mit Schritt 116 das Ableiten eines zweiten Teilbetrags e vom Teilbetrag u gezeigt. Dazu generiert der Teilnehmer TI (oder ein anderer Teilnehmer, der im Besitz der eMD c ist) ein zweites Geheimnis q und einen zweiten weiteren öffentlichen Schlüssel Q unter Verwendung des zweiten teilnehmergenerierten Geheimnisses q. Das zweite Geheimnis q ist von der Serien nummer m und vom Geheimnis p verschieden. Der zweite weitere teilnehmergene- rierte Schlüssel Q ist vom teilnehmergenerierten öffentlichen Schlüssel M und dem weiteren teilnehmergenerierten Schlüssel P verschieden. Beispielsweise kann der zweite weitere teilnehmergenerierte öffentliche Schlüssel Q durch Multiplikation mit dem Basispunkt G erhalten werden, siehe Gleichung (28). Für das Ableiten 116 wird mit Gleichung (29) zudem eine zweite echte Signatur sr erstellt. 7, the derivation of a second partial amount e from the partial amount u is shown in step 116. For this purpose, the subscriber TI (or another subscriber who is in possession of the eMD c) generates a second secret q and a second further public key Q using the second subscriber-generated secret q. The second secret q is different from the serial number m and from the secret p. The second further subscriber-generated key Q is different from the subscriber-generated public key M and the further subscriber-generated key P. For example, the second further subscriber-generated public key Q can be obtained by multiplication by the base point G, see equation (28). Equation (29) also creates a second real signature s r for derivation 116.
Dabei ist e der abzuleitende zweite Teilbetrag, der kleiner ist als der geldwerte Ge samtbetrag und der auch kleiner ist als der Teilbetrag u der eMD c. Die echte Signa tur sr ist hier eine logische ODER Verknüpfung aus dem öffentlichen Schlüssel Q und dem Teilbetrag e. Andere logische Verknüpfungen oder mathematische Operati- onen sind für das Erstellen der echten Signatur sr ebenfalls denkbar. Im Schritt 111“ werden nun folgende Variablen zwischen zwei Teilnehmern TI, T2, T3 ausge tauscht: der eMD c Here, e is the second partial amount to be derived, which is smaller than the total monetary amount and which is also smaller than the partial amount u of the eMD c. The real signature s r here is a logical OR combination of the public key Q and the partial amount e. Other logical links or mathematical operations are also conceivable for creating the real signature s r . In step 111 “the following variables are now exchanged between two participants TI, T2, T3: the eMD c
der teilnehmergenerierte öffentliche Schlüssel M the subscriber generated public key M
der signierte unverblendete eMD s the signed unblended eMD s
die echte Signatur shi the real signature s hi
der Teilbetrag u the partial amount u
der weitere teilnehmergenerierte öffentliche Schlüssel P the further subscriber-generated public key P
die zweite echte Signatur sr the second real signature s r
der zweite Teilbetrag e the second partial amount e
das zweite teilnehmergenerierte Geheimnis q the second subscriber generated secret q
die Herausgeberinformation w the publisher information w
Im Schritt 112“ kann nun die Echtheit der blinden Signatur, die Echtheit der echten Signatur shi und auch die Echtheit der zweiten echten Signatur sr überprüft werden, wodurch der zweite Teilbetrag e als - zwischen den Teilnehmern TI, T2, T3 - übertragen gilt. Dazu wird zunächst mittels des zweiten teilnehmergenerierten Ge heimnisses q und dem vereinbarten Basispunkt G der zweite weitere öffentliche Schlüssel Q errechnet, siehe Gleichung (28). Zudem wird die blinde Signatur gemäß den Gleichungen (15), (33) und (24) geprüft. Zudem wird die zweite echte Signatur sr aus dem errechneten zweiten weiteren teilnehmergenerierten öffentlichen Schlüs sel Q und dem erhaltenen zweiten Teilbetrag e errechnet und bei Übereinstimmung der Gleichung (30) gilt der Teilbetrag e als verifiziert und ist durch das Übertragen des zweiten Geheimnisses q auch übertragen. Es gilt zu beachten, dass die Prüfinstanz PI, T2, T3 nicht im Besitz der teilnehmergenerierten Seriennummer m oder dem teilnehmergenerierten Geheimnis p ist. Somit kann zwar die blinde Signa tur und die echte Signatur shi verifiziert werden (durch die teilnehmergenerierten öffentlichen Schlüssel M und P), die Prüfinstanz gelangt dabei aber nicht in den Be sitz des geldwerten Gesamtbetrags oder des (ersten) Teilbetrags u. In step 112 “, the authenticity of the blind signature, the authenticity of the real signature s hi and also the authenticity of the second real signature s r can now be checked, as a result of which the second partial amount e is considered to be - between the participants TI, T2, T3 . For this purpose, the second further public key Q is first calculated using the second subscriber-generated secret q and the agreed base point G, see equation (28). In addition, the blind signature is checked according to equations (15), (33) and (24). In addition, the second real signature s r is calculated from the calculated second further subscriber-generated public key Q and the received second partial amount e and, if equation (30) matches, the partial amount e is verified and is also transmitted by the transmission of the second secret q . It should be noted that the test body PI, T2, T3 does not have the participant-generated serial number m or the participant-generated secret p. Thus, the blind signature and the real signature s hi can be verified (by the subscriber-generated public keys M and P), but the verifier does not get the total monetary amount or the (first) partial amount u.
Mit den Prüfverfahren PR1, PR2 und PR3 wurde demonstriert, dass zwischen belie bigen Teilnehmern nunmehr beliebige geldwerte Beträge u, e übertragen werden können, wobei zu jedem Zeitpunkt die Echtheit der blinden Signatur und der mit den jeweiligen Teilbeträgen u, e verbundenen echten Signaturen shi und sr geprüft wer den können. Durch geeignete Wahl der zu übertragenden Variablen erhält die emp fangende Instanz dann die vollen Zugriffsrechte auf die jeweiligen Teilbeträge, wodurch der eMD als übertragen gilt. Durch das Einbinden von teilnehmerunabhän giger Herausgeberinformation u, w beim Prüfverfahren PR1, PR2, PR3 wird festge stellt, ob die öffentlichen Schlüssel M, P, Q von einer Instanz manipuliert wurden und somit ein Betrugsversuch erkannt. Die Herausgeberinformation u, w ist dabei nicht geheim und kann von jeder Instanz unabhängig vom eMD c geprüft werden. With the test methods PR1, PR2 and PR3 it was demonstrated that arbitrary monetary amounts u, e can now be transferred between any participants, the authenticity of the blind signature and the real signatures associated with the respective partial amounts u, e s hi at any time and s r can be checked. Through a suitable choice of the variables to be transmitted, the receiving entity then receives full access rights to the respective partial amounts, which means that the eMD is considered to be transmitted. By integrating subscriber-independent publisher information u, w in the test procedure PR1, PR2, PR3 it is determined whether the public keys M, P, Q have been manipulated by an entity and thus detected an attempt to defraud. The publisher information u, w is not secret and can be checked by any entity independently of the eMD c.
Im Rahmen der Erfindung können alle beschriebenen und/oder gezeichneten und/oder beanspruchten Elemente beliebig miteinander kombiniert werden. In the context of the invention, all the elements described and / or drawn and / or claimed can be combined with one another as desired.
BEZUGSZEICHENLISTE REFERENCE SIGN LIST
1-10 Verfahrensschritte für klassische blinde Signatur 1-10 process steps for classic blind signature
100- 116 Verfahrensschritte 100-116 procedural steps
Ml erstes Endgerät Ml first terminal
M2 zweites Endgerät M2 second terminal
M3 drittes Endgerät M3 third terminal
TI erster Teilnehmer TI first participant
T2 zweiter Teilnehmer T2 second participant
T3 weiterer Teilnehmer T3 other participants
H Herausgeber H publisher
PI Prüfinstanz PI test authority
m teilnehmergenerierte Seriennummer des eMD m subscriber generated serial number of the eMD
M teilnehmergenerierter öffentlicher Schlüssel aus m und G M subscriber generated public key from m and G
p teilnehmergeneriertes Geheimnis p subscriber generated secret
P teilnehmergenerierter weiterer öffentlicher Schlüssel aus p und G q zweites teilnehmergenerierte Geheimnis P subscriber-generated further public key from p and G q second subscriber-generated secret
Q zweiter teilnehmergenerierter weiterer öffentlicher Schlüssel aus q und G g, d teilnehmergenerierte Zufallszahlen (ganzzahlig) Q second subscriber-generated further public key from q and G g, d subscriber-generated random numbers (integer)
f, a, b, G, n, h vereinbarte Kurvenparameter f, a, b, G, n, h agreed curve parameters
H() kryptografische Streu wertfunktion H () cryptographic scatter value function
R herausgebergewählter Punkt R edited point
A teilnehmerberechneter Punkt A participant-calculated point
d geheimer Schlüssel des Herausgebers d the publisher's secret key
D Verifizier-Schlüssel (öffentlicher Schlüssel des Herausgebers) D verification key (publisher's public key)
G Erzeugerpunkt (Generatorpunkt, Basispunkt) der elliptischen Kurve G Generator point (generator point, base point) of the elliptic curve
S Signierverfahren S Signing process
PR Überprüfungsverfahren PR review process
r herausgebergenerierte Zufallszahl r publisher-generated random number
w Herausgeberinformation, w publisher information,
c elektronischer Münzdatensatz, eMD c electronic coin data set, eMD
c‘ unsignierter verblendeter eMD c ‘unsigned blinded eMD
c‘+u erweiterter unsignierter verblendeter eMD c ’+ u extended unsigned blinded eMD
s signierter unverblendeter eMD s signed unblended eMD
s‘ signierter verblendeter eMD s ‘signed blinded eMD
s‘‘ erweiterter signierter verblendeter eMD s ’’ extended signed blinded eMD
u geldwerter Teilbetrag u non-cash partial amount
e zweiter geldwerter Teilbetrag e second monetary partial amount
om Signatur über den Teilbetrag u und den öffentlichen Schlüssel P sr Signatur über den Teilbetrag e und den öffentlichen Schlüssel Q o m u signature on the partial amount and the public key P r s signature over the partial amount e and public key Q

Claims

PATENTANSPRÜCHE PATENT CLAIMS
1. Ein Verfahren (100) zum Erzeugen einer blinden Signatur für einen elektro nischen Münzdatensatz, eMD (c), mit den Verfahrensschritten: 1. A method (100) for generating a blind signature for an electronic coin data set, eMD (c), with the method steps:
- Erhalten (107) eines unsignierten verblendeten eMD (c‘) von einem Teil nehmer (TI) bei einem Signatur-Herausgeber (H); - Receiving (107) an unsigned, blinded eMD (c ') from a subscriber (TI) at a signature issuer (H);
- Erweitern (113) des unsignierten verblendeten eMD (c‘) mit einer Herausge berinformation (u, w) durch den Signatur-Herausgeber (H) zum Erhalten ei nes erweiterten unsignierten eMD (c‘+u; c‘+w); - Extension (113) of the unsigned, blinded eMD (c ‘) with a publisher information (u, w) by the signature publisher (H) to obtain an extended unsigned eMD (c’ + u; c ’+ w);
- Signieren (108) des erweiterten unsignierten eMD (c‘+u; c‘+w) unter Ver wendung einer herausgebergenerierten Zufallszahl (r) und eines geheimen Schlüssels (d) des Signatur-Herausgebers (H) zum Erhalten eines erweiterten signierten verblendeten eMD (s‘‘); und - Signing (108) the extended unsigned eMD (c '+ u; c' + w) using a publisher-generated random number (r) and a secret key (d) of the signature issuer (H) to obtain an extended signed blinded eMD (s ''); and
- Senden (109) des erweiterten signierten verblendeten eMD (s“) und der Her ausgeberinformation (u, w) an den Teilnehmer (TI), wobei die gesendete Herausgeberinformation (u, w) ein Teil der blinden Signatur ist. - Sending (109) the expanded signed blinded eMD (s “) and the publisher information (u, w) to the subscriber (TI), the sent publisher information (u, w) being part of the blind signature.
2. Das Verfahren (100) nach Anspruch 1, wobei die Herausgeberinformation (u, w) unabhängig von der signierten verblendeten eMD (s“) als eigenständige Informa- tion bereitgestellt wird. 2. The method (100) according to claim 1, wherein the publisher information (u, w) is provided independently of the signed, blinded eMD (s ") as independent information.
3. Das Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei die zum Erweitern (113) der unsignierten verblendeten eMD (c‘) verwendete Herausge berinformation (u) das Ergebnis einer Streuwertfunktion (H()) mit einem Herausge- berwert (w) ist, wobei der Herausgeberwert (w) als die Herausgeberinformation (u,w) gesendet wird und der Teil der blinden Signatur ist. 3. The method (100) according to one of the preceding claims, wherein the publisher information (u) used to expand (113) the unsigned, blinded eMD (c ') is the result of a scatter value function (H ()) with a publisher value (w ) where the publisher value (w) is sent as the publisher information (u, w) and is part of the blind signature.
4. Das Verfahren (100) nach 3, wobei der Herausgeberwert (w) mindestens eine der folgenden Werte ist: 4. The method (100) of 3, wherein the publisher value (w) is at least one of the following values:
- ein Zeitwert; - a current value;
- eine Identifikation des Herausgebers; und/oder - an identification of the publisher; and or
- ein herausgebergenerierter Wert. - a publisher-generated value.
5. Das Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei der eMD (c) das Ergebnis (106) einer Streu wertfunktion (H()) aus einer teilnehmergene rierten Seriennummer (m) und einem teilnehmerberechneten Punkt (A) einer ellipti schen Kurve ist. 5. The method (100) according to any one of the preceding claims, wherein the eMD (c) the result (106) of a scatter value function (H ()) from a subscriber-generated serial number (m) and a subscriber-calculated point (A) of an elliptical rule Curve is.
6. Das Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei der eMD (c) das Ergebnis einer Streu wertfunktion (H()) aus einem teilnehmergenerier ten öffentlichen Schlüssel (M) und einem teilnehmerberechneten Punkt (A) einer elliptischen Kurve ist, wobei der teilnehmergenerierte öffentliche Schlüssel (M) von der teilnehmergenerierten Seriennummer (m) abgeleitet ist. 6. The method (100) according to one of the preceding claims, wherein the eMD (c) is the result of a scatter value function (H ()) from a subscriber-generated public key (M) and a subscriber-calculated point (A) of an elliptic curve, the subscriber-generated public key (M) being derived from the subscriber-generated serial number (m).
7. Ein Verfahren zum Überprüfen einer blinden Signatur eines elektronischen Münzdatensatzes, eMD (c), wobei die blinde Signatur gemäß dem Verfahren (100) der vorhergehenden Ansprüche 1 bis 6 erzeugt wurde, mit den Verfahrensschritten: 7. A method for checking a blind signature of an electronic coin data record, eMD (c), the blind signature being generated in accordance with the method (100) of the preceding claims 1 to 6, with the method steps:
- Erhalten (111) von: - Received (111) from:
o dem eMD (c), o the eMD (c),
o einer zum Erzeugen des eMD (c) verwendeten Seriennummer (m), o einem signierten unverblendeten eMD (s), und o a serial number (m) used to generate the eMD (c), o a signed uncovered eMD (s), and
o der Herausgeberinformation (u, w); o the publisher information (u, w);
- Berechnen (112) eines eMD unter Verwendung der erhaltenen Seriennummer - Calculate (112) an eMD using the serial number obtained
(m), dem signierten unverblendeten eMD (s), der Herausgeberinformation (w) und einem öffentlichen Schlüssel (D) des Signatur-Herausgebers (H); und (m), the signed uncovered eMD (s), the publisher information (w) and a public key (D) of the signature publisher (H); and
- Vergleichen des berechneten eMD mit dem erhaltenen eMD (c) und Verifi- zieren der Echtheit der blinden Signatur, wenn der berechnete eMD mit dem erhaltenen eMD (c) übereinstimmt. - Compare the calculated eMD with the received eMD (c) and verify the authenticity of the blind signature if the calculated eMD matches the received eMD (c).
8. Das Verfahren nach Anspruch 7, wobei der erhaltene eMD (c) das Ergebnis einer Streu wertfunktion (H()) aus einer Verknüpfung (M) einer teilnehmergenerier- ten Seriennummer (m) mit einem Basispunkt (G) und einem teilnehmerberechneten Punkt (A) einer elliptischen Kurve ist und wobei vor dem Berechnen der eMD (c) ein teilnehmergenerierter öffentlicher Schlüssel (M) von der teilnehmergenerierten Seriennummer (m) abgeleitet wird. 8. The method according to claim 7, wherein the eMD (c) obtained is the result of a scatter value function (H ()) from a link (M) of a subscriber-generated serial number (m) with a base point (G) and a subscriber-calculated point ( A) is an elliptic curve and a subscriber-generated public key (M) is derived from the subscriber-generated serial number (m) before the eMD (c) is calculated.
9. Ein Verfahren zum Überprüfen einer blinden Signatur eines elektronischen Münzdatensatzes, eMD (c), wobei die blinde Signatur nach einem Verfahren der Ansprüche 1 bis 6 erzeugt wurde, mit den Verfahrensschritten: 9. A method for checking a blind signature of an electronic coin data set, eMD (c), the blind signature being generated according to a method of claims 1 to 6, with the method steps:
- Erhalten (111) von: - Received (111) from:
o dem eMD (c); o the eMD (c);
o einem zum Erzeugen des eMD (c) verwendeten teilnehmergenerierten öffentlichen Schlüssel (M); o a user-generated public key (M) used to generate the eMD (c);
o einem signierten unverblendeten eMD (s); o a signed uncovered eMD (s);
o einem geldwerten Teilbetrag der eMD (n); o einer Signatur (om) über eine Verknüpfung aus dem geldwerten Teil betrag (u) und einem weiteren teilnehmergenerierten öffentlichen Schlüssel (P); o a monetary portion of the eMD (s); o a signature (o m ) via a link between the monetary part amount (u) and another subscriber-generated public key (P);
o dem teilnehmergenerierten Geheimnis (p); und o the subscriber generated secret (p); and
o der Herausgeberinformation (w); o the publisher information (w);
Berechnen des weiteren öffentlichen Schlüssels (P) aus dem erhaltenen teil nehmergenerierten Geheimnis (p); Calculating the further public key (P) from the received subscriber-generated secret (p);
Berechnen einer Signatur (shi) über die Verknüpfung aus dem geldwerten Teilbetrag (u) und dem berechneten weiteren öffentlichen Schlüssel (P); Vergleichen der berechneten Signatur (shi) mit der erhaltenen Signatur (shi) und Verifizieren der Echtheit des geldwerten Teilbetrags (n); Calculating a signature (s hi ) via the link from the monetary partial amount (u) and the calculated further public key (P); Comparing the calculated signature (s hi ) with the received signature (s hi ) and verifying the authenticity of the monetary partial amount (n);
Berechnen eines eMD unter Verwendung des teilnehmergenerierten öffentli chen Schlüssels (M), der signierten unverblendeten eMD (s), der Herausge berinformation (w) und einem öffentlichen Schlüssel (D) des Signatur- Herausgebers (H); Calculating an eMD using the subscriber-generated public key (M), the signed uncovered eMD (s), the publisher information (w) and a public key (D) of the signature publisher (H);
Vergleichen des berechneten eMD mit dem erhaltenen eMD (c) und Verifi zieren der Echtheit der blinden Signatur, wenn der berechnete eMD mit dem erhaltenen eMD (c) übereinstimmt. Comparing the calculated eMD with the received eMD (c) and verifying the authenticity of the blind signature if the calculated eMD matches the received eMD (c).
10. Das Verfahren nach einem der Ansprüche 7 bis 9, wobei das Überprüfen durch den Signatur-Herausgeber (H) oder einer, von dem Signatur-Herausgeber (H) verschiedenen, Prüfinstanz (PI) erfolgt. 10. The method according to any one of claims 7 to 9, wherein the verification is carried out by the signature publisher (H) or a different from the signature publisher (H), test entity (PI).
11. Das Verfahren nach einem der Ansprüche 7 bis 10, wobei beim Überprüfen auch die Herausgeberinformation (u, w) verifiziert wird. 11. The method according to any one of claims 7 to 10, wherein the publisher information (u, w) is also verified during the checking.
12. Das Verfahren nach einem der Ansprüche 7 bis 11, wobei die blinde Signatur mit einem Elliptische Kurven Signieralgorithmus, ECDSA, erzeugt wird und zum Prüfen der blinden Signatur vereinbarte Kurvenparameter (f, p, a, b, G, n, h, H()) der elliptischen Kurve bereitgestellt werden. 12. The method according to any one of claims 7 to 11, wherein the blind signature is generated with an elliptical curve signing algorithm, ECDSA, and agreed curve parameters for checking the blind signature (f, p, a, b, G, n, h, H ()) of the elliptic curve.
13. Ein Bezahlsystem zum Übertragen eines elektronischen Münzdatensatzes, eMD (c) zwischen zumindest zwei Teilnehmern (TI, T2, T3), wobei das Bezahlsys tem umfasst: 13. A payment system for transmitting an electronic coin record, eMD (c) between at least two participants (TI, T2, T3), the payment system comprising:
- einen ersten Teilnehmer (TI) zum Erzeugen eines unsignierten verblendeten eMD (c‘); - a first participant (TI) for generating an unsigned, blinded eMD (c ');
- einen Signaturherausgeber (H) zum Erzeugen einer blinden Signatur gemäß dem Verfahren (100) eines der vorhergehenden Ansprüche 1 bis 6; - und einem zweiten Teilnehmer (T2) zum Erhalten des erzeugten eMD (c), ei nes signierten unverblendeten eMD (s) und einer zum Erzeugen des eMD (c) verwendeten Seriennummer (m). - a signature issuer (H) for generating a blind signature according to the method (100) of one of the preceding claims 1 to 6; - And a second participant (T2) to receive the generated eMD (c), a signed unblended eMD (s) and a serial number (m) used to generate the eMD (c).
14. Das Bezahlsystem nach Anspruch 13, wobei der zweite Teilnehmer (T2) den erhaltenen erzeugten eMD (c), den signierten unverblendeten eMD (s) und die zum Erzeugen des eMD (c) verwendeten Seriennummer (m) mittels des Verfahrens der Ansprüche 7 bis 12 überprüft. 14. The payment system according to claim 13, wherein the second subscriber (T2) receives the generated generated eMD (c), the signed unblended eMD (s) and the serial number (m) used to generate the eMD (c) by means of the method of claims 7 checked to 12.
15. Das Bezahlsystem nach Anspruch 13 oder 14, wobei der erste Teilnehmer15. The payment system of claim 13 or 14, wherein the first participant
(TI) zum Erzeugen (106) des eMD (c) das Ergebnis einer Streuwertfunktion (H()) aus einer Verknüpfung eines teilnehmergenerierten öffentlichen Schlüssels (M) mit einem teilnehmerberechneten Punkt (A) ist, wobei der teilnehmergenerierte öffentli che Schlüssel (M) von der teilnehmergenerierten Seriennummer (m) abgeleitet ist. (TI) for generating (106) the eMD (c) is the result of a scatter value function (H ()) from a link between a subscriber-generated public key (M) and a subscriber-calculated point (A), the subscriber-generated public key (M) is derived from the subscriber generated serial number (m).
EP19824235.6A 2018-12-18 2019-12-09 Method for generating a blind signature Pending EP3899844A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102018009943.2A DE102018009943A1 (en) 2018-12-18 2018-12-18 Process for creating a blind signature
PCT/EP2019/025438 WO2020126078A1 (en) 2018-12-18 2019-12-09 Method for generating a blind signature

Publications (1)

Publication Number Publication Date
EP3899844A1 true EP3899844A1 (en) 2021-10-27

Family

ID=68987652

Family Applications (1)

Application Number Title Priority Date Filing Date
EP19824235.6A Pending EP3899844A1 (en) 2018-12-18 2019-12-09 Method for generating a blind signature

Country Status (3)

Country Link
EP (1) EP3899844A1 (en)
DE (1) DE102018009943A1 (en)
WO (1) WO2020126078A1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11651354B2 (en) * 2019-09-11 2023-05-16 Nxp B.V. Efficient partially spendable e-cash
DE102021000572A1 (en) 2021-02-04 2022-08-04 Giesecke+Devrient Advance52 Gmbh PROCEDURE FOR CREATING A COIN RECORD COMPOSITION, SUBSCRIBER UNIT AND PAYMENT SYSTEM
DE102021000570A1 (en) 2021-02-04 2022-08-04 Giesecke+Devrient Advance52 Gmbh METHOD OF PROVIDING AN EVIDENCE DATASET; PROCEDURE FOR EXAMINING AN EVIDENCE RECORD; A COIN REGISTER; A SUBSCRIBER UNIT AND A COMPUTER PROGRAM PRODUCT
US20220284129A1 (en) * 2021-03-07 2022-09-08 Guardtime Sa Verifiable Splitting of Single-Instance Data Using Sharded Blockchain

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4977595A (en) * 1989-04-03 1990-12-11 Nippon Telegraph And Telephone Corporation Method and apparatus for implementing electronic cash
US5901229A (en) * 1995-11-06 1999-05-04 Nippon Telegraph And Telephone Corp. Electronic cash implementing method using a trustee
EP1838031A4 (en) * 2004-12-27 2013-08-14 Nec Corp Limited blind signature system

Also Published As

Publication number Publication date
WO2020126078A1 (en) 2020-06-25
DE102018009943A1 (en) 2020-06-18

Similar Documents

Publication Publication Date Title
DE102017204536B3 (en) Issuing virtual documents in a blockchain
DE102012206341B4 (en) Joint encryption of data
WO2020126078A1 (en) Method for generating a blind signature
DE112011100182B4 (en) Data security device, computing program, terminal and system for transaction verification
DE19804054B4 (en) System for verification of data cards
DE602005002652T2 (en) System and method for renewing keys used in public-key cryptography
DE60104411T2 (en) METHOD FOR TRANSMITTING A PAYMENT INFORMATION BETWEEN A TERMINAL AND A THIRD DEVICE
DE60031304T3 (en) METHOD FOR AUTHENTICATING SOFTWARE USERS
DE19781841C2 (en) Method for automatically deciding the validity of a digital document from a remote location
DE69838003T2 (en) METHOD FOR ESTABLISHING A PARTICIPANT TRUSTWORTH DURING A COMMUNICATION CONNECTION
EP2962439B1 (en) Reading an attribute from an id token
DE60209809T2 (en) METHOD FOR THE DIGITAL SIGNATURE
EP3956846A1 (en) Method for directly transmitting electronic coin data sets between terminals and a payment system
EP4111348A1 (en) Method for directly transmitting electronic coin datasets between terminals, payment system, protection system, and monitoring unit
DE10143728A1 (en) Device and method for calculating a result of a modular exponentiation
DE60212248T2 (en) Information security apparatus, apparatus and method for generating a prime number
DE60202149T2 (en) PROCESS FOR CRYPTOGRAPHIC AUTHENTICATION
EP2893668B1 (en) Method for generating a derived authority from an original data carrier
EP3899845A1 (en) Method for obtaining a blind signature
EP4111399B1 (en) Method, terminal, monitoring entity, and payment system for managing electronic coin datasets
WO2023036458A1 (en) Method and transaction system for transmitting tokens in an electronic transaction system
DE102022000857B3 (en) Procedure for the secure identification of a person by a verification authority
DE102021000570A1 (en) METHOD OF PROVIDING AN EVIDENCE DATASET; PROCEDURE FOR EXAMINING AN EVIDENCE RECORD; A COIN REGISTER; A SUBSCRIBER UNIT AND A COMPUTER PROGRAM PRODUCT
WO2022233454A1 (en) Method for registering an electronic coin data set in a coin register; a coin register; a subscriber unit and a computer program product
DE102020105668A1 (en) Method and system for electronic remote signature

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20210719

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: GIESECKE+DEVRIENT ADVANCE52 GMBH

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
P01 Opt-out of the competence of the unified patent court (upc) registered

Effective date: 20230519