EP3956845A1

EP3956845A1 - Gerät zum direkten übertragen von elektronischen münzdatensätzen an ein anderes gerät sowie bezahlsystem

Info

Publication number: EP3956845A1
Application number: EP20719976.1A
Authority: EP
Inventors: Florian Gawlas; Tilo FRITZHANNS; Wolfram Seidemann; Verena Rapp; Maria Veleva
Original assignee: Giesecke and Devrient GmbH
Current assignee: Giesecke and Devrient Advance52 GmbH
Priority date: 2019-04-15
Filing date: 2020-04-14
Publication date: 2022-02-23
Also published as: CN113924588A; US20220207500A1; DE102019002731A1; WO2020212331A1

Abstract

Die Erfindung betrifft ein Gerät zum direkten Übertragen von elektronischen Münzdatensätzen an ein anderes Gerät. Das Gerät umfasst Mittel zum Zugreifen auf einen Datenspeicher, wobei im Datenspeicher zumindest ein elektronischer Münzdatensatz abgelegt ist; eine Schnittstelle zumindest zum Ausgaben des zumindest einen elektronischen Münzdatensatzes an das andere Gerät; und eine Recheneinheit, die zum Maskieren des elektronischen Münzdatensatzes im Gerät durch Anwenden einer homomorphen Einwegfunktion auf den elektronischen Münzdatensatz zum Erhalten eines maskierten elektronischen Münzdatensatzes zum Registrieren des maskierten elektronischen Münzdatensatzes in einer Überwachungsinstanz; und zum Ausgeben des elektronischen Münzdatensatzes mittels der Schnittstelle eingerichtet ist, wobei der zumindest eine elektronische Münzdatensatz wie zuvor beschrieben aufgebaut ist, also einen monetären Betrag und einen Verschleierungsbetrag aufweist. Die Erfindung betrifft zudem ein Bezahlsystem mit einer Überwachungsschicht mit einer Datenbank in der maskierte elektronische Münzdatensätze abgelegt sind; und einer Direkttransaktionsschicht mit zumindest zwei Geräten, in welcher das Verfahren durchführbar.

Description

GERÄT ZUM DIREKTEN ÜBERTRAGEN VON ELEKTRONISCHEN MÜNZDATENSÄTZEN AN EIN ANDERES GERÄT SOWIE BEZAHLSYSTEM

TECHNISCHES GEBIET DER ERFINDUNG

Die Erfindung betrifft ein Gerät zum direkten Übertragen von elektronischen Münzdatensätzen an ein anderes Gerät. Weiter betrifft die Erfindung ein Bezahlsystem zum Austauschen von monetären Beträgen.

TECHNISCHER HINTERGRUND DER ERFINDUNG

Sicherheit von Bezahltransaktionen und den dazugehörigen Bezahltransaktionsdaten bedeutet sowohl Schutz der Vertraulichkeit der ausgetauschten Daten; als auch Schutz der Integrität der ausgetauschten Daten; als auch Schutz der Verfügbarkeit der ausgetauschten Daten.

Herkömmliche Blockchain-basierte Bezahltransaktionen, wie beispielsweise Bitcoin, stellen einen hohen Schutz der Integrität dar. Wenn elektronische Münzdatensätze, auch„Coins“ genannt, in einer Blockchain-Technologie den Besitzer wechseln, werden viele Informationen veröffentlicht. Somit sind derartige Bezahltransaktionen und insbesondere die ausgetauschten Daten nicht vollkommen vertraulich. Zudem sind die Bezahltransaktionen sehr rechenintensiv und damit energieaufwendig.

Daher werden herkömmlich oft anstelle der vertraulichen Daten nur die Hash-Werte der vertraulichen Daten in einem Blockchain-Ledger abgespeichert. Die korrespondierenden Klartext-Daten müssen dann außerhalb der Blockchain verwaltet werden. Für elektronische Münzdatensätze sind solche Konzepte bislang nicht anwendbar, weil sie grundlegende Kontrollfunktionen, insbesondere (1) das Erkennen von Mehrfachausgabe- Verfahren, auch Double- Spending, genannt und (2) das Erkennen von ungedeckten Zahlungen nicht aufweisen. Im Fall (1) versucht jemand denselben Münzdatensatz mehrfach auszugeben und im zweiten Fall versucht jemand einen Münzdatensatz auszugeben, obwohl er kein Guthaben (mehr) besitzt.

Aus der DE 10 2009 038 645 Al und der DE 10 2009 034 436 Al sind Systeme zum Übertragen von geldwerten Beträgen in Form elektronischer Datensätze, bei denen ein Bezahlen mit Duplikaten des Datensatzes verhindert und ein hoher Grad an Manipulationssicherheit gegeben ist, bekannt, wobei hier komplexe Strukturen und aufwendige Verschlüsselungs- und Signiervorgänge beim Austausch erforderlich sind. Die haben sich als wenig praxistauglich herausgestellt.

In der WO 2016/200885 Al ist ein Verfahren zur Verschlüsselung eines in einem Blockchain- Ledger getätigten Betrags beschrieben, wobei die Verifizierbarkeit der Transaktion erhalten bleibt. Dabei wird ein Verschleierungsbetrag zu einem Eingangswert addiert. Dann wird ein Ausgangswert erzeugt und verschlüsselt. Sowohl der Eingangswert als auch der Ausgangswert liegen innerhalb eines Wertehereichs, wobei eine Summe von zwei beliebigen Werten innerhalb des Bereichs einen Schwellenwert nicht überschreitet. Die Summe aus dem verschlüsselten Eingangswert und dem verschlüsselten Ausgangswert kann gleich Null sein. Bereichsprüfungen, sogenannte Range-Proofs, sind jedem der Eingangswerte und dem Ausgangswert zugeordnet. Diese Bereichsprüfungen beweisen, dass der Eingangswert und der Ausgangswert in den Wertebereich fallen. Jeder öffentliche Schlüssel kann mit einer Ringsignatur signiert werden, die auf einem öffentlichen Schlüssel eines Empfängers in der Transaktion basiert. In diesem Verfahren ist eine Blockchain-Technologie notwendig, die nach Erhalt eines Münzdatensatzes angerufen werden muss, um den Münzdatensatz zu validieren.

Es ist Aufgabe der vorliegenden Erfindung, ein Verfahren und ein System zu schaffen, in denen eine Bezahltransaktion sicher aber dennoch einfach ausgestaltet ist. Dabei soll insbesondere eine direkte Bezahlung zwischen Geräten, wie Token, Smartphones aber auch Maschinen, wie Kassenterminals oder Automaten, geschaffen werden, die anonym ist. Die Münzdatensätze sollen nach dem Erhalt sofort weiterverwendet werden können, beispielsweise um eine Bezahlung auch ohne Netzverbindung zu ermöglichen. Mehrere Münzdatensätze sollen beim Benutzer beliebig miteinander kombiniert und/oder aufgeteilt werden können, um ein flexibles Austauschen zu ermöglichen. Die ausgetauschten Münzdatensätze sollen einerseits vertraulich gegenüber anderen Systemteilnehmem sein, aber andererseits jedem Systemteilnehmer erlauben, grundlegende Prüfungen durchzufuhren, insbesondere das Erkennen von Mehrfach- Ausgabe- Versuchen und das Erkennen von Versuchen mit nicht vorhandenen Beträgen zu zahlen.

ZUSAMMENFASSUNG DER ERFINDUNG

Die gestellten Aufgaben werden mit den Merkmalen der unabhängigen Patentansprüche gelöst. Weitere vorteilhafte Ausgestaltungen sind in den abhängigen Patentansprüchen beschrieben.

Die Aufgabe wird insbesondere durch ein Verfahren zum direkten Übertragen von elektronischen Münzdatensätzen zwischen Endgeräten gelöst, wobei ein ersten Endgerät zu ein zweites Endgerät, wobei das erste Endgerät zumindest einen elektronischen Münzdatensatz aufweist, weist die folgenden Schritte auf:

Übertragen des elektronischen Münzdatensatzes vom ersten Endgerät an ein zweites Endgerät, wobei der zumindest eine elektronische Münzdatensatz mindestens einen monetären Betrag und einen Verschleierungsbetrag aufweist;

Empfangen des elektronischen Münzdatensatzes vom ersten Endgerät als ein übertragener elektronischer Münzdatensatz im zweiten Endgerät; und

Erzeugen eines weiteren elektronischen Münzdatensatzes unter Verwendung des übertragenen elektronischen Münzdatensatzes. Das Erzeugen des weiteren elektronischen Münzdatensatzes erfolgt vorzugsweise durch

- Umschalten des übertragenen elektronischen Münzdatensatzes zu dem weiteren elektronischen Münzdatensatz, nämlich umzuschaltenden elektronischen Münzdatensatz; und/ oder

- Aufteilen des übertragenen elektronischen Münzdatensatzes zu zumindest zwei weiteren elektronischen Münzteildatensätzen; und/ oder

- Verbinden des übertragenen elektronischen Münzdatensatzes mit zumindest einem zweiten elektronischen Münzdatensatz zu dem weiteren elektronischen Münzdatensatz, nämlich verbundenen elektronischen Münzdatensatz.

Weiterhin umfasst das Verfahren die nachfolgenden Schritte:

- Maskieren des weiteren elektronischen Münzdatensatzes im zweiten Endgerät durch Anwenden einer homomorphen Einwegfunktion auf den weiteren elektronischen Münzdatensatz zum Erhalten eines maskierten elektronischen Münzdatensatzes; und

- Registrieren des maskierten (weiteren) elektronischen Münzdatensatzes in einer entfernten Überwachungsinstanz.

Die hier beschriebenen Schritte müssen nicht in der beschriebenen Reihenfolge durchgeführt werden. Die hier beschriebene Reihenfolge ist jedoch eine bevorzugte Ausgestaltung.

Der Schritt des Registrierens wird vorzugsweise dann ausgeführt, wenn die Geräte mit der Überwachungsinstanz verbunden sind. In einer Alternative können die beschriebenen Schritte auch ausgeführt werden, ohne dass der Schritt des Registrierens in der Überwachungsinstanz ausgeführt wird.

Beim Umschalten des übertragenen Münzdatensatzes entspricht in einer Ausgestaltung der monetäre Betrag des übertragenen elektronischen Münzdatensatzes vom ersten Endgerät dem monetären Betrag des weiteren elektronischen Münzdatensatzes. Beim Aufteilen des übertragenen elektronischen Münzdatensatzes entspricht in einer Ausgestaltung der monetäre Betrag des übertragenen elektronischen Münzdatensatzes dem monetären Gesamtbetrag der aus dem übertragenen elektronischen Münzdatensatz erstellten weiteren elektronischen Münzteildatensätze. Beim Verbinden entspricht in einer Ausgestaltung der monetäre Gesamtbetrag aus dem übertragenen elektronischen Münzdatensatz mit dem zweiten elektronischen Münzdatensatz dem monetären Betrag des verbundenen elektronischen Münzdatensatzes.

Eine vom Endgerät an die Überwachungsinstanz gesendete Registrierungsanforderung (wie Befehl zum Umschalten, Verbinden oder Aufteilen) umfasst entsprechend vorzugsweise: - genau einen zu registrierenden maskierten elektronischen Münzdatensatz und genau einen registrierten maskierten elektronischen Münzdatensatz, oder

- zumindest zwei zu registrierende maskierte aufgeteilte modifizierte elektronische Münzdatensätze (und den maskierten empfangenen elektronischen Münzdatensatz), oder

- zumindest zwei registrierte maskierte elektronische Münzdatensätze (einer davon ist der maskierte empfangene elektronische Münzdatensatz und den maskierten verbundenen elektronischen Münzdatensatz).

Das Endgerät sendet die Registrierungsanforderung an die Überwachungsinstanz, welche gültige, maskierte elektronische Münzdatensatze für elektronische Münzdatensätze speichert. Endgeräte können die Validität eines - insbesondere des empfangenen - elektronischen Münzdatensatzes alternativ oder zusätzlich (beispielsweise vor einer weiteren Verwendung) prüfen, indem es den maskierten elektronischen Münzdatensatz in einer Validitätsanfrage an die Überwachungsinstanz sendet. Die Überwachungsinstanz beantwortet die Validitätsanfrage (positiv oder negativ) anhand der gespeicherten gültigen maskierten elektronischen Münzdatensatze.

Ein elektronischer Münzdatensatz ist insbesondere ein elektronischer Datensatz, der einen geldwerten (=monetären) Betrag repräsentiert und umgangssprachlich auch als„digitale Münze” oder „elektronische Münze”, englisch „digital/electronic Coin“ bezeichnet wird. Dieser geldwerte Betrag wechselt bei dem Verfahren von einem ersten Endgerät zu einem anderen Endgerät. Als ein geldwerter Betrag wird im Folgenden ein digitaler Betrag verstanden, der z.B. auf einem Konto eines Geldinstituts gutgeschrieben werden kann, oder gegen ein anderes Zahlungsmittel getauscht werden kann. Ein elektronischer Münzdatensatz repräsentiert also Bargeld in elektronischer Form.

Das Endgerät kann eine Vielzahl von elektronischen Münzdatensätzen aufweisen, beispielsweise kann in einem Datenspeicher des Endgeräts die Vielzahl von Münzdatensätzen hinterlegt sein. Der Datenspeicher stellt dann beispielsweise eine elektronische Geldbörse dar. Der Datenspeicher kann beispielsweise intern, extern oder virtuell sein. In einer Ausgestaltung kann beim Empfangen eines elektronischen Datensatzes automatisch ein„Verbinden“ stattfinden, sodass bevorzugt nur eine (oder eine bestimmte Anzahl an) elektronische(n) Datensätzen im Endgerät sind.

Das Endgerät kann beispielsweise ein passives Gerät, wie z. B. ein Token, ein mobiles Endgerät, wie z.B. ein Smartphone, ein Tablet-Computer, ein Computer, ein Server oder eine Maschine sein. Ein elektronischer Münzdatensatz zum Übertragen von geldwerten Beträgen unterscheidet sich wesentlich von einem elektronischen Datensatz zum Datenaustausch oder Datentransfer, da beispielsweise eine klassische Datentransaktion auf Basis eines Frage- Antwort-Prinzips bzw. auf einer Interkommunikation zwischen den Datentransferpartnem stattfindet. Ein elektronischer Münzdatensatz ist dementgegen einmalig, eindeutig und steht im Kontext eines Sicherheitskonzepts, welches beispielsweise Signaturen oder Verschlüsselungen umfassen kann. In einem elektronischen Münzdatensatz sind prinzipiell alle Daten enthalten, die für eine empfangende Instanz bezüglich Verifikation, Authentisierung und Weitergeben an andere Instanzen benötigt werden. Eine Interkommunikation zwischen den Endgeräten beim Austausch ist daher bei dieser Art Datensätze grundsätzlich nicht erforderlich.

Erfindungsgemäß weist ein zum Übertragen zwischen zwei Endgeräten verwendender elektronischer Münzdatensatz einen monetären Betrag, also ein Datum, das einen Geldwert des elektronischen Münzdatensatzes darstellt, und einen Verschleierungsbetrag, beispielsweise eine Zufallszahl, auf. Darüber hinaus kann der elektronische Münzdatensatz weitere Metadaten aufweisen, beispielsweise welche Währung der monetäre Betrag repräsentiert. Ein elektronischer Münzdatensatz wird durch diese wenigstens beiden Daten (monetärer Betrag und Verschleierungsbetrag) eindeutig repräsentiert. Jeder, der Zugriff auf diese beiden Daten eines gültigen Münzdatensatzes hat, kann diesen elektronischen Münzdatensatz zum Bezahlen verwenden. Die Kenntnis dieser beiden Werte (monetärer Betrag und Verschleierungsbetrag) ist also gleichbedeutend mit dem Besitz des digitalen Geldes. Dieser elektronische Münzdatensatz wird zwischen zwei Endgeräten direkt übertragen. In einer Ausgestaltung der Erfindung besteht ein elektronischer Münzdatensatz aus diesen beiden Daten, es ist somit zum Austausch von digitalem Geld nur die Übertragung des monetären Betrags und der Verschleierungsbetrag notwendig.

Zu jedem elektronischen Münzdatensatz gehört ein entsprechender maskierter elektronischer Münzdatensatz zugeordnet. Die Kenntnis eines maskierten elektronischen Münzdatensatzes berechtigt nicht dazu, das digitale Geld, das durch den elektronischen Münzdatensatz repräsentiert wird, auszugeben. Dies stellt einen wesentlichen Unterschied zwischen maskierte elektronischen Münzdatensätze und (nicht maskierte)elektronische Münzdatensätze dar und ist der Kern der hier vorliegenden Erfindung. Der maskierte elektronische Münzdatensatz ist einzigartig und eindeutig einem elektronischen Münzdatensatz zuzuordnen, also einer 1 -zu- 1 Beziehung. Das Maskieren des elektronischen Münzdatensatzes erfolgt bevorzugt durch eine Recheneinheit des Endgeräts innerhalb des Endgeräts das auch den zumindest einen elektronische Münzdatensatz aufweist. Alternativ kann das Maskieren durch eine Recheneinheit des Endgeräts, das den elektronischen Münzdatensatz empfängt, erfolgen. Dieser maskierte elektronische Münzdatensatz wird durch Anwenden einer homomorphen Einwegfunktion, insbesondere einer homomorphen kryptographischen Funktion, erhalten. Diese Funktion ist eine Einwegfunktion, also eine mathematische Funktion, die komplexitätstheoretisch „leicht“ berechenbar, aber „schwer“ bis praktisch unmöglich umzukehren ist. Hierbei wird unter Einwegfunktion auch eine Funktion bezeichnet, zu der bislang keine in angemessener Zeit und mit vertretbarem Aufwand praktisch ausführbare Umkehrung bekannt ist. Somit ist die Berechnung eines maskierten elektronischen Münzdatensatzes aus einem elektronischen Münzdatensatz vergleichbar mit der Generierung eines öffentlichen Schlüssels in einem Verschlüsselungsverfahren über eine Restklassengruppe. Vorzugsweise wird eine Einwegfunktion verwendet, die auf eine Gruppe operiert, in der das diskrete Logarithmusproblem schwer zu lösen ist, wie z. B. ein krypto graphisches Verfahren analog einer elliptischer-Kurve- Verschlüsselung, kurz ECC, aus einem privaten Schlüssel eines entsprechenden Kryptographieverfahrens. Die umgekehrte Funktion, also die Erzeugung eines elektronischen Münzdatensatzes aus einem maskierten elektronischen Münzdatensatzes, ist dabei - äquivalent zur Erzeugung des privaten Schlüssels aus einem öffentlichen Schlüssel in einem Verschlüsselungsverfahren über einer Restklassengruppe - sehr zeitintensiv. Wenn im vorliegenden Dokument von Summen und Differenzen oder anderen mathematischen Operationen die Rede ist, dann sind dabei im mathematischen Sinn die jeweiligen Operationen auf der entsprechenden mathematischen Gruppe zu verstehen, beispielsweise der Gruppe der Punkte auf einer elliptischen Kurve.

Die Einwegfunktion ist homomorph, also ein krypto graphisches Verfahren, welches über Homomorphie-Eigenschaften verfügt. Somit können mit dem maskierten elektronischen Münzdatensatz mathematische Operationen durchgeführt werden, die parallel dazu auch auf dem (unmaskierten) elektronischen Münzdatensatz durchgeführt und somit nachvollzogen werden können. Mit Hilfe der homomorphen Einwegfunktion können Berechnungen mit maskierten elektronischen Münzdatensätzen in der Überwachungsinstanz nachvollzogen werden, ohne dass die entsprechenden (unmaskierten) elektronischen Münzdatensätze dort bekannt sind. Daher können bestimmte Berechnungen mit elektronischen Münzdatensätzen, beispielsweise für ein Verarbeiten des (unmaskierten) elektronischen Münzdatensatzes (zum Beispiel Aufteilen oder Verbinden), auch parallel mit den dazugehörigen maskierten elektronischen Münzdatensätzen nachgewiesen werden, beispielsweise zu Validierungsprüfungen oder zur Überprüfung über die Rechtmäßigkeit des jeweiligen elektronischen Münzdatensatzes. Die Homomorphie- Eigenschaften treffen zumindest auf Additions- und Subtraktionsoperationen zu, sodass ein Aufteilen oder Kombinieren (=Verbinden) von elektronischen Münzdatensätzen auch mittels der entsprechend maskierten elektronischen Münzdatensätze in der Überwachungsinstanz festgehalten und von anfragenden Endgeräten und/ oder von der Überwachungsinstanz nachvollzogen werden kann, ohne Kenntnis über den monetären Betrag und das durchfuhrende Endgerät zu erlangen.

Die Homomorphie-Eigenschaft ermöglicht es also, eine Eintragung von gültigen und ungültigen elektronischen Münzdatensätzen auf Basis ihrer maskierten elektronischen Münzdatensätze in einer Überwachungsinstanz zu führen ohne Kenntnis der elektronischen Münzdatensätze, auch wenn diese elektronische Münzdatensätze verarbeitet werden (aufgeteilt, verbunden, umschalten). Dabei wird sichergestellt, dass kein zusätzlicher monetärer Betrag geschaffen wurde oder dass eine Identität des Endgeräts in der Überwachungsinstanz festgehalten wird. Das Maskieren ermöglicht somit dabei ein hohes Maß an Sicherheit, ohne einen Einblick in den monetären Betrag oder das Endgerät zu geben. Somit ergibt sich ein zweischichtiges Bezahlsystem. Zum einen existiert die Verarbeitungsschicht in der maskierte elektronische Datensätze geprüft werden und zum anderen die Direkttransaktionsschicht in der zumindest zwei Endgeräte elektronische Münzdatensätze übertragen.

Während die elektronischen Münzdatensätze für direktes Bezahlen zwischen zwei Endgeräten verwendet werden, werden die maskierten Münzdatensätze in der Überwachungsinstanz registriert.

Der Schritt des Umschaltens des übertragenen elektronischen Münzdatensatzes umfasst die folgenden Teilschritte:

- Generieren eines umzuschaltenden elektronischen Münzdatensatzes im zweiten Endgerät aus dem übertragenen Münzdatensatz, wobei

- ein Verschleierungsbetrag für den umzuschaltenden elektronischen Münzdatensatz unter Verwendung eines übertragenen Verschleierungsbetrags des übertragenen elektronischen Münzdatensatzes im zweiten Endgerät erzeugt wird; und

- der übertragene monetäre Betrag des übertragenen elektronischen Münzdatensatzes als monetärer Betrag für den umzuschaltenden elektronischen Münzdatensatz verwendet wird.

Beim Übertragen des elektronischen Münzdatensatzes vom ersten Endgerät auf das zweite Endgerät haben somit zwei Endgeräte Kenntnis über den elektronischen Münzdatensatz. Um zu verhindern, dass das sendende erste Endgerät den elektronischen Münzdatensatz bei einem anderen (dritten) Endgerät ebenfalls zum Bezahlen verwendet, wird ein Umschalten des übertragenen elektronischen Münzdatensatzes vom ersten Endgerät auf das zweite Endgerät ausgeführt. Das Umschalten kann bevorzugt automatisch beim Empfangen eines elektronischen Münzdatensatzes geschehen. Zusätzlich kann es auch auf Anforderung, beispielsweise eines Befehls vom ersten und/ oder zweiten Endgerät, geschehen. In einer bevorzugten Ausgestaltung umfasst das Generieren ein Erzeugen eines Verschleierangsbetrags für den umzuschaltenden elektronischen Münzdatensatz, vorzugsweise unter Verwendung des Verschleierungsbetrags des übertragenen elektronischen Münzdatensatzes in Verbindung mit einem neuen Verschleierungsbetrag, beispielsweise einer Zufallszahl. Bevorzugt ergibt sich der Verschleierungsbetrag des umzuschaltenden elektronischen Münzdatensatzes als Summe aus dem Verschleierungsbetrag des übertragenen elektronischen Münzdatensatz und der Zufallszahl, die als neuer, also zusätzlicher Verschleierungsbetrag dient. Des Weiteren wird der monetäre Betrag des übertragenen elektronischen Münzdatensatzes bevorzugt als monetärer Betrag für den umzuschaltenden elektronischen Münzdatensatz verwendet. Somit wird kein weiteres Geld generiert, die monetären Beträge beider Münzdatensätze sind identisch.

Das Registrieren nach dem Umschalten-Schritt führt dazu, dass der vom ersten Endgerät gesendete elektronische Münzdatensatz ungültig wird und bei einem zweiten Ausgeben-Versuch des ersten Endgeräts als entsprechend ungültig erkannt wird. Der vom zweiten Endgerät generierte (weitere) Münzdatensatz wird nach erfolgreichem Durchlaufen der Prüfungen gültig.

Beim Umschalten, auch„switch“ genannt, ergibt also der vom ersten Endgerät erhaltene elektronische Münzdatensatz einen neuen elektronischen Münzdatensatz bevorzugt mit gleichem monetären Betrag, dem sogenannten umzuschaltenden elektronischen Münzdatensatz. Der neue elektronische Münzdatensatz wird vom zweiten Endgerät generiert vorzugsweise indem der monetäre Betrag des erhaltenen elektronischen Münzdatensatzes als monetärer Betrag des umzuschaltenden elektronischen Münzdatensatzes verwendet wird. Dabei wird ein neuer Verschleierungsbetrag, beispielsweise eine Zufallszahl, generiert, Der neue Verschleierungsbetrag wird beispielsweise zum Verschleierungsbetrag des erhaltenen elektronischen Münzdatensatzes addiert, damit die Summe beider Verschleierungsbeträge (neu und erhalten) als Verschleierungsbetrag des umzuschaltenden elektronischen Münzdatensatzes dient. Nach dem Umschalten wird bevorzugt der erhaltene elektronische Münzdatensatz und der umzuschaltende elektronische Münzteildatensatz im Endgerät durch Anwenden der homomorphen Einwegfunktion auf jeweils den erhaltenen elektronischen Münzdatensatz und den umzuschaltenden elektronischen Münzteildatensatz maskiert, um entsprechend einen maskierten erhaltenen elektronischen Münzdatensatz und einen maskierten umzuschaltenden elektronischen Münzteildatensatz zu erhalten. Des Weiteren werden bevorzugt zusätzliche Informationen, die zum Registrieren des Umschaltens des maskierten elektronischen Münzdatensatzes in der entfernten Überwachungsinstanz benötigt werden, im Endgerät berechnet. Bevorzugt beinhalten die zusätzlichen Informationen einen Bereichsnachweis über den maskierten umzuschaltenden elektronischen Münzdatensatz und einen Bereichsnachweis über den maskierten erhaltenen elektronischen Münzdatensatz. Bei dem Bereichsnachweis handelt es sich um einen Nachweis, dass der monetäre Wert des elektronischen Münzdatensatzes nicht negativ ist, der elektronische Münzdatensatz gültig erstellt und/ oder der monetäre Wert und der Verschleierungsbetrag des elektronischen Münzdatensatzes dem Ersteller des Bereichsnachweises bekannt sind. Insbesondere dient der Bereichsnachweis dazu, diese(n) Nachweis(e) zu fuhren ohne den monetären Wert und/oder den Verschleierungsbetrag des maskierten elektronischen Münzdatensatzes zu offenbaren. Diese Bereichsnachweise werden auch „Zero-Knowledge-Range-Proofs“ genannt. Bevorzugt werden als Bereichsnachweis Ringsignaturen verwendet. Anschließend erfolgt ein Registrieren des Umschaltens des maskierten elektronischen Münzdatensatzes in der entfernten Überwachungsinstanz.

Dieses Umschalten ist notwendig, um den vom ersten Endgerät erhaltenen elektronischen Münzdatensatz zu invalidieren (ungültig machen), um ein doppeltes Ausgeben zu vermeiden. Denn, solange der elektronische Münzdatensatz nicht umgeschaltet ist, kann - da das erste Endgerät in Kenntnis des elektronischen Münzdatensatzes und somit noch in dessen Besitz ist - das erste Endgerät diesen erhaltene elektronische Münzdatensatz an ein drittes Endgerät weitergeben. Das Umschalten wird beispielsweise durch Hinzufügen eines neuen Verschleierungsbetrags zum Verschleierungsbetrag des erhaltenen elektronischen Münzdatensatz abgesichert, wodurch ein Verschleierungsbetrag erhalten wird, den nur das zweite Endgerät kennt. Neu geschaffene Verschleierungsbeträge müssen eine hohe Entropie aufweisen, da sie als Blendungsfaktor für die entsprechenden maskierten elektronischen Münzteildatensätze verwendet werden. Bevorzugt wird dazu ein Zufallszahlengenerator auf dem Endgerät verwendet. Diese Absicherung kann in der Überwachungsinstanz nachverfolgt werden.

In einer weiter bevorzugten Ausgestaltung des Verfahrens ist das Aufteilen des zumindest einen elektronischen Münzdatensatzes in den ersten elektronischen Münzteildatensatz und den zweiten elektronischen Münzteildatensatz vorgesehen. Das Aufteilen geschieht vorzugsweise, indem zum Einen ein monetärer Teilbetrag sowie ein Teilverschleierungsbetrag für den ersten elektronischen Münzdatensatz festgelegt wird (die jeweils zwischen 0 und dem erhaltenen monetären Betrag bzw. Verschleierungsbetrag liegen) und zum Anderen der monetäre Betrag des zweiten elektronischen Münzteildatensatzes als Differenz aus dem erhaltenen monetären Betrag und dem monetären Teilbetrag des ersten elektronischen Münzteildatensatzes, sowie der Verschleierungsbetrag des zweiten elektronischen Münzteildatensatzes als Differenz aus dem erhaltenen Verschleierungsbetrag und dem Teilverschleierungsbetrag des ersten elektronischen Münzteildatensatzes berechnet wird. Nach dem Aufteilen wird der aufzuteilende elektronische Münzdatensatz, der erste elektronische Münzteildatensatz und der zweite elektronische Münzteildatensatz im ersten und/ oder zweiten Endgerät durch jeweiliges Anwenden der homomorphen Einwegfunktion maskiert, um entsprechend einen maskierten aufzuteilenden elektronischen Münzdatensatz, einen maskierten ersten elektronischen Münzteildatensatz und einen maskierten zweiten elektronischen Münzteildatensatz zu erhalten. Des Weiteren werden zusätzliche Informationen, die zum Registrieren des Aufteilens des maskierten elektronischen Münzdatensatzes in der entfernten Überwachungsinstanz benötigt werden, im Endgerät berechnet. Bevorzugt beinhalten die zusätzlichen Informationen einen Bereichsnachweis über den maskierten aufzuteilenden elektronischen Münzdatensatz, einen Bereichsnachweis über den maskierten ersten elektronischen Münzdatensatz und einen Bereichsnachweis über den maskierten zweiten elektronischen Münzdatensatz. Bei dem Bereichsnachweis handelt es sich um einen Nachweis, dass der monetäre Wert des elektronischen Münzdatensatzes nicht negativ ist, der elektronische Münzdatensatz gültig erstellt und/ oder der monetäre Wert und der Verschleierungsbetrag des elektronischen Münzdatensatzes dem Ersteller des Bereichsnachweises bekannt sind. Insbesondere dient der Bereichsnachweis dazu, diese(n) Nachweis zu führen ohne den monetären Wert und/oder den Verschleierungsbetrag des maskierten elektronischen Münzdatensatzes zu offenbaren. Diese Bereichsnachweise werden auch „Zero-Knowledge-Range-Proofs“ genannt. Bevorzugt werden als Bereichsnachweis Ringsignaturen verwendet. Anschließend erfolgt ein Registrieren des Aufteilens des maskierten elektronischen Münzdatensatzes in der entfernten Überwachungsinstanz. Auf diese Weise können zu übertragende monetäre Beträge an den entsprechenden Bedarf angepasst werden. Ein Endgeräte-Besitzer ist nicht gezwungen, stets den gesamten monetären Betrag an ein weiteres Endgerät weiterzugeben.

Das Aufteilen und anschließende Registrieren hat den Vorteil, dass ein Besitzer des zumindest einen elektronischen Münzdatensatzes nicht gezwungen ist, stets den gesamten monetären Betrag auf einmal zu übertragen, sondern nunmehr entsprechende Unterbeträge zu übertragen. Der Geldwert kann ohne Einschränkungen aufgeteilt werden, solange alle elektronische Münzdatenteilsätze einen positiven monetären Betrag aufweisen, der kleiner ist als der monetäre Betrag des elektronische Münzdatensatzes, von dem aus aufgeteilt wird und die Summe der elektronischen Münzteildatensätze gleich dem aufzuteilenden elektronischen Münzteildatensatzes ist. Alternativ oder zusätzlich können feste Denominationen genutzt werden. Alternativ kann der Verschleierungsbetrag außerhalb des Endgeräts generiert werden und über einen (sicheren) Kommunikationskanal bezogen werden. Bevorzugt wird dazu ein Zufallszahlengenerator auf dem Endgerät verwendet. Um alle Prüfungen zu verfolgen, kann die Überprüfungsinstanz beispielsweise in entsprechenden Stellen die Teilschritte der Überwachungsinstanz vermerken, wobei dazu auch Markierungen, englisch Flags, gesetzt werden, um Zwischenstadien zu dokumentieren. Bevorzugt wird nach erfolgreichem Erfüllen der Prüfungen, die für den Aufteilen-Befehl relevant sind, also bei entsprechender Vollständigkeit der Markierungen, der (maskierte) erste elektronische Münzteildatensatz und (maskierte) zweite elektronische Münzteildatensatz als gültig markiert. Dabei wird automatisch der (maskierte) aufzuteilende elektronische Münzdatensatz ungültig. Bevorzugt teilt die Überwachungsinstanz das Ergebnis des Ausführens des Aufteilen-Befehls dem„befehlenden“ Endgerät mit, d.h. welche der involvierten maskierten elektronischen Münzdatensätze nach Ausfuhren des Aufteilen-Befehls gültig sind.

In einer weiter bevorzugten Ausgestaltung des Verfahrens wird beim Schritt des Verbindens von elektronischen Münzdatensätzen ein weiterer elektronischer Münzdatensatz (verbundener elektronischer Münzdatensatz) aus einem ersten und einem zweiten elektronischen Münzdatensatz bestimmt. Dabei wird der Verschleierungsbetrag für den zu verbindenden elektronischen Münzdatensatz durch Bilden der Summe aus den jeweiligen Verschleierungsbeträgen des ersten und des zweiten elektronischen Münzdatensatzes berechnet. Weiterhin wird vorzugsweise der monetäre Betrag für den verbundenen elektronischen Münzdatensatz durch Bilden der Summe aus den jeweiligen monetären Beträgen des ersten und des zweiten elektronischen Münzdatensatzes berechnet.

Nach dem Verbinden wird der erste elektronische Münzdatensatz, der zweite elektronische Münzdatensatz, sowie der zu verbindende elektronische Münzdatensatz im (ersten und/ oder zweiten) Endgerät durch Anwenden der homomorphen Einwegfunktion auf jeweils den ersten elektronischen Münzdatensatz, den zweiten elektronischen Münzdatensatz, sowie den zu verbindenden elektronischen Münzdatensatz maskiert, um entsprechend einen maskierten ersten elektronischen Münzdatensatz, einen maskierten zweiten elektronischen Münzdatensatz, sowie einen maskierten zu verbindenden elektronischen Münzdatensatz zu erhalten. Des Weiteren werden zusätzliche Informationen, die zum Registrieren des Verbindens der maskierten elektronischen Münzdatensätze in der entfernten Überwachungsinstanz benötigt werden, im Endgerät berechnet. Bevorzugt beinhalten die zusätzlichen Informationen einen Bereichsnachweis über den maskierten ersten elektronischen Münzdatensatz und einen Bereichsnachweis über den maskierten zweiten elektronischen Münzdatensatz. Bei dem Bereichsnachweis handelt es sich um einen Nachweis, dass der monetäre Wert des elektronischen Münzdatensatzes nicht negativ ist, der elektronische Münzdatensatz gültig erstellt und/ oder der monetäre Wert und der Verschleierungsbetrag des elektronischen Münzdatensatzes dem Ersteller des Bereichsnachweises bekannt sind. Insbesondere dient der Bereichsnachweis dazu, diese(n) Nachweis zu führen ohne den monetären Wert und/oder den Verschleierungsbetrag des maskierten elektronischen Münzdatensatzes zu offenbaren. Diese Bereichsnachweise werden auch„Zero-Knowledge-Range-Proofs“ genannt. Bevorzugt werden als Bereichsnachweis Ringsignaturen verwendet. Anschließend erfolgt ein Registrieren des Verbindens der beiden maskierten elektronischen Münzdatensätze in der entfernten Überwachungsinstanz. Mit dem Schritt des Verbindens können zwei elektronische Münzdatensätze zusammengefasst werden. Dabei werden die monetären Beträge sowie auch die Verschleierungsbeträge addiert. Wie beim Aufteilen kann somit auch beim Verbinden eine Validität der beiden ursprünglichen Münzdatensätze durchgeführt werden.

Ein Hauptunterscheidungsmerlanal dieses Erfindungskonzepts gegenüber bekannten Lösungen ist, dass die Überwachungsinstanz nur (also ausschließlich) Kenntnis über die maskierten elektronischen Münzdatensätze und eine Liste mit Verarbeitungen bzw. Änderungen an dem maskierten elektronischen Münzdatensatz führt. Der tatsächliche Zahlungsverkehr wird in der Überwachungsinstanz nicht registriert und findet in einer Direkttransaktionsschicht direkt zwischen Endgeräten statt.

Ein Verfahren in einer Überwachungsinstanz, welche gültige, maskierte elektronische Münzdatensatze speichert, die jeweils durch Anwenden einer homomorphen Einwegfunktion auf einen elektronischen Münzdatensatz gebildet sind, wobei elektronische Münzdatensätze einen monetären Betrag und einen Verschleierungsbetrag aufweisen, umfasst insbesondere folgende Schritte:

Empfangen einer Registrierungsanforderung, welche zumindest einen zu registrierenden maskierten elektronischen Münzdatensatz und zumindest einen registrierten maskierten elektronischen Münzdatensatz umfasst;

Prüfen der empfangenen Registrierungsanforderung, wobei

o geprüft wird ob der registrierte maskierte elektronischen Münzdatensatz der Registrierungsanforderung als gültiger maskierter elektronischer Münzdatensatz zum Übertragen in der Überwachungsinstanz gespeichert ist, und

o geprüft wird ob die maskierten elektronischen Münzdatensätze der Registrierungsanforderung insgesamt monetär betragsneutral sind; und

Speichern des zu registrierenden maskierten elektronischen Münzdatensatzes als gültiger maskierter elektronischer Münzdatensatz, wobei der bisher als gültig gespeicherte registrierte maskierte elektronische Münzdatensatz der Registrierungsanforderung nicht mehr gültig ist.

Das Prüfen der monetären Betragsneutralität der Registrierungsanforderung (ist aufgrund der verwendeten homomorphen Einwegfunktion möglich) erfolgt bevorzugt betragsanonym mittels Differenzbildung aus den maskierten elektronischen Münzdatensätzen.

In bevorzugten Verfahren empfängt die Überwachungsinstanz von geldwerten Beträgen einer Herausgeberinstanz Erstellungs- und/oder Deaktivierungsanforderungen, welche zumindest einen maskierten erstellten bzw. zu deaktivierenden elektronischen Münzdatensatz umfassen, insbesondere respektive für einen von der Herausgeberinstanz neu herausgegebenen elektronischen Münzdatensatz bzw. einen von der Herausgeberinstanz zurückgenommenen elektronischen Münzdatensatz.

Die Erstellungs- und/oder Deaktivierungsanforderung kann für einen maskierten elektronischen Münzdatensatz eine Signatur des Herausgebers über den maskierten elektronischen Münzdatensatz umfassen, wobei vorzugsweise die Signatur des maskierten, neu erstellten elektronischen Münzdatensatzes in der Überwachungsinstanz hinterlegt wird.

Ein elektronischer Münzdatensatz kann in der Überwachungsinstanz durch Markieren oder durch Löschen des entsprechenden maskierten elektronischen Münzdatensatzes in der Überwachungsinstanz ungültig werden. Besonders bevorzugt wird auch der entsprechende maskierte elektronische Münzdatensatzes oder der entsprechende elektronische Münzdatensatz in der Herausgeberinstanz deaktiviert.

Erfindungsgemäß ist demnach ein zweischichtiges Bezahlsystem aus einer Direktbezahltransaktionsschicht, zum direkten Austauschen von (unmaskierten) elektronischen Münzdatensätzen und einer Überwachungsschicht, welche auch als „Verschleierter- elektronischer-Datensatz-Ledger“ bezeichnet werden kann, vorgesehen. In der Überwachungsinstanz der Überprüfungsschicht, werden keine Bezahltransaktionen festgehalten, sondern ausschließlich maskierte elektronische Münzdatensätze und deren Verarbeitungen zum Zweck der Verifizierung der Gültigkeit von (unmaskierten) elektronischen Münzdatensätzen. So wird die Anonymität der Teilnehmer des Bezahlsystems gewährleistet. Die Überwachungsinstanz gibt Auskunft über gültige und ungültige elektronische Münzdatensätze, um beispielsweise eine Mehrfach-Ausgabe des gleichen elektronischen Münzdatensatzes zu vermeiden oder die Echtheit des elektronischen Münzdatensatzes als gültig herausgegebenes elektronisches Geld zu verifizieren.

Das Endgerät kann also in der Direktbezahltransaktionsschicht einem anderen Endgerät elektronische Münzdatensätze übertragen ohne Verbindung zur Überprüfungsinstanz, insbesondere wenn das Endgerät offline ist.

Das Endgerät kann vorliegend ein Sicherheitselement aufweisen, in dem die elektronischen Münzdatensätze sicher abgelegt sind. Ein Sicherheitselement ist bevorzugt ein spezielles Computerprogrammprodukt, insbesondere in Form einer abgesicherten Laufzeitumgebung innerhalb eines Betriebssystems eines Endgeräts, englisch Trusted Execution Environments, TEE, gespeichert auf einem Datenspeicher, beispielsweise eines mobilen Endgeräts, einer Maschine, vorzugsweise Bankautomat. Alternativ ist das Sicherheitselement beispielsweise als spezielle Hardware, insbesondere in Form eines gesicherten Hardware-Plattform-Moduls, englisch Trusted Platform Module, TPM oder als ein eingebettetes Sicherheitsmodul, eUICC, eSIM, ausgebildet. Das Sicherheitselement stellt eine vertrauenswürdige Umgebung bereit.

Die Kommunikation zwischen zwei Endgeräten kann drahtlos oder drahtgebunden, oder z.B. auch auf optischem Weg, bevorzugt über QR-Code oder Barcode, erfolgen und kann als ein gesicherter Kanal ausgebildet sein. Der optische Weg kann beispielsweise die Schritte des Generierens einer optischen Codierung, insbesondere einer 2D-Codierung, vorzugsweise ein QR-Code, und des Einlesens der optischen Codierung umfassen. Somit ist der Austausch des elektronischen Münzdatensatzes beispielsweise durch krypto grafische Schlüssel gesichert, beispielsweise einem für einen elektronischen Münzdatensatz-Austausch ausgehandelten Sitzungsschlüssel oder einem symmetrischen oder asymmetrischen Schlüsselpaar.

Durch das Kommunizieren zwischen Endgeräten, beispielsweise über ihre Sicherheitselemente, werden die ausgetauschten elektronischen Münzdatensätze vor Diebstahl oder Manipulation geschützt. Die Ebene der Sicherheitselemente ergänzt so die Sicherheit etablierter Blockchain- Technologie.

Darüber hinaus ist es vom Vorteil, dass die elektronischen Münzdatensätze in beliebiger Formatierung übertragen werden können. Dies impliziert, dass sie auf beliebigen Kanälen kommuniziert, also übertragen werden können. Sie müssen nicht in einem festgelegten Format oder in einem bestimmten Programm gespeichert werden.

Als ein Endgerät wird insbesondere ein mobiles Telekommunikationsendgerät, beispielsweise ein Smartphone angesehen. Alternativ oder zusätzlich kann das Endgerät auch ein Gerät, wie Wearable, Smartcard, Maschine, Werkzeug, Automat oder auch Behälter bzw. Fahrzeug sein. Ein erfmdungsgemäßes Endgerät ist somit entweder stationär oder mobil. Das Endgerät ist vorzugsweise ausgebildet, das Internet und/ oder andere öffentliche oder private Netze zu nutzen. Dazu verwendet das Endgerät eine geeignete Verbindungstechnologie, beispielsweise Bluetooth, Lora, NFC und/ oder WiFi und weist wenigstens eine entsprechende Schnittstelle auf. Das Endgerät kann auch ausgebildet sein, mittels Zugang zu einem Mobilfunknetz mit dem Internet und/ oder anderen Netzen verbunden zu werden.

In einer Ausgestaltung kann vorgesehen sein, dass das erste und/ oder zweite Endgerät bei dem aufgezeigten Verfahren die empfangenen elektronischen Münzdatensätze bei Vorliegen oder Empfang mehrerer elektronischer Münzdatensätze diese entsprechend ihrer monetären Wertigkeit abarbeitet. So kann vorgesehen sein, dass elektronische Münzdatensätze mit höherer monetärer Wertigkeit vor elektronische Münzdatensätze mit niedriger monetärer Wertigkeit verarbeitet. In einer Ausgestaltung kann das erste und/ oder zweite Endgerät ausgebildet sein, nach Empfang eines elektronischen Münzdatensatzes diesen in Abhängigkeit von beigefügter Information, beispielsweise einer Währung oder Denomination, mit bereits im zweiten Endgerät vorhandenem elektronischen Münzdatensatz zu verbinden und entsprechend einen Schritt des Verbindens auszuführen. Weiterhin kann das zweite Endgerät auch zum automatisierten Ausfuhren eines Umschaltens nach Empfang des elektronischen Münzdatensatzes vom ersten Endgerät ausgebildet sein.

In einer Ausgestaltung werden beim Übertragen weitere Informationen, insbesondere Metadaten, vom ersten Endgerät auf das zweite Endgerät übermittelt, beispielsweise eine Währung. Diese Information kann in einer Ausgestaltung vom elektronischen Münzdatensatz umfasst sein.

In einer bevorzugten Ausgestaltung weist das Verfahren die folgenden weiteren Schritte auf: Maskieren des übertragenen elektronischen Münzdatensatzes im zweiten Endgerät durch Anwenden der homomorphen Einwegfunktion auf den übertragenen elektronischen Münzdatensatz; und Senden des maskierten übertragenen elektronischen Münzdatensatzes an die entfernte Überwachungsinstanz zum Prüfen der Validität des übertragenen elektronischen Münzdatensatzes durch die entfernte Überwachungsinstanz. In diesem Fall wurde beispielsweise der gesamte monetäre Betrag im Rahmen des elektronischen Münzdatensatzes an das zweite Endgerät übertragen. Bevor ein Zahlungsempfänger diesen elektronischen Münzdatensatz akzeptiert, überprüft er gegebenenfalls dessen Gültigkeit. Zu diesem Zweck erzeugt das zweite Endgerät den maskierten übertragenen elektronischen Münzdatensatz, sendet diesen zur Überwachungsinstanz und fragt dabei bei der Überwachungsinstanz die Gültigkeit des elektronischen Münzdatensatzes ab. Die Überwachungsinstanz prüft nun, ob der maskierte übertragene elektronische Münzdatensatz überhaupt vorhanden ist und ob er weiterhin gültig ist, also nicht bereits durch ein anderes Endgerät verbraucht ist, um so Doppelausgaben zu vermeiden.

In einer Ausgestaltung wird im zweiten Endgerät ein Nachweis erstellt. Der Nachweist umfasst eine Information über die Übereinstimmung des monetären Betrags des übertragenen elektronischen Münzdatensatzes mit dem monetären Betrags des umzuschaltenden elektronischen Münzdatensatzes. Vorzugsweise umfasst der Nachweis lediglich eine Information über die Übereinstimmung, nicht aber einen der monetären Beträge.

Bevorzugt erfolgt während des Registrieren- Schrittes ein Verifizieren der elektronischen Münzdatensätze des ersten und/ oder zweiten Endgeräts in der bzw. durch die Überwachungsinstanz. Die Prüfung erfolgt in Abhängigkeit der der Verifikation vorangehenden Schritte, beispielsweise ob ein Schritt des Umschaltens, des Verbindens und/ oder des Aufteilens erfolgt ist. Dabei kann die Überwachungsinstanz beispielsweise die Gültigkeit der (maskierten) übertragenen und/oder aufzuteilenden und/oder ersten und zweiten elektronischen Münzdatensätzen prüfen. Dies ermöglicht es, festzustellen, ob die elektronischen Münzdatensätze zum ersten Mal verarbeitet werden. Falls die (maskierten) elektronischen Münzdatensätze nicht gültig sind (also insbesondere falls sie nicht in der Überwachungsinstanz vorliegen) kann das Registrieren nicht erfolgreich ausgeführt werden, zum Beispiel weil das Endgerät versucht einen elektronischen Münzdatensatz mehrfach auszugeben.

In einer weiter bevorzugten Ausgestaltung umfasst der Registrieren-Schritt nach dem Ausführen des Umschalten-Schritts beispielsweise das Versenden des vom Endgerät vorbereiteten Umschalten-Befehls an die Überwachungsinstanz. Bevorzugt enthält der Umschalten-Befehl den maskierten erhaltenen elektronischen Münzdatensatz, den maskierten umzuschaltenden elektronischen Münzdatensatz und bevorzugt weitere Informationen, die für Prüfungen in der Überwachungsinstanz gebraucht werden, enthält. Die weiteren Informationen dienen dem Nachweis des „befehlenden“ Endgerätes der Kenntnis des monetären Betrags und des Verschleierungsbetrags des erhaltenen elektronischen Münzdatensatzes ohne die Werte mitzuteilen, bevorzugt mittels eines kenntnisfreien Beweises, engl zero knowledge proof. Die Überprüfungsinstanz prüft die Nachvollziehbarkeit des kenntnisfreien Beweises, die Gültigkeit des maskierten erhaltenen elektronischen Münzdatensatzes und dass der monetäre Betrag des erhaltenen elektronischen Münzdatensatzes gleichwertig mit dem monetären Betrag des umzuschaltenden elektronischen Münzdatensatz ist. Um zu beweisen, dass nur ein neuer Verschleierungsbetrag zum Verschleierungsbetrag des erhaltenen elektronischen Münzdatensatz hinzugefügt wurde, der monetäre Betrag aber gleichgeblieben ist, kann das zweite Endgerät bevorzugt nachweisen, dass die Differenz aus dem maskierten erhaltenen Münzdatensatz und dem maskierten umzuschaltenden Münzdatensatz eine besondere Darstellung aufweist, nämlich die eines öffentlichen Schlüssels ist. Dies erfolgt durch das Erzeugen einer Signatur für den maskierten umzuschaltenden elektronischen Münzdatensatzes mit dem hinzugefugten Verschleierungsbetrag. In der Überwachungsinstanz kann dann diese erzeugte Signatur des maskierten umzuschaltenden elektronischen Münzdatensatzes geprüft werden, was als Beweis gilt, dass das zweite Endgerät in Kenntnis des hinzugefügten Verschleierungsbetrags ist. Bevorzugt wird nach erfolgreichem Erfüllen der Prüfungen, die für den Umschalten-Befehl relevant sind, also bei entsprechender Vollständigkeit der Markierungen, der (maskierte) umzuschaltende elektronische Münzdatensatz als gültig markiert. Dabei wird automatisch der (maskierte) erhaltene elektronische Münzdatensatz ungültig. Bevorzugt teilt die Überwachungsinstanz das Ergebnis des Ausführens des Umschalten-Befehls dem„befehlenden“ Endgerät mit, d.h. welche der involvierten maskierten elektronischen Münzdatensätze nach Ausführen des Umschalten-Befehls gültig sind. In einer weiter bevorzugten Ausgestaltung umfasst der Registrieren-Schritt nach dem Ausfuhren des Aufteilungs- Schritts einen vom Endgerät vorbereiteten Aufteilen-Befehl, der an die Überwachungsinstanz gesendet wird, der den maskierten aufzuteilenden elektronischen Münzdatensatz, den maskierten ersten elektronischen Münzteildatensatz, den maskierten zweiten elektronischen Münzteildatensatz und bevorzugt weitere Informationen, die für Prüfungen in der Überwachungsinstanz gebraucht werden, enthält. Die weiteren Informationen dienen dem Nachweis des „befehlenden“ Endgerätes der Kenntnis des monetären Betrags und des Verschleierungsbetrags des aufzuteilenden elektronischen Münzdatensatzes ohne die Werte mitzuteilen, bevorzugt mittels eines kenntnisfreien Beweises, engl zero knowledge proof. Die Überprüfungsinstanz prüft die Nachvollziehbarkeit des kenntnisfreien Beweises, die Gültigkeit des maskierten aufzuteilenden elektronischen Münzdatensatzes und dass die Summe des monetären Betrags des ersten elektronischen Münzteildatensatzes und des monetären Betrags des zweiten elektronischen Münzteildatensatzes gleichwertig mit dem monetären Betrag des aufzuteilenden elektronischen Münzdatensatz ist. Dies geschieht bevorzugt indem die Überwachungsinstanz die Summe aus dem maskierten ersten elektronischen Münzteildatensatz und dem maskierten zweiten elektronischen Münzteildatensatz mit dem maskierten aufzuteilenden Münzteildatensatz vergleicht.

In einer weiter bevorzugten Ausgestaltung umfasst der Registrieren-Schritt nach dem Ausführen des Verbinden- Schritts einen vom Endgerät vorbereiteten Verbinden-Befehl, der an die Überwachungsinstanz gesendet wird, der den ersten maskierten elektronischen Münzdatensatz, den zweiten maskierten elektronischen Münzdatensatz und den maskierten zu verbindenden Münzteildatensatz und bevorzugt weitere Informationen, die für Prüfungen in der Überwachungsinstanz gebraucht werden, enthält. Die weiteren Informationen dienen dem Nachweis des „befehlenden“ Endgerätes der Kenntnis der monetären Beträge und der Verschleierungsbeträge der ersten und zweiten elektronischen Münzdatensätze ohne die Werte mitzuteilen, bevorzugt mittels eines kenntnisfreien Beweises, engl zero knowledge proof. Die Überprüfungsinstanz prüft die Nachvollziehbarkeit der kenntnisfreien Beweise, die Gültigkeit des maskierten ersten elektronischen Münzdatensatzes, die Gültigkeit des maskierten zweiten elektronischen Münzdatensatzes und dass die Summe des monetären Betrags des ersten elektronischen Münzdatensatzes und des monetären Betrags des zweiten elektronischen Münzdatensatzes gleichwertig mit dem monetären Betrag des zu verbindenden elektronischen Münzdatensatzes ist. Dies geschieht bevorzugt indem die Überwachungsinstanz die Summe aus dem maskierten ersten elektronischen Münzdatensatz und dem maskierten zweiten elektronischen Münzdatensatz mit dem maskierten zu verbindenden Münzteildatensatz vergleicht. Bevorzugt wird nach erfolgreichem Erfüllen der Prüfungen, die für den Verbinden- Befehl relevant sind, also bei entsprechender Vollständigkeit der Markierungen, der (maskierte) zu verbindende elektronische Münzdatensatz als gültig markiert. Dabei wird automatisch der (maskierte) erste elektronische Münzdatensatz und der (maskierte) zweite elektronische Münzdatensatz ungültig. Bevorzugt teilt die Überwachungsinstanz das Ergebnis des Ausführens des Verbinden-Befehls dem „befehlenden“ Endgerät mit, d.h. welche der involvierten maskierten elektronischen Münzdatensätze nach Ausführen des Verbinden-Befehls gültig sind.

In einer Ausgestaltung wird das Maskieren des übertragenen elektronischen Münzdatensatzes und dessen Prüfung ausgeführt, bevor der übertragene elektronische Münzdatensatz in der Überwachungsinstanz registriert wird.

In einer bevorzugten Ausgestaltung ist die Überwachungsinstanz eine entfernte Instanz. Damit ist beispielsweise zum Registrieren des elektronischen Münzdatensatzes der Aufbau einer Kommunikationsverbindung zu der Überwachungsinstanz vorgesehen.

Die Überwachungsinstanz ist als übergeordnete Instanz ausgebildet. Die Überwachungsinstanz ist demnach nicht zwingend in der Ebene bzw. in der Schicht der Endgeräten (Direkttransaktionsschicht) angeordnet. Vorzugsweise ist die Überwachungsinstanz zur Verwaltung und Prüfung von maskierten elektronischen Münzdatensätzen vorgesehen und in einer Herausgeberschicht, in welcher auch eine Herausgeberinstanz angeordnet ist, und/ oder einer Überwachungsschicht angeordnet. Es ist denkbar, dass die Überwachungsinstanz zusätzlich Transaktionen zwischen Endgeräten verwaltet und prüft.

Die Überwachungsinstanz ist bevorzugt eine Datenbank - weiter bevorzugt eine dezentral gesteuerte Datenbank, englisch Distributed Ledger Technology, DLT -, in der die maskierten elektronischen Münzdatensätze mit entsprechender Verarbeitung des maskierten elektronischen Münzdatensatzes registriert sind. In einer bevorzugten Ausgestaltung lässt sich daraus ein Gültigkeitsstatus des (maskierten) elektronischen Münzdatensatzes ableiten. Bevorzugt wird die Gültigkeit der (maskierten) elektronischen Münzdatensätze in der und durch die Überprüfungsinstanz vermerkt. Die Registrierung der Verarbeitung bzw. der Verarbeitungsschritte kann auch das Registrieren von Prüfergebnissen und Zwischenprüfergebnissen betreffend die Gültigkeit eines elektronischen Münzdatensatzes betreffen. Ist eine Verarbeitung endgültig, wird dies beispielsweise durch entsprechende Markierungen oder einer abgeleiteten Gesamtmarkierung angezeigt. Eine endgültige Verarbeitung entscheidet sodann, ob ein elektronischer Münzdatensatz gültig oder ungültig ist.

Diese Datenbank ist weiter bevorzugt eine nicht-öffentliche Datenbank, kann aber auch als öffentliche Datenbank realisiert werden. Diese Datenbank ermöglicht es auf einfache Weise, Münzdatensätze bezüglich ihrer Gültigkeit zu prüfen und „Double-Spending“, also Mehrfachausgaben, zu verhindern, ohne dass die Bezahltranskation selbst registriert oder protokolliert wird. Die DLT beschreibt dabei eine Technik für vernetzte Computer, die zu einer Übereinkunft über die Reihenfolge von bestimmten Transaktionen kommen und darüber, dass diese Transaktionen Daten aktualisieren. Es entspricht einem dezentral geführten Verwaltungssystem oder einer dezentral geführten Datenbank.

In einer weiteren Ausgestaltung kann die Datenbank auch als öffentliche Datenbank ausgebildet sein.

Alternativ ist die Überwachungsinstanz eine zentral geführte Datenbank, beispielsweise in Form eines öffentlich zugänglichen Datenspeichers oder als Mischfonn aus zentraler und dezentraler Datenbank.

Bevorzugt wird der zumindest eine initiale elektronische Münzdatensatz ausschließlich von der Herausgeberinstanz erstellt, wobei vorzugsweise die aufgeteilten elektronischen Münzdatensätze, insbesondere elektronischen Münzteildatensätze, auch durch ein Endgerät generiert werden können. Das Erstellen und das Wählen eines monetären Betrags beinhaltet bevorzugt auch das Wählen eines Verschleierungsbetrags mit hoher Entropie. Die Herausgeberinstanz ist ein Rechensystem, welches bevorzugt entfernt vom ersten und/ oder zweiten Endgerät ist. Nach dem Erstellen des neuen elektronischen Münzdatensatzes wird der neue elektronische Münzdatensatz in der Herausgeberinstanz durch Anwenden der homomorphen Einwegfijnktion auf den neuen elektronischen Münzdatensatz maskiert, um entsprechend einen maskierten neuen elektronischen Münzdatensatz zu erhalten. Des Weiteren werden zusätzliche Informationen, die zum Registrieren des Erstellens des maskierten neuen elektronischen Münzdatensatzes in der entfernten Überwachungsinstanz benötigt werden, im der Herausgeberinstanz berechnet. Bevorzugt sind diese weiteren Informationen ein Nachweis, dass der (maskierte) neue elektronische Münzdatensatz von der Herausgeberinstanz stammt, beispielsweise durch eine signieren des maskierten neuen elektronischen Münzdatensatzes. In einer Ausgestaltung kann vorgesehen sein, dass die Herausgeberinstanz einen maskierten elektronischen Münzdatensatz beim Erzeugen des elektronischen Münzdatensatzes mit ihrer Signatur signiert. Die Signatur der Herausgeberinstanz wird dazu in der Überwachungsinstanz hinterlegt.

Bevorzugt kann die Herausgeberinstanz einen elektronischen Münzdatensatz, der sich in ihrem Besitz befindet (also von dem sie den monetären Betrag und den Verschleierungsbetrag kennt) deaktivieren, indem sie den maskierten zu deaktivierenden elektronischen Münzdatensatz mit der homomorphen Einwegfunktion maskiert und einen Deaktivieren-Befehl für die Überwachungsinstanz vorbereitet. Teil des Deaktivieren-Befehls ist bevorzugt neben dem maskierten zu deaktivierenden elektronischen Münzdatensatzes auch der Nachweis, dass der Deaktivieren Schritt von der Herausgeberinstanz initiiert wurde, beispielsweise in Form des signierten maskierten zu deaktivierenden elektronischen Münzdatensatzes. Als zusätzliche Information könnten im Deaktivieren-Befehl Bereichsprüfungen für den maskierten zu deaktivierenden elektronischen Münzdatensatz enthalten sein. Anschließend erfolgt ein Registrieren des Deaktivierens des maskierten elektronischen Münzdatensatzes in der entfernten Überwachungsinstanz. Mit dem Deaktivieren-Befehl wird der Schritt des Deaktivierens ausgelöst.

In einer weiter bevorzugten Ausgestaltung umfasst der Registrieren- Schritt nach dem Ausführen des Deaktivieren- Schritts einen der Herausgeberinstanz vorbereiteten Deaktivieren-Befehl, der an die Überwachungsinstanz gesendet wird, der den maskierten zu deaktivierenden elektronischen Münzdatensatz und bevorzugt weitere Infonnationen, die für Prüfungen in der Überwachungsinstanz gebraucht werden, enthält. Die weiteren Informationen dienen dem Nachweis, dass der Deaktivieren-Befehl von der Herausgeberinstanz initiiert wurde, bevorzugt mittels des signierten maskierten zu deaktivierenden elektronischen Münzdatensatzes. Die Überprüfungsinstanz prüft die Signatur, die Gültigkeit des maskierten zu deaktivierenden elektronischen Münzdatensatzes und optional die Bereichsnachweise über den maskierten zu deaktivierenden elektronischen Münzdatensatzes. Bevorzugt wird nach erfolgreichem Erfüllen der Prüfungen, die für den Deaktivieren-Befehl relevant sind, also bei entsprechender Vollständigkeit der Markierungen, der (maskierte) zu deaktivierende elektronische Münzdatensatz als ungültig markiert. Bevorzugt teilt die Überwachungsinstanz das Ergebnis des Ausführens des Deaktivieren-Befehls der Herausgeberinstanz mit, d.h. dass der (maskierte) zu deaktivierende elektronische Münzdatensatz nach Ausführen des Deaktivieren-Befehls ungültig ist.

Die Schritte Erstellen und Deaktivieren erfolgen bevorzugt an gesicherten Orten, insbesondere nicht in den Endgeräten. In einer bevorzugten Ausgestaltung werden die Schritte des Erstellens und Deaktivierens nur von der Herausgeberinstanz durchgeführt bzw. angestoßen. Vorzugsweise finden diese Schritte an einen gesicherten Ort statt, beispielsweise in einer Hard- und Software- Architektur, die zur Verarbeitung von sensiblem Datenmaterial in unsicheren Netzen entwickelt wurde. Das Deaktivierendes entsprechenden maskierten elektronischen Münzdatensatz bewirkt, dass der entsprechende maskierte elektronische Münzdatensatz nicht mehr für weitere Verarbeitung, insbesondere Transaktionen, verfügbar ist, da er in und von der Überwachungsinstanz als ungültig markiert wurde. Jedoch kann in einer Ausführungsform vorgesehen sein, dass der deaktivierte maskierte elektronische Münzdatensatz bei der Herausgeberinstanz archivarisch bestehen bleibt. Dass der deaktivierte maskierte elektronische Münzdatensatz nicht mehr gültig ist, kann beispielsweise mithilfe eines Flags oder einer anderen Codierung gekennzeichnet oder der deaktivierte maskierte elektronische Münzdatensatz kann zerstört und/ oder gelöscht werden. Selbstverständlich kann der deaktivierte maskierte elektronische Münzdatensatz auch physisch vom Endgerät entfernt werden.

Durch das erfindungsgemäße Verfahren werden verschiedene Verarbeitungsoperationen für die elektronischen Münzdatensätze und die entsprechenden maskierten elektronischen Münzdatensätze ermöglicht. Jeder der Verarbeitungsoperationen (insbesondere das Erstellen, Deaktivieren, Aufteilen, Verbinden und Umschalten) wird dabei in der Überwachungsinstanz registriert und dort in unveränderlicher Form an die Liste der vorherigen Verarbeitungsoperationen für den jeweiligen maskierten elektronischen Münzdatensatz angehängt. Die Verarbeitungsoperationen„Erstellen“ und„Deaktivieren“, die die Existenz des monetären Betrags an sich betreffen, also die Schaffung und die Vernichtung bis hin der Zerstörung von Geld bedeuten, bedürfen einer zusätzlichen Genehmigung , beispielsweise in Fonn einer Signatur, durch die Herausgeberinstanz, um in der Überwachungsinstanz registriert (also protokolliert) zu werden. Die übrigen Verarbeitungsoperationen (Aufteilen, Verbinden, Umschalten) bedürfen keiner Autorisierung durch die Herausgeberinstanz oder durch den Befehlsinitiator (= Zahler, bspw. das erste Endgerät).

Die vorliegend aufgeführten Schritte des Umschaltens, Aufteilens oder Verbindens (Registrieren von Modifikationen) und des Erstellens und Deaktivierens (Initiales Registrieren und Finales Deregistrieren) werden in der Überwachungsinstanz jeweils durch entsprechende Anforderungen (bzw. Befehle) ausgelöst, beispielsweise einem entsprechenden Erstell-, Umschalt-, Aufteil-, Verbinden- bzw. Deaktivier-Befehl.

Eine Verarbeitung in der Direkttransaktionsschicht betrifft nur die Besitzverhältnisse und/ oder die Zuordnung der Münzdatensätze zu Endgeräten der jeweiligen elektronischen Münzdatensätze. Eine Registrierung der jeweiligen Verarbeitung in der Überwachungsinstanz wird beispielsweise durch entsprechende Listeneinträge in einer Datenbank realisiert, die eine Reihe von Markierungen umfasst, die von der Überwachungsinstanz durchgeführt werden müssen. Eine mögliche Struktur für einen Listeneintrag umfasst beispielsweise Spalte(n) für einen Vorgänger-Münzdatensatz, Spalte(n) für einen Nachfolger-Münzdatensatz, eine Signatur- Spalte für die Herausgeberinstanz, und zumindest eine Markierungsspalte. Eine Änderung des Status der Markierung bedarf der Genehmigung durch die Überwachungsinstanz und muss sodann unveränderlich gespeichert werden. Eine Änderung ist endgültig, wenn und nur wenn die erforderlichen Markierungen durch die Überwachungsinstanz validiert wurden, d.h. nach der entsprechenden Prüfung beispielsweise vom Status "0" in den Status "1" gewechselt wurden. . Scheitert eine Prüfung oder dauert zu lang, so wird sie stattdessen beispielsweise vom Status in den Status "0" gewechselt. Weitere Statuswerte sind denkbar und/oder die hier genannten Statuswerte sind austauschbar. Bevorzugt wird die Gültigkeit der jeweiligen (maskierten) elektronischen Münzdatensätze aus den Statuswerten der Markierungen zusammengefasst jeweils in einer Spalte für jeden maskierten elektronischen Münzdatensatz, der im Registrieren der Verarbeitung involviert ist, dargestellt.

In einem weiteren Ausführungsbeispiel können wenigstens zwei vorzugsweise drei oder sogar alle der vorhergenannten Markierungen auch durch eine einzige Markierung ersetzt werden, die dann gesetzt wird, wenn alle Prüfungen erfolgreich abgeschlossen wurden. Des Weiteren lassen sich die je zwei Spalten für Vorgänger-Datensätze und Nachfolger-Datensätze zu jeweils einem zusammenfassen, in welchem alle Münzdatensätze gemeinsam ausgelistet sind. Dadurch könnten dann auch mehr als zwei elektronische Münzdatensätze je Feldeintrag verwaltet werden, und somit z.B. eine Aufspaltung in mehr als zwei Münzen realisiert werden.

Die Prüfungen durch die Überwachungsinstanz, um zu prüfen, ob eine Verarbeitung endgültig ist sind bereits oben beschrieben und sind insbesondere:

- Sind die maskierten elektronischen Münzdatensätze der Vorgänger- Spalte(n) gültig?

- Ergibt eine Überprüfung den korrekten Prüfwert?

- Sind die Bereichsnachweise für die maskierten elektronischen Münzdatensätze erfolgreich?

- Ist die Signatur des maskierten elektronischen Münzdatensatzes eine gültige Signatur der Herausgeberinstanz?

Bevorzugt gilt zudem, dass ein maskierter elektronischer Münzdatensatz ungültig ist, wenn einer der folgenden Prüfungen zutrifft, also wenn:

(1) der maskierte elektronische Münzdatensatz nicht in der Überwachungsinstanz registriert ist;

(2) die letzte Verarbeitung des maskierten elektronischen Münzdatensatzes angibt, dass es für ihn Vorgänger-Münzdatensätze gibt, diese letzte Verarbeitung aber nicht endgültig ist; oder

(3) die letzte Verarbeitung des maskierten elektronischen Münzdatensatzes angibt, dass es für ihn Nachfolger-Münzdatensätze gibt und diese letzte Verarbeitung endgültig ist.

(4) der maskierte elektronische Münzdatensatz nicht der Nachfolger von einem gültigen maskierten elektronischen Datensatz ist, es sei denn er ist von der Herausgeberinstanz signiert

In einem Aspekt der Erfindung ist ein Bezahlsystem zum Austausch von monetären Beträgen vorgesehen mit einer Überwachungsschicht mit einer - bevorzugt dezentral gesteuerten, englisch Distributed Ledger Technology, DLT - Datenbank, in der maskierte elektronische Münzdatensätze abgelegt sind; und einer Direkttransaktionsschicht mit zumindest zwei Endgeräten, in welche das vorhergehend beschriebene Verfahren durchführbar ist; und/oder eine Herausgeberinstanz zum Erzeugen eines elektronischen Münzdatensatzes. Dabei kann die Herausgeberinstanz nachweisen, dass der maskierte erzeugte elektronische Münzdatensatz von ihr erzeugt wurde, bevorzugt kann sich die Herausgeberinstanz durch das Signieren ausweisen und die Überwachungsinstanz kann die Signatur der Herausgeberinstanz prüfen.

In einer bevorzugten Ausgestaltung umfasst das Bezahlsystem eine Herausgeberinstanz zum Erzeugen eines elektronischen Münzdatensatzes. Dabei kann die Herausgeberinstanz nachweisen, dass der maskierte erzeugte elektronische Münzdatensatz von ihr erzeugt wurde, bevorzugt kann sich die Herausgeberinstanz durch das Signieren ausweisen und die Überwachungsinstanz kann die Signatur der Herausgeberinstanz prüfen.

Bevorzugt ist das Bezahlsystem zum Durchführen des oben genannten Verfahrens und/ oder wenigstens einer der Ausfährungsvarianten ausgebildet.

Ein weiterer Aspekt der Erfindung betrifft ein Währungssystem umfassend eine Herausgeberinstanz, eine Überwachungsinstanz, ein erstes Endgerät und ein zweites Endgerät, wobei die Herausgeberinstanz ausgebildet ist, einen elektronischen Münzdatensatzes zu erstellen. Der maskierte elektronische Münzdatensatz ist ausgebildet, nachweisbar durch die Herausgeberinstanz erstellt zu sein. Die Überwachungsinstanz ist zum Ausfuhren eines Registrierschritts wie in dem oben genannten Verfahren ausgeführt, ausgebildet Vorzugsweise sind die Endgeräte, d.h. wenigstens das erste und zweite Endgerät zum Ausfuhren eines des oben genannten Verfahrens zum Übertragen geeignet.

In einer bevorzugten Ausführung des Währungssystems ist lediglich die Herausgeberinstanz berechtigt, einen elektronischen Münzdatensatz initial zu erstellen. Eine Verarbeitung, beispielsweise der Schritt des Verbindens, des Aufteilens und/ oder des Umschaltens, kann und wird vorzugsweise durch ein Endgerät durchgeführt. Der Verarbeitungsschritt des Deaktivierens kann vorzugsweise nur von der Herausgeberinstanz ausgeführt werden. Somit wäre lediglich die Herausgeberinstanz berechtigt, den elektronischen Münzdatensatzes und/ oder den maskierten elektronischen Münzdatensatz zu invalidieren.

Bevorzugt sind die Überprüfungsinstanz und die Herausgeberinstanz in einer Serverinstanz angeordnet oder liegen als Computerprogrammprodukt auf einem Server und/ oder einem Computer vor.

Ein elektronischer Münzdatensatz kann dabei in einer Vielzahl von unterschiedlichen Erscheinungsformen vorliegen und damit über verschiedene Kommunikationskanäle, nachfolgend auch Schnittstellen genannt, ausgetauscht werden. Ein sehr flexibler Austausch von elektronischen Münzdatensätzen ist damit geschaffen. Der elektronische Münzdatensatz ist beispielsweise als ein optoelektronisch erfassbarer Code, beispielsweise ein Barcode oder QR-Code, dargestellt und somit ein eindimensionaler oder zweidimensionaler codierter Datensatz. In dieser visuellen Form kann er angezeigt werden, beispielsweise mittels elektronischer Anzeigeeinheit (Display, Monitor) oder aber auch als Ausdruck auf Papier. Er ist also als visuelle Erscheinungsform abbildbar. In dieser visuellen Form kann der elektronische Münzdatensatz zudem von einer elektronischen Erfassungseinheit, beispielsweise einem Scanner (Barcode- Scanner, QR-Code Scanner) oder auch einer Kamera erfasst werden. Dabei werden insbesondere der monetäre Wert und die blinde Signatur als optoelektronisch erfassbarer Code abgebildet.

Der elektronische Münzdatensatz ist beispielsweise in Form einer Datei darstellbar. Eine Datei besteht dabei aus inhaltlich zusammengehörigen Daten, die auf einem Datenträger, Datenspeicher oder Speichermedium gespeichert sind. Jede Datei ist zunächst eine eindimensionale Aneinanderreihung von Bits, die normalerweise in Byte-Blöcken zusammengefasst interpretiert werden. Ein Anwendungsprogramm (Applikation) oder ein Betriebssystem selbst interpretieren diese Bit- oder Bytefolge beispielsweise als einen Text, ein Bild oder eine Tonaufzeichnung. Das dabei verwendete Dateiformat kann unterschiedlich sein, beispielsweise kann es eine reine Textdatei sein, die den elektronischen Münzdatensatz repräsentiert. Dabei werden insbesondere der monetäre Wert und die blinde Signatur als Datei abgebildet.

Der elektronische Münzdatensatz ist beispielsweise eine Folge von American Standard Code for Information Interchange, kurz ASCII, Zeichen. Dabei werden insbesondere der monetäre Wert und die blinde Signatur als diese Folge ab gebildet.

Der elektronische Münzdatensatz kann in einem Gerät auch von einer Darstellungsform in eine andere Darstellungsform umgewandelt werden. So kann beispielsweise der elektronische Münzdatensatz als QR-Code im Gerät empfangen werden und als Datei oder Zeichenfolge vom Gerät ausgegeben werden.

Diese unterschiedlichen Darstellungsformen von ein und demselben elektronischen Münzdatensatz ermöglichen einen sehr flexiblen Austausch zwischen Geräten unterschiedlicher technischer Ausrüstung unter Verwendung unterschiedlicher Übertragungsmedien (Luft, Papier, drahtgebunden) und unter Berücksichtigung der technischen Ausgestaltung eines Geräts. Die Wahl der Darstellungsform der elektronischen Münzdatensätze erfolgt bevorzugt automatisch, beispielsweise aufgrund erkannter oder ausgehandelter Übertragungsmedien und Gerätekomponenten. Zusätzlich kann auch ein Benutzer eines Gerät die Darstellungsform zum Austausch (=Übertragen) eines elektronischen Münzdatensatzes wählen. In einem Aspekt der Erfindung wird die Aufgabe durch ein Gerät gelöst, das zum direkten Übertragen von elektronischen Münzdatensätzen an ein anderes Gerät eingerichtet ist. Das Gerät umfasst Mittel zum Zugreifen auf einen Datenspeicher, wobei im Datenspeicher zumindest ein elektronischer Münzdatensatz abgelegt ist; eine Schnittstelle zumindest zum Ausgaben des zumindest einen elektronischen Münzdatensatzes an das andere Gerät; und eine Recheneinheit, die zum Maskieren des elektronischen Münzdatensatzes im Gerät durch Anwenden einer homomorphen Verschlüsselungsfunktion auf den elektronischen Münzdatensatz zum Erhalten eines maskierten elektronischen Münzdatensatzes zum Registrieren des maskierten elektronischen Münzdatensatzes in einer Überwachungsinstanz; und zum Ausgeben des elektronischen Münzdatensatzes mittels der Schnittstelle eingerichtet ist, wobei der zumindest eine elektronische Münzdatensatz wie zuvor beschrieben aufgebaut ist, also einen monetären Betrag und eine blinde Signatur aufweist.

Ein Gerät ist dabei ein zuvor beschriebenes Endgerät bzw. eine zuvor beschriebene Maschine.

In einem einfachen Fall ist der Datenspeicher ein interner Datenspeicher des Geräts. Hier werden die elektronischen Münzdatensätze abgelegt. Ein einfacher Zugriff auf elektronische Münzdatensätze ist somit gewährleistet.

Der Datenspeicher ist insbesondere ein externer Datenspeicher, auch Online-Speicher genannt. Somit weist das Gerät nur ein Zugriffsmittel auf die extern und damit sicher abgelegten Münzdatensätze auf. Insbesondere bei einem Verlust des Geräts oder bei Fehlfunktionen des Geräts sind die elektronischen Münzdatensätze nicht verloren. Da der Besitz der (unmaskierten) elektronischen Münzdatensätze gleich dem Besitz des monetären Betrags entspricht, kann durch Verwendung externer Datenspeicher Geld sicherer aufbewahrt werden.

Ist die Überwachungsinstanz eine entfernte Überwachungsinstanz, so verfügt das Gerät bevorzugt über eine Schnittstelle zur Kommunikation mittels einem üblichen Intemet- Kommunikationsprotokoll, beispielsweise TCP, IP, UDP oder HTTP. Die Übertragung kann eine Kommunikation über das Mobilfunknetz beinhalten.

In einer bevorzugten Ausgestaltung ist das Gerät dazu eingerichtet, die bereits beschriebenen Verarbeitungen an einem elektronischen Münzdatensatz durchzuführen. Dazu ist die Recheneinheit dazu eingerichtet, einen umzuschaltenden elektronischen Münzdatensatz als den elektronischen Münzdatensatz zu maskieren, den die Überwachungsinstanz als maskierten elektronischen Münzdatensatz zum Registrieren des Umschalten-Befehls bzw. im Umschalten- Schritt braucht. Auf diese Weise kann ein elektronischer Münzdatensatz - wie oben beschrieben - umgeschaltet werden.

Zudem oder alternativ ist die Recheneinheit bevorzugt eingerichtet, einen in einen ersten elektronischen Münzteildatensatz und einen zweiten elektronischen Münzteildatensatz aufgeteilten elektronischen Münzdatensatz zu maskieren, um einen maskierten ersten elektronischen Münzteildatensatz und einen maskierten zweiten elektronischen Münzteildatensatz zu erhalten, der in der Überwachungsinstanz registriert werden soll. Auf diese Weise kann ein elektronischer Münzdatensatz - wie oben beschrieben - aufgeteilt werden.

Zudem oder alternativ ist die Recheneinheit bevorzugt eingerichtet, einen aus einem ersten und einem zweiten elektronischen Münzdatensatz zu verbindenden elektronischen Münzteildatensatzes als den elektronischen Münzdatensatz zu maskieren, um einen maskierten zu verbindenden Münzdatensatzes als den maskierten elektronischen Münzdatensatz zu erhalten, der in der Überwachungsinstanz registriert wird. Auf diese Weise kann ein elektronischer Münzdatensatz - wie oben beschrieben - verbunden werden.

In einer bevorzugten Ausgestaltung ist die Schnittstelle zum Ausgeben des zumindest einen elektronischen Münzdatensatzes eine elektronische Anzeigeeinheit des Geräts, die zum Anzeigen des elektronischen Münzdatensatzes und dadurch (auch) zum Ausgeben des elektronischen Münzdatensatzes in visueller Form eingerichtet ist. Wie bereits beschrieben wurde, ist der elektronische Münzdatensatz dann beispielsweise in Form eines optoelektronisch erfassbaren Codes, einem Bild, etc. zwischen Geräten austauschbar.

In einer bevorzugten Ausgestaltung ist die Schnittstelle zum Ausgeben des zumindest einen elektronischen Münzdatensatzes eine Protokollschnittstelle zum drahtlosen Senden des elektronischen Münzdatensatzes an das andere Gerät mittels eines Kommunikationsprotokolls für Drahtloskommunikation. Dabei ist insbesondere eine Nahfeldkommunikation, beispielsweise mittels Bluetooth-Protokoll oder NFC-Protokoll oder IR-Protokoll vorgesehen, alternativ oder zusätzlich sind WLAN Verbindungen oder Mobilfunkverbindungen denkbar. Der elektronische Münzdatensatz wird dann gemäß den Protokolleigenschaften angepasst und übertragen.

In einer bevorzugten Ausgestaltung ist die Schnittstelle zum Ausgeben des zumindest einen elektronischen Münzdatensatzes eine Datenschnittstelle zum Bereitstellen des elektronischen Münzdatensatzes an das andere Gerät mittels einer Applikation. Im Unterschied zur Protokollschnittstelle wird hier der elektronische Münzdatensatz mittels einer Applikation übertragen. Diese Applikation überträgt sodann den Münzdatensatz in einem entsprechenden Dateiformat. Es kann ein für elektronische Münzdatensätze spezifisches Dateiformat verwendet werden. In einfachster Form wird der Münzdatensatz als ASCII-Zeichenfolge oder als Textnachricht, beispielsweise SMS, MMS, Instant-Messenger-Nachricht (wie Threema oder WhatsApp) übertragen. Es kann auch eine Geldbörsen-Applikation vorgesehen sein. Hierbei stellen die austauschenden Geräte bevorzugt sicher, dass ein Austausch mittels der Applikation möglich ist, also dass beide Geräte die Applikation aufweisen und austauschbereit sind.

In einer bevorzugten Ausgestaltung weist das Gerät weiter eine Schnittstelle zum Empfangen von elektronischen Münzdatensätzen auf.

In einer bevorzugten Ausgestaltung ist die Schnittstelle zum Empfangen des zumindest einen elektronischen Münzdatensatzes ein elektronisches Erfassungsmodul des Geräts, eingerichtet zum Erfassen eines, in visueller Form dargestellten elektronischen Münzdatensatzes. Das Erfassungsmodul ist dann beispielsweise eine Kamera oder ein Barcode bzw. QR-Code Scanner.

In einer bevorzugten Ausgestaltung ist die Schnittstelle zum Empfangen des zumindest einen elektronischen Münzdatensatzes eine Protokollschnittstelle zum drahtlosen Empfangen des elektronischen Münzdatensatzes von einem anderen Gerät mittels eines Kommunikationsprotokolls für Drahtloskommunikation. Dabei ist insbesondere eine Nahfeldkommunikation, beispielsweise mittels Bluetooth-Protokoll oder NFC-Protokoll oder IR- Protokoll, vorgesehen. Alternativ oder zusätzlich sind WLAN Verbindungen oder Mobilfunkverbindungen denkbar.

In einer bevorzugten Ausgestaltung ist die Schnittstelle zum Empfangen des zumindest einen elektronischen Münzdatensatzes eine Datenschnittstelle zum Empfangen des elektronischen Münzdatensatzes von dem anderen Gerät mittels einer Applikation. Diese Applikation empfängt sodann den Münzdatensatz in einem entsprechenden Dateiformat. Es kann ein für Münzdatensätze spezifisches Dateiformat verwendet werden. In einfachster Form wird der Münzdatensatz als ASCII-Zeichenfolge oder als Textnachricht, beispielsweise SMS, MMS, Threema oder WhatsApp übertragen. Zusätzlich kann die Übertragung mittels einer Geldbörsen- Applikation erfolgen.

In einer bevorzugten Ausgestaltung ist die Schnittstelle zum Empfangen des zumindest einen elektronischen Münzdatensatzes auch die Schnittstelle zum Ausgeben des elektronischen Münzdatensatzes, sodass eine Schnittstelle sowohl zum Senden als auch zum Empfangen des Münzdatensatzes vorgesehen ist.

In einer bevorzugten Ausgestaltung weist das Gerät weiter ein Mittel zum Zugreifen auf ein elektronisches Tresormodul auf, wobei das Tresormodul zum gesicherten Ablegen von zumindest einem elektronischen Münzdatensatz vorzugsweise in einem Online-Speicher, eingerichtet ist. Das Gerät ist dabei bevorzugt ein Endgerät, wie Smartphone, Laptop, Smartwatch, Smartcard etc. Das Tresormodul, auch als„Vault“ bezeichnet, kann ein bzw. der Datenspeicher für elektronische Münzdatensätze sein, auf den der Nutzer nur nach zusätzlicher (erfolgreicher) Authentisierung, zum Beispiel über biometrische Merkmale, PIN, Passwort, zugreifen kann. Dieses Tresormodul kann auf dem Gerät eingerichtet sein und wird dann durch zusätzliche Sicherheitsfunktionen geschützt. Beispielsweise ist das Tresormodul eine gesicherte Laufzeitumgebung, TEE, oder ein Sicherheitselement, wie eUICC etc. Alternativ ist das Tresormodul extern vom Gerät ausgebildet, beispielsweise als ein Trusted Server eines vertrauenswürdigen Dritten, der eine Tresormodul-Funktion anbietet.

Das Tresormodul kann dabei insbesondere auch die Verarbeitungen am Datensatz, insbesondere Aufteilen, Verbinden und Umschalten initiieren und ist zu diesen Zwecken mit der Überwachungsinstanz zu Kommunikationszwecken verbindbar. In dieser Form ist dann das Tresormodul eine bzw. die Recheneinheit des Geräts und ist zum Maskieren und Ausgeben des elektronischen Münzdatensatzes eingerichtet. Auch diese Verarbeitungen werden bevorzugt erst nach erfolgreicher Authentisierung durchgeführt.

In dieses Tresormodul können automatisiert (unmaskierte) Münzdatensätze geladen werden. Beispielsweise kann der Nutzer im Gerät eine Vorgabe, wie einen Schwellwert, definieren. Der Schwellwert repräsentiert beispielsweise einen monetären Maximalbetrag oder eine Maximalanzahl von elektronischen Münzdatensätzen. Die Recheneinheit erkennt automatisch, wenn dieser definierte Schwellwert im Gerät überstiegen ist - beispielsweise nach einer eingehenden Zahlung von einem anderen Gerät. Dann werden (unmaskierte) elektronische Münzdatensätze automatisch in das Tresormodul geladen und nur Münzdatensätze entsprechend des definierten Schwellwerts verbleiben auf dem Gerät bzw. in einem weniger gesicherten oder ungesicherten Datenspeicher.

Das Tresormodul kann darüber hinaus auch ein eigenständiges Gerät sein. Neben dem gesicherten Speicher weist dieses Tresormodul dann ein Kommunikationsmittel zur Eingabe und ein Kommunikationsmittel zur Ausgabe und ein Mittel zur Abfrage einer Authentisierung des Nutzers auf. Das Tresormodul kann initial personalisiert werden. Alternativ kann das Tresormodul an das Gerät angeschlossen werden, um dessen Schnittstellen zum Austauschen von Münzdatensätzen zu nutzen.

In einer bevorzugten Ausgestaltung weist das Gerät ein Modul auf, das zum Erkennen einer vordefinierten Standortzone eingerichtet ist. Als Standortzone wird beispielsweise eine Heimzone oder ein Heimbereich verstanden, englisch Homezone genannt. Diese Standortzone kann der Abdeckungsbereich eines WLAN-Bereichs sein, beispielsweise definiert durch den Namen (SSID) des WLANs. Das Modul ist dann beispielsweise ein WLAN-Modul. Das Gerät erkennt dazu aktive WLANs und kann dann mit dem vordefinierten WLAN verbunden werden, um mit dem Internet verbunden zu sein. Das Gerät führt einige besondere Funktionen erst aus, wenn es erkannt hat, dass es in der vordefinierten Standortzone ist. Optional kann ein spezifisches WLAN Netz definiert sein. Zusätzlich oder alternativ kann das Modul ein Global Positioning System, GPS, Modul sein, mit welchem erkannt wird, dass das Gerät innerhalb vordefinierter GPS -Koordinaten ist. Dabei fuhrt das Gerät spezielle Funktionen nur in der vordefinierten Standortzone aus. Die Definition der Standortzone erfolgt entweder direkt am Gerät oder an dem Modul.

Die besonderen (speziellen) Funktionen, die bei Erkennen der Standortzone ausgeführt werden, sind beispielsweise das automatische Übertragen (also sowohl Senden als auch Empfangen) von elektronischen Münzdatensätzen, beispielsweise in das Tresormodul und/oder den externen Datenspeicher und/oder das Übertragen maskierter Münzdatensätze zum Umschalten des jeweiligen Münzdatensatzes in der Überwachungsinstanz. Das Standorterkennungs-Modul und das Tresormodul können bevorzugt interagieren, sodass ein Befüllen oder Entnehmen des Tresormoduls mit Münzdatensätzen (nur) in Abhängigkeit des definierten Schwellwertes und bei Erkennen der Standortzone erfolgt. Somit wird ein automatisches Aufladen und Überweisen und auch Abbuchen in Abhängigkeit von Standort und definiertem Schwell wert ermöglicht.

Das Gerät kann besonders bevorzugt eingerichtet sein, um abhängig von einer Vorgabe für in dem Endgerät abgelegte elektronische Münzdatensätze, insbesondere einem Schwellwert eines monetären Betrages für in dem Endgerät abgelegte elektronische Münzdatensätze, eine Maximalanzahl von elektronischen Münzdatensätzen und/oder einer Denominations vorgabe für in dem Endgerät abgelegte elektronische Münzdatensätze, zur Einhaltung der Vorgabe zumindest einen elektronischen Münzdatensatz automatisch aus dem Gerät oder in das Gerät zu übertragen. Zur Einhaltung der Vorgabe wird beispielsweise der elektronische Münzdatensatz aus dem Gerät in das Tresormodul oder aus dem Tresormodul in das Gerät übertragen. Wahlweise kann das Gerät alternativ oder zusätzlich dazu eingerichtet sein, zur Einhaltung der Vorgabe den elektronischen Münzdatensatz von einer Fierausgeberinstanz in das Gerät zu übertragen oder aus dem Gerät an die Herausgeberinstanz zu übertragen.

Zur Erhöhung der Sicherheit kann vorgesehen sein, dass die Herausgeberinstanz elektronische Münzdatensätze nur an Tresormodule von Geräten ausgibt und/oder elektronische Münzdatensätze nur von Tresormodulen von Geräten zurücknimmt. Das (die) Gerät(e) ist (sind) eingerichtet elektronische Münzdatensätze mittels der Schnittstelle mit anderen Geräten auszutauschen und vorzugsweise nur mittels des Tresormoduls elektronische Münzdatensätze mit der Herausgeberinstanz auszutauschen, insbesondere anzufordem oder zurückzugeben.

In einer bevorzugten Ausgestaltung ist die Recheneinheit eingerichtet zum Erkennen einer Differenz aus einem zu übertragenden monetären Betrag und einem monetären Betrags des elektronischen Münzdatensatzes; Anfragen eines elektronischen Münzdatensatzes aufweisend einen monetären Betrag gleich der erkannten Differenz bei einer Herausgeberinstanz; Erhalten des angefragten elektronischen Münzdatensatz. Bevorzugt erfolgt ein Verbinden des erhaltenen elektronischen Münzdatensatzes mit dem abgelegten elektronischen Münzdatensatz und Maskieren des zu verbindenden elektronischen Münzdatensatzes zum Registrieren bei der Überwachungsinstanz. Übertragen wird dann der verbundene elektronische Münzdatensatz. In einer alternativen Ausgestaltung erfolgt ein Umschalten des empfangenen elektronischen Münzdatensatzes bei der Überwachungsinstanz. Übertragen werden dann der umgeschaltete sowie der vorhandene elektronische Münzdatensatz. Somit kann das Gerät vollautomatisch den gewünschten Bezahlbetrag in einem elektronischen Münzdatensatz bereitstellen und dazu die Herausgeberinstanz entsprechend beauftragen. Dies ist optional auch eine der besonderen Funktionen des Geräts, die ggf. erst in einer Standortzone und bei Unterschreiten eines vordefinierten Schwellwertes erfolgen.

In einer bevorzugten Ausgestaltung ist die Recheneinheit eingerichtet zum Erkennen eines Überschusses aus erhaltenen monetären Betrag und einem Schwellwert eines monetären Betrags für abgelegte elektronische Münzdatensätze; und Übertragen des Überschusses, beispielsweise als Gutschreiben des Überschusses auf ein Bankkonto oder als Übertragen in ein Tresormodul, unter Aufteilen des elektronischen Münzdatensatzes zum Erhalten eines ersten elektronischen Münzteildatensatzes, der dem Schwellwert entspricht, und eines zweiten elektronischen Münzteildatensatzes, der dem Überschuss entspricht, und Maskieren des ersten und zweiten Münzteildatensatzes zum Erhalten von maskierten ersten und zweiten elektronischen Münzdatensätzen zum Aufteilen bei der Überwachungsinstanz. Somit kann das Gerät vollautomatisch einen Überschuss-Betrag beispielsweise auf ein Bankkonto gutschreiben lassen und somit Anzahl und Werte des Münzdatensatzes auf dem Gerät gering (im Sinne des Schwellwertes) halten. Dies ist auch eine der besonderen Funktionen des Geräts, die ggf. erst in einer Standortzone und bei Überschreiten eines vordefinierten Schwellwertes erfolgen.

In einer bevorzugten Ausgestaltung weist das Gerät, insbesondere das erste und/ oder zweite Endgerät, ein Banknotenmodul auf, das eingerichtet zum Eingeben und/oder Ausgeben von Banknoten ist. In diesem Fall ist das Gerät bevorzugt eine Maschine oder ein Automat, beispielsweise ein Selbstbedienungs-Terminal oder eine Komponente in einem Kassensystem eines Händlers oder einer Bankinstanz. In einer bevorzugten Ausgestaltung ist das Gerät ein Kassenterminal und/oder ein Automat und ist dazu eingerichtet, einen monetären Betrag in Teilen als Banknote mittels des Banknotenmoduls auszugebnen und in Teilen als elektronischen Münzdatensatz mittels der Schnittstelle auszugeben. In diesem Fall ist durch das Gerät ermöglicht, dass auf analoge Münzen gänzlich verzichtet werden kann. Ein Teil des zu übertragenden monetären Betrags erfolgt als Banknoten, abgerundet auf die nächste Denomination, und der Restbetrag wird als elektronischer Münzdatensatz ausgegeben. Dies ersetzt eine Geldausgabe in Form von analogen Münzen.

Der elektronische Münzdatensatz (als Teil der Zahlung) kann dabei in (opto)-elektronischer Form übertragen werden oder aber ein Ausdruck von der Kassenkomponente sein, den der Nutzer in Empfang nimmt.

Bevorzugt ist der als elektronischer Münzdatensatz auszugebende Teil des monetären Betrags ein erster elektronischer Münzteildatensatz eines aufgeteilten elektronischen Münzdatensatz.

In einer bevorzugten Ausgestaltung ist das Gerät ein Kassenterminal und/oder ein Automat und dazu eingerichtet, einen monetären Betrag in Banknoten mittels des Banknotenmoduls auszugeben, wobei das Gerät dazu einen monetären Teilbetrag in Form von elektronischen Münzdatensatz von einem anderen Gerät erhält. Dazu kann das Gerät dem anderen Gerät mitteilen welchen monetären Wert es erwartet, also einen elektronischen Münzdatensatz eines bestimmten monetären Wertes anfragen. In diesem Fall kann also auch auf das Übertragen von analogen Münzen verzichtet werden. Ein Teil des zu übertragenden monetären Betrags erfolgt als Banknoten, aufgerundet auf die nächste Denomination und der Restbetrag wird als elektronischer Münzdatensatz vom Endgerät - als quasi als negatives Rückgeld - erhalten.

Der elektronische Münzdatensatz (als Teil der Zahlung) kann dabei in (opto)-elektronischer Form übertragen werden oder aber ein Ausdruck sein, den die Kassenkomponente in Empfang nimmt.

Bevorzugt ist der als elektronischer Münzdatensatz zu erhaltende Teil des monetären Betrags ein erster elektronischer Münzteildatensatz eines (vom Nutzer) aufgeteilten elektronischen Münzdatensatzes. Dabei kann das andere Gerät (also das Gerät vom Nutzer) zum Aufteilen entweder selbständig in Kontakt zur Überwachungsinstanz treten oder das Gerät als vertrauenswürdige Instanz zur Kommunikation mit der Überwachungsinstanz nutzen. In einer bevorzugten Ausführung würde das andere Gerät in diesem Fall dem Gerät einen elektronischen Münzdatensatz mit der Bitte um Aufteilen beispielsweise in einen ersten vordefmierten elektronischen Münzteildatensatz und einen zweiten vordefinierten elektronischen Münzteildatensatz.

In einer bevorzugten Ausgestaltung umfassend das Gerät zumindest ein Sicherheitselement- Lesegerät, eingerichtet zum Lesen eines Sicherheitselements; einen Zufallszahlengenerator; und/oder eine Kommunikationsschnittstelle zu einem Tresormodul und/ oder Bankinstitut mit zu autorisierendem Zugriff auf ein Bankkonto.

In einer bevorzugten Ausgestaltung ist der Datenspeicher ein gemeinsamer Datenspeicher, auf den zumindest noch ein anderes Gerät zugreifen kann, wobei jedes der Endgeräte eine Applikation aufweist, wobei diese Applikation zum Kommunizieren mit der Überwachungsinstanz zum entsprechenden Registrieren von elektronischen Münzteildatensätzen eingerichtet ist.

In einem Aspekt der Erfindung ist ein Bezahlsystem zum Austausch von monetären Beträgen vorgesehen mit einer Überwachungsschicht mit einer Datenbank, vorzugsweise einer dezentral gesteuerten Datenbank (DLT), in der maskierte elektronische Münzdatensätze abgelegt sind; und einer Direkttransaktionsschicht mit zumindest einem Gerät nach einem der vorhergehenden Art und einem anderen Gerät, bevorzugt nach einem der vorhergehenden Art; und/oder eine Herausgeberinstanz zum Erzeugen eines elektronischen Münzdatensatzes und einer Signatur, wobei die Signatur in der dezentral gesteuerten Datenbank hinterlegt ist.

Vorgeschlagen wird hierbei also eine Lösung, die digitales Geld in Form von elektronischen Münzdatensätzen heraus gibt, die an die Verwendung von konventionellen (analogen) Banknoten und/oder Münzen angelehnt ist. Das digitale Geld wird hierbei durch elektronische Münzdatensätze abgebildet. Wie bei (analogen) Banknoten werden auch diese elektronischen Münzdatensätze für alle Formen von Zahlungen, einschließlich Peer-to-Peer-Zahlungen und/oder POS-Zahlungen, verwendbar. Die Kenntnis aller Bestandteile (insbesondere monetärer Betrag und Verschleierungsbetrag) eines gültigen elektronischen Münzdatensatzes ist gleichbedeutend mit dem Besitz (Eigentum) des digitalen Geldes. Es ist daher ratsam, diese gültigen elektronischen Münzdatensätze vertraulich zu behandeln, also beispielsweise in einem Sicherheitselement/ Tresormodul eines Endgeräts aufzubewahren und dort zu verarbeiten. Um über die Authentizität eines elektronischen Münzdatensatzes zu entscheiden und Doppelausgaben zu verhindern, werden in der Überwachungsinstanz maskierte elektronische Münzdatensätze als einzigartige, korrespondierende öffentliche Darstellung des elektronischen Münzdatensatzes vorgehalten. Die Kenntnis oder der Besitz eines maskierten elektronischen Münzdatensatzes stellt nicht den Besitz von Geld dar. Vielmehr gleicht dies dem Überprüfen der Echtheit des analogen Zahlungsmittels. Die Überwachungsinstanz enthält auch Markierungen über durchgeführte und geplante Verarbeitungen des maskierten elektronischen Münzdatensatzes. Aus den Markierungen zu den Verarbeitungen wird ein Status des jeweiligen maskierten elektronischen Münzdatensatzes abgeleitet, der angibt, ob der entsprechende (unmaskierte) elektronische Münzdatensatz gültig, d.h. zahlungsbereit ist. Daher wird ein Empfänger eines elektronischen Münzdatensatzes zunächst einen maskierten elektronischen Münzdatensatz erzeugen und sich durch die Überwachungsinstanz die Gültigkeit der maskierten elektronischen Münzdatensatz authentifizieren lassen. Ein großer Vorteil dieser erfindungsgemäßen Lösung ist, dass das digitale Geld auf Endgeräte, Händler, Banken und andere Nutzer des Systems verteilt wird, aber kein digitales Geld oder weitere Metadaten bei der Überwachungsinstanz - also einer gemeinsamen Instanz - gespeichert wird.

Die vorgeschlagene Lösung kann in bestehende Zahlsysteme und Infrastrukturen eingebunden werden. Insbesondere können eine Kombination aus analogen Zahlungsvorgängen mit Geldscheinen und Münzen und digitale Zahlungsvorgänge gemäß der vorliegenden Lösung vorliegen. So kann ein Bezahlvorgang mit Banknoten und/ oder Münzen erfolgen, das Wechselgeld bzw. Rückgeld liegt aber als elektronischer Münzdatensatz vor. Zur Transaktion können beispielsweise ATMs mit entsprechender Konfiguration, insbesondere mit geeigneter Kommunikationsschnittstelle, und/ oder mobile Endgeräte vorgesehen sein. Weiterhin ist ein Umtausch von elektronischem Münzdatensatz in Banknoten bzw. Münzen denkbar.

Die vorliegend aufgeführten Schritte des Erstellens, Umschaltens, Aufteilens, Verbindens und Deaktivierens werden jeweils durch einen entsprechenden Erstell-, Umschalt-, Aufteil-, Verbinden- bzw. Deal tivier-Befehl ausgelöst.

KURZE ZUSAMMENFASSUNG DER FIGUREN

Nachfolgend wird anhand von Figuren die Erfindung bzw. weitere Ausführungsformen und Vorteile der Erfindung näher erläutert, wobei die Figuren lediglich Ausführungsbeispiele der Erfindung beschreiben. Gleiche Bestandteile in den Figuren werden mit gleichen Bezugszeichen versehen. Die Figuren sind nicht als maßstabsgetreu anzusehen, es können einzelne Elemente der Figuren übertrieben groß bzw. übertrieben vereinfacht dargestellt sein.

Es zeigen:

Fig.l ein Ausführungsbeispiel eines Bezahlsystems gemäß der Erfindung;

Fig.2 ein Ausführungsbeispiel einer Überwachungsinstanz; Fig.3 ein Ausführungsbeispiel eines Bezahlsystems gemäß der Erfindung zum Aufteilen und Umschalten von elektronischen Münzdatensätzen;

Fig.4 ein Ausführungsbeispiel eines Bezahlsystems gemäß der Erfindung zum Verbinden von elektronischen Münzdatensätzen;

Fig.5 ein Ausfährungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens und entsprechenden Verarbeitungsschritte eines Münzdatensatzes ;

Fig.6 ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens und entsprechenden Verarbeitungsschritte eines Münzdatensatzes;

Fig.7 ein weiteres Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens.

Fig. 8 ein Ausführungsbeispiel eines erfindungsgemäßen Geräts;

Fig. 9 ein weiteres Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens;

Fig. 10 ein weiteres Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens;

Fig. 11 ein weiteres Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens;

Fig. 12 ein weiteres Ausführungsheispiel eines erfindungsgemäßen Geräts mit einem anderen Gerät; und

Fig. 13 ein weiteres Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens.

FIGURENBESCHREIB UNG

Fig.l zeigt ein Ausführungsbeispiel eines Bezahlsystems mit Endgeräten M1 und M2 gemäß der Erfindung. Die Endgeräte M1 und M2 können dabei auch Geräte sein. Dabei wird in einer Herausgeberinstanz 1, beispielsweise einer Zentralbank, ein elektronischer Münzdatensatz C_i erzeugt. Zu dem elektronischen Münzdatensatz C_i, der einen Verschleierungsbetrag umfasst, wird ein maskierter elektronische Münzdatensatz Z_i erzeugt und in einer Datenbank registriert, die hier als„Verschleierter-elektronischer-Datensatz-Ledger“ ausgebildet sein kann. Als Ledger wird im Rahmen dieser Erfindung eine Liste, ein Verzeichnis, vorzugsweise eine Datenbankstruktur verstanden. Der elektronische Münzdatensatz C_i wird an ein erstes Endgerät M1 ausgegeben.

Beispielsweise wurde dazu als Verschleierungsbetrag n eine echte Zufallszahl erzeugt. Diese Verschleierungsbetrag n wird mit einem monetären Betrag u verknüpft und bildet sodann einen erfindungsgemäßen i-ten elektronischen Münzdatensatz:

C_i = { u_i; r_i} (1)

Ein gültiger elektronischer Münzdatensatz kann zur Bezahlung eingesetzt werden. Der Besitzer der beiden Werte u_i und n ist daher im Besitz des digitalen Geldes. Das digitale Geld ist im System aber definiert durch ein Paar bestehend aus einem gültigen elektronischen Münzdatensatz und einem entsprechenden maskierten elektronischen Münzdatensatz Z_i. Der maskierte elektronische Münzdatensatz Z_i wird durch Anwenden einer homomorphen Einwegfunktion f (C_i) gemäß Gleichung (2) erhalten:

Z_i =f(C_i) (2)

Diese Funktion f (Q) ist öffentlich, d.h. jeder Systemteilnehmer kann diese Funktion auffufen und verwenden. Diese Funktion f (C_i) ist gemäß Gleichung (3) definiert:

Zi = u_i- H + r_i G (3) wobei H und G Generatorpunkte einer Gruppe G, in der das diskrete Logarithmusproblem schwer ist, mit den Generatoren G und H, für die der diskrete Logarithmus der jeweils anderen Basis unbekannt ist. Beispielsweise sind G und H Generatorpunkte einer elliptischen Kurvenverschlüsselung, ECC, - also private Schlüssel der ECC, sind. Diese Generatorpunkte G und H müssen in der Art gewählt werden, dass der Zusammenhang von G und H nicht öffentlich bekannt ist, sodass bei:

G = n · H (4) die Verknüpfung n praktisch nicht auffindbar sein darf, um zu verhindern, dass der monetäre Betrag u_i manipuliert wird und trotzdem ein gültiges Z_i berechnet werden könnte. Die Gleichung (3) ist ein„Pederson-Commitment für ECC“, das sicherstellt, dass der monetäre Betrag u; einer Überwachungsinstanz 2 zugestanden, also „commited“, werden kann, ohne diesen der Überwachungsinstanz 2 zu offenbaren. Der öffentlichen und entfernten Überwachungsinstanz 2 wird daher nur der maskierte Münzdatensatz Z_i zugesendet (offenbart).

Auch wenn im vorliegenden Beispiel eine Verschlüsselung basierend auf elliptischen Kurven beschrieben ist bzw. wird, so wäre auch ein anderes kryptographische Verfahren denkbar, welches auf einem diskreten logarithmischen Verfahren beruht.

Die Gleichung (3) ermöglicht durch die Entropie des Verschleierungsbetrags n, dass auch bei kleinem Wertebereich für monetäre Beträge u; ein kryptografisch starkes Z_i erhalten wird. Somit ist ein einfacher Brute-Force- Angriff durch bloßes Schätzen von monetären Beträgen Di praktisch nicht möglich.

Die Gleichung (3) ist eine Einwegfunktion, das heißt, dass die Berechnung von Z_i aus C_i einfach ist, da ein effizienter Algorithmus existiert, wohingegen die Berechnung von C_i ausgehend von Z_i sehr schwer ist, da kein in polynomialer Zeit lösbarer Algorithmus existiert.

Zudem ist die Gleichung (3) homomorph für Addition und Subtraktion, das heißt es gilt:

Z_i + Z_j = (u_i . H + r_i G)+ (u_j . H + r_j · G) = (u_i + u_j) . H - (r_i + r_j)· G (5)

Somit können Additions-Operationen und Subtraktions-Operationen sowohl in der Direkttransaktionsschicht 3 also auch parallel in der Überwachungsschicht 4 ausgeführt werden, ohne dass die Überwachungsschicht 4 Kenntnis von den elektronischen Münzdatensätzen C_i hat. Die homomorphe Eigenschaft der Gleichung (3) ermöglicht eine Verwaltung von gültigen und ungültigen elektronischen Münzdatensätzen C_i auf alleiniger Basis der maskierten Münzdatensätze Z_i zu führen und sicherzustellen, dass kein neuer monetärer Betrag u_j geschaffen wurde.

Durch diese homomorphe Eigenschaft kann der Münzdatensatz C_i gemäß Gleichung (1) aufgeteilt werden in:

C_i — C_j + C_k ( uj, rj} + { u_k, r_k} (6) wobei gilt:

u_i = u_j + u_k (7) r_i = r_j + r_k 8)

Für die entsprechenden maskierten Münzdatensätze gilt:

Zi = Z_j + Z_k (9)

Mit Gleichung (9) kann beispielsweise auf einfache Weise eine„Aufteilen“- Verarbeitung bzw. ein„Aufteilen“- Verarbeitungsschritt eines Münzdatensatzes gemäß Fig. 3 geprüft werden, ohne dass die Überwachungsinstanz 2 Kenntnis von C_i, C_j, C_k hat. Insbesondere wird die Bedingung der Gleichung (9) geprüft, um aufgeteilte Münzdatensätze C_j und C_k für gültig zu erklären und den Münzdatensatz C_i für ungültig zu erklären. Ein derartiges Aufteilen eines elektronischen Münzdatensatzes C_i ist in Fig. 3 gezeigt.

Auf die gleiche Weise können elektronische Münzdatensätze auch zusammengefügt (verbunden) werden, siehe dazu Fig. 4 und die Erläuterungen dazu.

Zusätzlich gilt es zu prüfen, ob (nicht erlaubte) negative monetäre Beträge registriert werden. Ein Besitzer eines elektronischen Münzdatensatzes C_i muss dabei der Überwachungsinstanz 2 nachweisen können, dass alle monetären Beträge ui in einer Verarbeitungs-Operation innerhalb eines Wertebereichs von [0, ..., n] liegen, ohne der Überwachungsinstanz 2 dabei die monetären Beträge m mitzuteilen. .Diese Bereichsnachweise werden auch„Range-Proofs“ genannt. Als Bereichsnachweise werden bevorzugt Ringsignaturen (engl ring signature) verwendet. Für das vorliegende Ausführungsbeispiel werden sowohl der monetäre Wert als auch der Verschleierungsbetrag eines elektronischen Münzdatensatzes in Bitdarstellung aufgelöst, d.h. u_i=Sa_j*2^j für 0£j£n und a_j„element“ {0; 1 } sowie r_i=åb_j*2^j für 0£j£n und b_j„element“ {0; 1 }. Für jedes Bit wird vorzugsweise eine Ringsignatur mit Cij=a_j.H+b_j ^.G und C_ij-a_j.H durchgeführt, wobei in einer Ausgestaltung vorgesehen sein kann, nur für bestimmte Bits eine Ringsignatur durchzuführen.

Nicht dargestellt ist in Fig. 1 und erst später erläutert wird, dass neue elektronische Münzdatensätze C_i bevorzugt nicht direkt an Endgeräte ausgegeben werden, sondern beispielsweise zunächst an eine Serverinstanz einer Geschäftsbank.

In Fig. 1 wird ein elektronischer Münzdatensatz C_i von der Herausgeberinstanz 1 erzeugt und mittels der Gleichung (3) ein maskierter elektronischer Münzdatensatz Z_i von der Herausgeberinstanz 1 errechnet und dieser in der Überwachungsinstanz 2 registriert. Im Anschluss überträgt das erste Endgerät M1, das den elektronischen Münzdatensatz C_i an ein zweites Endgerät M2 übertragen kann oder einen der Verarbeitungs-Schritte (Umschalten, Verbinden, Aufteilen) ausführen kann. Die Übertragung erfolgt beispielsweise drahtlos über WLAN, NFC oder Bluetooth. Die Übertragung kann durch kryptografische Verschlüsselungsverfahren zusätzlich abgesichert sein, indem beispielsweise ein Sitzungsschlüssel ausgehandelt wird oder eine PKI-Infrastruktur angewendet wird.

Im zweiten Endgerät M2 wird der übertragene elektronische Münzdatensatz C_i als C_i* erhalten. Mit dem Erhalt des elektronischen Münzdatensatzes C_i ^* ist das zweite Endgerät M2 im Besitz des digitalen Geldes, den der elektronische Münzdatensatz C_i* repräsentiert. Wenn sich beide Endgeräte gegenseitig vertrauen, sind keine weiteren Schritte notwendig, um das Verfahren zu beenden. Allerdings ist dem Endgerät M2 nicht bekannt, ob der elektronische Münzdatensatz C_i* tatsächlich gültig ist. Zudem könnte das Endgerät M1 den elektronischen Münzdatensatz C_i auch noch einem dritten Endgerät (nicht dargestellt) übertragen. Um dies zu verhindern sind weitere bevorzugte Schritte im Verfahren vorgesehen.

Zum Prüfen der Validität des erhaltenen elektronischen Münzdatensatzes C_i* wird im zweiten Endgerät M2 mit der - öffentlichen - Einwegfünktion aus Gleichung (3) der maskierte übertragene elektronische Münzdatensatz Z_i* errechnet. Der maskierte übertragene elektronische Münzdatensatz Z_i* wird dann an die Überwachungsinstanz 2 übertragen und dort gesucht. Bei Übereinstimmung mit einem registrierten und gültigen maskierten elektronischen Münzdatensatz wird dem zweiten Endgerät M2 die Validität des erhaltenen Münzdatensatzes C_i* angezeigt und es gilt, dass der erhaltene elektronische Münzdatensatz C_i* gleich dem registrierten elektronischen Münzdatensatz C_i ist. Mit der Prüfung auf Validität kann in einer Ausgestaltung festgestellt werden, dass der erhaltene elektronische Münzdatensatz C_i* noch gültig ist, d.h., dass er nicht bereits durch einen anderen Verarbeitungsschritt oder bei einer anderen Transaktion bereits verwendet wurde und/ oder einer weiteren Veränderung unterworfen war.

Bevorzugt findet danach ein Umschalten des erhaltenen elektronischen Münzdatensatzes statt.

Es gilt für das erfindungsgemäße Verfahren, dass die alleinige Kenntnis eines maskierten elektronischen Münzdatensatzes Z_i nicht dazu berechtigt, das digitale Geld auszugeben. Die alleinige Kenntnis des elektronischen Münzdatensatzes C_i berechtigt aber zum Bezahlen, d.h. eine Transaktion erfolgreich durchzuführen, insbesondere wenn der Münzdatensatz C_i gültig ist. Es herrscht eine 1-zu-l Beziehung zwischen den elektronischen Münzdatensätzen C_i und den entsprechenden maskierten elektronischen Münzdatensätzen Z_i. Die maskierten elektronischen Münzdatensätze Z_i werden in der Überwachungsinstanz 2, beispielsweise einer öffentlichen dezentralen Datenbank, registriert. Durch dieses Registrieren wird zunächst die Gültigkeit des Datensatzes prüfbar, beispielsweise ob neue monetäre Beträge (illegaler Weise) erschaffen wurden. Ein Hauptunterscheidungsmerkmal gegenüber konventionellen Lösungen ist, dass die maskierten elektronischen Münzdatensätze Z_i in einer Überwachungsschicht 4 gespeichert werden und alle Verarbeitungen an dem elektronischen Münzdatensatz Zi dort registriert werden, wohingegen die tatsächliche Übertragung des digitalen Geldes in einer (geheimen, d.h. einer der Öffentlichkeit nicht bekannten) Direkttransaktionsschicht 3 erfolgt.

Um ein mehrfaches Ausgeben zu verhindern oder um ein flexibleres Übertragen zu gewährleisten, können die elektronischen Münzdatensätze nunmehr im erfindungsgemäßen Verfahren verarbeitet werden. In der nachfolgenden Tabelle 1 sind die einzelnen Operationen aufgelistet, wobei mit dem angegebenen Befehl auch ein entsprechender Verarbeitungsschritt ausgeführt wird:

Tabeile 1— Anzahl von Operationen, die pro Verarbeitung eines Münzdatensatzes im Endgerät bzw.

Herausgeberinstanz durchzuführen sind; Weitere Operationen, die hier nicht aufgeführt sind, werden benötigt; Anstelle der angeführten Implementierung sind andere Umsetzungen denkbar, die andere Operationen implizieren

Die obige Tabelle 1 zeigt, dass für jeden Münzdatensatz, jede der Verarbeitungen„Erstellen“, „Deaktivieren“, „Aufteilen“, „Verbinden“ und „Umschalten“ verschiedene Operationen „Signatur erstellen“; „Zufallszahl erstellen“; „Maskierung erstellen“; „Bereichsprüfung“ vorgesehen sein können, wobei jede der Verarbeitungs-Operation in der Überwachungsinstanz 2 registriert und dort in unveränderlicher Form an eine Liste vorheriger Verarbeitungs-Operationen für maskierte elektronische Münzdatensätze Z_i angehängt wird. Die Operationen der Verarbeitungen„Erstellen“ und„Deaktivieren“ eines elektronischen Münzdatensatzes werden nur an sicheren Orten und/ oder nur von ausgewählten Instanzen, beispielsweise der Herausgeberinstanz 1, ausgeführt, während die Operationen aller übrigen Verarbeitungen auf den Endgeräten M1 bis M3 ausgeführt werden können.

Die Anzahl der Operationen für die einzelnen Verarbeitungen ist in der Tabelle 1 mit„0“,„1“ oder „2“ gekennzeichnet. Die Anzahl „0“ zeigt dabei an, dass das Endgerät bzw. die Herausgeberinstanz 1 diese Operation für diese Verarbeitung des elektronischen Münzdatensatzes nicht durchführen muss. Die Anzahl„1“ zeigt dabei an, dass das Endgerät bzw. die Herausgeberinstanz 1 diese Operation für diese Verarbeitung des elektronischen Münzdatensatzes einmal durchführen können muss. Die Anzahl„2“ zeigt dabei an, dass das Endgerät bzw. die Herausgeberinstanz 1 diese Operation zweimal für diese Verarbeitung des elektronischen Münzdatensatzes durchführen können muss. Grundsätzlich kann in einer Ausgestaltung auch vorgesehen sein, dass eine Bereichsprüfung durch die Herausgeberinstanz 1 auch beim Erzeugen und/ oder Löschen durchgeführt wird.

In der nachfolgenden Tabelle 2 sind für die einzelnen Verarbeitungen die für die Überwachungsinstanz 2 benötigten Operationen aufgelistet:

Tabelle 2 - Anzahl von Operationen, die pro Verarbeitung eines Münzdatensatzes in der Überwachungsinstanz durchzuführen sind; Weitere Operationen, die hier nicht aufgeführt sind, werden benötigt; Anstelle der angeführten

Implementierung sind andere Umsetzungen denkbar die andere Operationen implizieren

Alle Operationen der Tabelle 2 können in der Überwachungsinstanz 2 durchgeführt werden, die als vertrauenswürdige Instanz, beispielsweise als dezentraler Server, insbesondere Distributed- Trusted-Server, für eine ausreichende Integrität der elektronischen Münzdatensätze sorgt.

Die Tabelle 3 zeigt die für die Systemteilnehmer im Bezahlsystem der Fig. 1 bevorzugt zu installierenden Komponenten:

Tabelle 3— Bevorzugte Einheiten in den Systemkomponenten

Tabelle 3 zeigt eine Übersicht über die bevorzugt zu verwendenden Komponenten in jedem Systemteilnehmer, also der Herausgeberinstanz 1, einem Endgerät M1 und der Überwachungsinstanz 2. Das Endgerät M1 kann als ein Wallet für elektronische Münzdatensätze, d.h. als elektronische Geldbörse, also ein Datenspeicher des Endgeräts, in dem eine Vielzahl von Münzdatensätzen hinterlegt sein können, ausgebildet sein und beispielsweise in Form einer Applikation auf einem Smartphone oder IT-System eines Händlers, einer Geschäftsbank oder eines anderen Marktteilnehmers implementiert sein und einen elektronischen Münzdatensatz senden oder empfangen. Somit sind die Komponenten in dem Endgerät, so wie sie in Tabelle 3 gezeigt sind, als Software implementiert. Es wird davon ausgegangen, dass die Überwachungsinstanz 2 auf einer DLT basiert und von einer Reihe vertrauenswürdiger Marktteilnehmer betrieben wird.

Fig. 2 zeigt ein Ausführungsbeispiel einer Überwachungsinstanz 2 der Fig. 1. In der Fig. 2 ist eine beispielhafte Datenbank in Form einer Tabelle dargestellt, in der die maskierten elektronischen Münzdatensätze Zi und ggf. - wie hier gezeigt - ihre Verarbeitungen registriert sind. In der einfachsten Ausgestaltung der Datenbank würden dagegen jeweils nur die aktuell gültigen maskierten Münzdatensätze Zi gespeichert sein. Die Überwachungsinstanz 2 ist bevorzugt lokal entfernt von den Endgeräten M1 bis M3 angeordnet und ist beispielsweise in einer Server- Architektur untergebracht.

Jede Verarbeitungs-Operation für eine Verarbeitung (Erstellen, Deaktivieren, Aufteilen, Verbinden und Umschalten) wird dabei in der Überwachungsinstanz 2 registriert und dort in unveränderlicher Form an eine Liste vorheriger Verarbeitung-Operationen für maskierte elektronische Münzdatensätze Z_i angehängt. Die einzelnen Operationen bzw. deren Prüfergebnis, also quasi die Zwischenergebnisse einer Verarbeitung, werden in der Überwachungsinstanz 2 festgehalten.

Die Verarbeitungen„Erstellen“ und„Deaktivieren“, die die Existenz des monetären Betrags u an sich betreffen, also die Schaffung und die Vernichtung von Geld bedeuten, bedürfen einer zusätzlichen Genehmigung durch die Herausgeberinstanz 1, um in der Überwachungsinstanz 2 registriert (also protokolliert) zu werden. Die übrigen Verarbeitungsoperationen (Aufteilen, Verbinden, Umschalten) bedürfen keiner Autorisierung durch die Herausgeberinstanz 1 oder durch den Befehlsinitiator (= Zahler, bspw. das erste Endgerät M1).

Eine Registrierung der jeweiligen Verarbeitung in der Überwachungsinstanz 2 wird beispielsweise durch entsprechende Listeneinträge in der Datenbank gemäß Fig. 2 realisiert. Jeder Listeneintrag hat dabei weitere Markierungen 25 bis 28, die die Zwischenergebnisse der jeweiligen Verarbeitung dokumentiert, die von der Überwachungsinstanz 2 durchgeführt werden müssen. Bevorzugt werden die Markierungen 25 bis 28 als Hilfestellung benutzt und nach Abschluss der Befehle von der Überprüfungsinstanz verworfen. Was bleibt sind dann nicht dargestellte Markierungen über die Gültigkeit der (maskierten) elektronischen Münzdatensätze aus den Spalten 22a, 22b, 23a und/oder 23b. Diese Markierungen sind bei eingehen eines Verarbeitung-Befehls beispielsweise im Zustand und werden nach erfolgreichem Absolvieren aller Prüfungen auf den Zustand„1“ gesetzt und bei mindestens einer gescheiterten Prüfung auf den Zustand„0“ gesetzt. Eine mögliche Struktur für einen Listeneintrag eines Münzdatensatzes umfasst beispielsweise zwei Spalten 22a, 22b für einen Vorgänger- Münzdatensatz (Ol, 02), zwei Spalten 23a, 23b für einen Nachfolger-Münzdatensatz (Sl, S2), eine Signatur- Spalte 24 für Herausgeberinstanz(en) 1, und vier Markierungsspalten 25 bis 28. Jeder der Einträge in den Spalten 25 bis 28 weist drei alternative Zustände „1“ oder„0“ auf. Die Spalte 25 (O-Flag) zeigt an, ob eine Gültigkeitsprüfung bezüglich eines elektronischen Münzdatensatzes in Spalte 23a/b erfolgreich war, wobei Zustand „1“ bedeutet, dass eine Validitäts-Prüfung ergab, dass der elektronische Münzdatensatz der Spalte 23a/b gültig ist und der Zustand „0“ anzeigt, dass eine Validitäts-Prüfung ergab, dass der elektronische Münzdatensatz der Spalte 23a/b ungültig und der Zustand anzeigt, dass eine Validitäts- Prüfung noch nicht abgeschlossen ist. Die Spalte 26 (C-Flag) zeigt an, ob eine Berechnung zur Prüfung der Betragsneutralität der maskierten elektronischen Münzdatensätze des Befehls erfolgreich war. Der Zustand„1“ bedeutet, dass eine Berechnung erfolgreich war und der Zustand„0“ gibt an, dass Berechnung nicht erfolgreich war und der Zustand anzeigt, dass eine Validitäts-Prüfung noch nicht abgeschlossen ist.

Die in Spalte 26 durchzuführende Berechnung lautet beispielsweise:

(Z_o1 + Z_o2) - (Z_S1 + Z_S2) == 0 (10)

Die Spalte 27 (R-Flag) zeigt an, ob eine Prüfung der Bereichsnachweise oder des Bereichsnachweises erfolgreich war, wobei Zustand„1“ bedeutet, dass eine Validitäts-Prüfung ergab, dass die Bereichsnachweise oder der Bereichsnachweis nachzuvollziehen sind oder ist und der Zustand„0“ anzeigt, dass eine Validitäts-Prüfung ergab, dass die Bereichsnachweise oder der Bereichsnachweis nicht nachvollzogen werden konnten oder konnte und der Zustand “ anzeigt, dass eine Validitäts-Prüfung noch nicht abgeschlossen ist, erfolgreich war. Die Spalte 28 (S-Flag) zeigt die erfolgreiche Verifikation der Signatur an. Der Zustand„1“ bedeutet, dass eine Validitäts-Prüfung ergab, dass die Signatur als die der Herausgeberinstanz identifiziert werden konnte und der Zustand„0“ anzeigt, dass eine Validitäts-Prüfung ergab, dass die Signatur nicht als die der Herausgeberinstanz identifiziert werden konnte und der Zustand anzeigt, dass eine Validitäts-Prüfung noch nicht abgeschlossen ist.

Eine Änderung des Status eines der Markierungen (auch als„Flag“ bezeichnet) bedarf der Genehmigung durch die Überwachungsinstanz 2 und muss sodann unveränderlich in der Überwachungsinstanz 2 gespeichert werden. Eine Verarbeitung ist endgültig, wenn und nur wenn die erforderlichen Markierungen 25 bis 28 durch die Überwachungsinstanz 2 validiert wurden, d.h. nach der entsprechenden Prüfung vom Zustand„0“ in den Zustand„1“ oder den Zustand„l“gewechselt wurden.

Um festzustellen, ob ein maskierter elektronischer Münzdatensatz Z gültig ist, sucht die Überwachungsinstanz 2 - in der vorliegenden Variante - nach der letzten Änderung, die den maskierten elektronischen Münzdatensatz betrifft. Es gilt, dass der maskierte elektronische Münzdatensatz Z gültig ist, wenn und nur wenn der maskierte elektronische Münzdatensatz Z für seine letzte Verarbeitung in einer der Nachfolger- Spalten 23a, 23b aufgeführt ist und diese letzte Verarbeitung die entsprechende endgültige Markierung 25 bis 28 aufweist. Es gilt auch, dass der maskierte elektronische Müpzdatensatz Z gültig ist, wenn und nur wenn der maskierte elektronische Münzdatensatz Z für seine letzte Verarbeitung in einer der Vorgänger- Spalten 22a, 22b aufgeführt ist und diese letzte Verarbeitung fehlgeschlagen ist, also zumindest einer der entsprechend geforderten Zustände der Markierungen 25 bis 28 auf„0“ gesetzt ist.

Es gilt zudem, dass der maskierte elektronische Münzdatensatz Z für alle übrigen Fälle nicht gültig ist, beispielsweise, wenn der maskierte elektronische Münzdatensatz Z nicht in der Überwachungsinstanz 2 gefunden wird; oder wenn die letzte Verarbeitung des maskierten elektronischen Münzdatensatzes Z in einer der Nachfolger-Spalten 23a, 23b aufgeführt ist, diese letzte Verarbeitung aber nie endgültig wurde; oder wenn die letzte Verarbeitung des maskierten elektronischen Münzdatensatzes Z in einer der Vorgänger- Spalten 22a, 22b ist und diese letzte Verarbeitung endgültig ist.

Die Prüfungen durch die Überwachungsinstanz 2, um zu prüfen, ob eine Verarbeitung endgültig ist, werden durch die Spalten 25 bis 28 abgebildet: Der Zustand in der Spalte 25 zeigt an, ob der/die maskierten elektronischen Münzdatensätze gemäß Vorgänger- Spalten 22a, 22b gültig sind. Der Zustand in der Spalte 26 gibt an, ob die Berechnung zur Betragsneutralität, beispielsweise gemäß Gleichung (10), stimmt. Der Zustand in der Spalte 27 gibt an, ob die Bereichsnachweise für die maskierten elektronischen Münzdatensätze Z erfolgreich geprüft werden konnten. Der Zustand in Spalte 28 zeigt an, ob die Signatur in der Spalte 24 des maskierten elektronischen Münzdatensatzes Z eine gültige Signatur der Herausgeberinstanz 1 ist.

Der Zustand„0“ in einer Spalte 25 bis 28 zeigt dabei an, dass die Prüfung nicht erfolgreich war. Der Zustand„1“ in einer Spalte 25 bis 28 zeigt dabei an, dass die Prüfung erfolgreich war. Der Zustand in einer Spalte 25 bis 28 zeigt dabei an, dass keine Prüfung erfolgt ist. Die Zustände können auch einen anderen Wert aufweisen, solange eindeutig zwischen Erfolg/Misserfolg einer Prüfung unterschieden werden kann und ersichtlich ist, ob eine bestimmte Prüfung durchgeführt wurde.

Beispielhaft sind fünf verschiedene Verarbeitungen definiert, die hier im Einzelnen erläutert werden. Dabei wird auf den entsprechenden Listeneintrag in Fig. 2 verwiesen.

Eine Verarbeitung ist beispielsweise„Erzeugen“ eines elektronischen Münzdatensatzes C_i. Das Erzeugen in der Direkttransaktionsschicht 3 durch die Herausgeberinstanz 1 beinhaltet das Wählen eines monetären Betrags t>i und das Erstellen eines Verschleierungsbetrags n, wie mit Gleichung (1) bereits beschrieben wurde. Wie in Fig. 2 gezeigt, bedarf es bei der Verarbeitung „Erzeugen“ keiner Eintragungen/Markierungen in den Spalten 22a, 22b, 23b und 25 bis 27. ln der Nachfolger- Spalte 23a wird der maskierte elektronische Münzdatensatz Z_i registriert. Diese Registrierung erfolgt bevorzugt vor dem Übertragen an ein Endgerät M1 bis M3, insbesondere oder bereits beim Generieren durch die Herausgeberinstanz 1, wobei in beiden Fällen dazu die Gleichung (3) ausgeführt werden muss. Der maskierte elektronische Münzdatensatz Z_i ist beim Erstellen von der Herausgeberinstanz 1 signiert, diese Signatur ist in der Spalte 24 eingetragen, um sicherzustellen, dass der elektronische Münzdatensatz C_i tatsächlich von einer Herausgeberinstanz 1 erstellt wurde, wobei auch andere Verfahren dafür in Frage kommen. Stimmt die Signatur eines erhaltenen Z_i mit der Signatur in Spalte 24 überein, so wird die Markierung in Spalte 28 gesetzt (von„0“ auf„1“). Die Markierungen gemäß Spalte 25 bis 27 benötigen keine Statusänderung und können ignoriert werden. Der Bereichsnachweis wird nicht benötigt, da die Überwachungsinstanz 2 darauf vertraut, dass die Herausgeberinstanz 1 keine negativen monetären Beträge ausgibt. In einer alternativen Ausführung kann er aber von der Herausgeberinstanz 1 im Erstellen-Befehl mitgesendet werden und von der Überwachungsinstanz 2 geprüft werden.

Eine Verarbeitung ist beispielsweise„Deaktivieren“. Das Deaktivieren, also das Geldvernichten, bewirkt, dass der maskierte elektronische Münzdatensatz Z; nach erfolgreichem Ausführen des Deaktivieren-Befehls durch die Herausgeberinstanz 1 ungültig wird. Man kann also den zu deaktivierenden (maskierten) elektronischen Münzdatensatz in der Überwachungsschicht 4 also nicht mehr weiter verarbeiten. Um Verwirrung zu vermeiden, sollten die entsprechenden (unmaskierten) elektronischen Münzdatensätze C_i auch in der Direkttransaktionsschicht 3 deaktiviert werden. Beim„Deaktivieren“ wird die Vorgängerspalte 22a mit dem elektronischen Münzdatensatz Z_i beschrieben, aber keine Nachfolgerspalte 23a, 23b besetzt. Der maskierte elektronische Münzdatensatz Z_i ist beim Deaktivieren daraufhin zu prüfen, ob die Signatur mit der Signatur gemäß Spalte 24 übereinstimmt, um sicherzustellen, dass der elektronische Münzdatensatz C_i tatsächlich von einer Herausgeberinstanz 1 erstellt wurde, wobei wieder andere Mittel für diese Prüfung verwendet werden können. Kann das signierte Z_i, das im Deaktivieren-Befehl mitgesendet wird, als von der Herausgeberinstanz 1 signiert bestätigt werden, wird die Markierung 28 gesetzt (von„0“ auf„1“). Die Markierungen gemäß Spalte 26 bis 27 benötigen keine Statusänderung und können ignoriert werden. Die Markierungen gemäß Spalte 25 und 28 werden nach entsprechender Prüfung gesetzt.

Eine Verarbeitung ist beispielsweise „Aufteilen“. Das Aufteilen, also das Teilen eines elektronischen Münzdatensatzes Z_i in zwei elektronische Münzteildatensätze Z_j und Z_k erfolgt zunächst in der Direkttransaktionsschicht 3, so wie es in Fig. 3 noch gezeigt wird, wobei die monetären Beträge U_j und des Verschleierungsbetrags r_j generiert werden. V_k und r_k ergeben sich über die Gleichungen (7) und (8). In der Überwachungsinstanz 2 werden die Markierungen 25 bis 27 gesetzt, die Vorgängerspalte 22a wird mit dem elektronischen Münzdatensatz Z_i beschrieben, Nachfolgerspalte 23a wird mit Z_j und Nachfolgerspalte 23b wird mit Zk beschrieben. Die gemäß Spalten 25 bis 27 benötigten Statusänderungen erfolgen nach der entsprechenden Prüfung durch die Überwachungsinstanz 2 und dokumentieren das jeweilige Prüfungsergebnis. Die Markierung gemäß Spalte 28 wird ignoriert.

Eine Verarbeitung ist beispielsweise„Verbinden“. Das Verbinden, also das Zusammenfügen zweier elektronischer Münzdatensätze Z_i und Z_j zu einem elektronischen Münzdatensatz Z_m erfolgt zunächst in der Direkttransaktionsschicht 3, so wie es in Fig. 4 noch gezeigt wird, wobei der monetäre Betrag u_m und der Verschleierungsbetrag r_m berechnet werden. In der Überwachungsinstanz 2 werden die Markierungen 25 bis 27 gesetzt, die Vorgängerspalte 22a wird mit dem elektronischen Münzdatensatz Z_i beschrieben, Vorgängerspalte 22b wird mit Z_j und Nachfolgerspalte 23b wird mit Z_m beschrieben. Die Markierungen in den Spalten 25 bis 27 benötigen Statusänderungen und die Überwachungsinstanz 2 führt die entsprechenden Prüfungen durch. Ein Bereichsnachweis muss erbracht werden, um zu zeigen, dass kein neues Geld generiert wurde. Die Markierung gemäß Spalte 28 wird ignoriert.

Eine Verarbeitung ist beispielsweise„Umschalten“. Das Umschalten ist dann nötig, wenn ein elektronischer Münzdatensatz auf ein anderes Endgerät übertragen wurde und ein erneutes Ausgeben durch das übertragende Endgerät (hier M1) ausgeschlossen werden soll. Beim Umschalten, auch„switch“ genannt, wird der vom ersten Endgerät M1 erhaltene elektronische Münzdatensatz C_k gegen einen neuen elektronischen Münzdatensatz C₁ mit gleichem monetärem Betrag ausgetauscht. Der neue elektronische Münzdatensatz C₁ wird vom zweiten Endgerät M2 generiert. Dieses Umschalten ist notwendig, um die vom ersten Endgerät M1 erhaltenen elektronischen Münzdatensatz C_k zu invalideren (ungültig machen), wodurch ein erneutes Ausgeben des gleichen elektronischen Münzdatensatzes C_k vermieden wird. Denn, solange der elektronische Münzdatensatz C_k nicht umgeschaltet ist, kann - da das erste Endgerät M1 in Kenntnis des elektronischen Münzdatensatzes C_k ist - das erste Endgerät M1 diesen elektronischen Münzdatensatz C_k an ein drittes Endgerät M3 weitergeben. Das Umschalten erfolgt beispielsweise durch Hinzufügen eines neuen Verschleierungsbetrags r_add zum Verschleierungsbetrag r_k des erhaltenen elektronischen Münzdatensatz C_k, wodurch ein Verschleierungsbetrag n erhalten wird, die nur das zweite Endgerät M2 kennt. Dies kann auch in der Überwachungsinstanz 2 erfolgen. Um zu beweisen, dass nur einen neuen Verschleierungsbetrag r_add zum Verschleierungsbetrag rk des maskierten erhaltenen elektronischen Münzdatensatzes Z_k hinzugefügt wurde, der monetäre Betrag aber gleichgeblieben ist, und also Gleichung (11): u_k = u_l (11) gilt, so muss das zweite Endgerät M2 nachweisen können, dass sich Z₁-Z_k als skalares Vielfaches von G also als r_add*G darstellen lässt. Das heißt, dass nur ein Verschleierungsbetrag r_add erzeugt wurde und der monetäre Betrag von Z₁ gleich dem monetären Betrag von Z_k ist, also Z₁=Z_k+ r_add*G. Dies erfolgt durch das Erzeugen einer Signatur mit dem öffentlichen Schlüssel Z₁- Z_k=r_add*G.

In Fig. 3 ist ein Ausführungsbeispiel eines Bezahlsystems gemäß der Erfindung zum Aufteilen und Umschalten von elektronischen Münzdatensätzen gezeigt. In Fig. 3 hat das erste Endgerät M1 den Münzdatensatz C_i erhalten und möchte nun eine Bezahltransaktion nicht mit dem gesamten monetären Betrag u_i, sondern nur mit einem Teil V_k davon durchführen. Dazu wird der Münzdatensatz C_i aufgeteilt. Dazu wird zunächst der monetäre Betrag geteilt: u = u_j + u_k (12)

Dabei muss jeder der erhaltenen Beträge u_j, u_k, größer 0 sein, denn negative monetäre Beträge sind nicht zulässig. Zudem werden neue Verschleierungsbeträge abgeleitet: r_i = r_j + r_k (13) Dann werden die maskierten Münzdatensätze Z_j und Z_k gemäß Gleichung (3) aus den Münzdatensätzen C_j und C_k erhalten und in der Überwachungsinstanz 2 registriert. Für das Aufteilen werden die Vorgängerspalte 22a mit dem Münzdatensatz Z_i, die Nachfolgerspalte 23 a mit Z_j und die Nachfolgerspalte 23b mit Z_k beschrieben. Die Markierungen in den Spalten 25 bis 27 benötigen Statusänderung und die Überwachungsinstanz 2 führt die entsprechenden

Prüfungen durch. Die Markierung gemäß Spalte 28 wird ignoriert.

Dann wird ein Münzdatensatz, hier C_k vom ersten Endgerät M1 an das zweite Endgerät M2 übertragen. Um ein doppeltes Ausgeben zu verhindern, ist eine Umschalt-Operation sinnvoll, um den vom ersten Endgerät M1 erhaltenen elektronischen Münzdatensatz C_k gegen einen neuen elektronischen Münzdatensatz C₁ mit gleichem monetären Betrag auszutauschen. Der neue elektronische Münzdatensatz Q wird vom zweiten Endgerät M2 generiert. Dabei wird der monetäre Betrag des Münzdatensatzes C₁ übernommen und nicht verändert, siehe Gleichung (11). Dann wird gemäß Gleichung (14) ein neuer Verschleierungsbetrag r_add zum Verschleierungsbetrag r_k des erhaltenen elektronischen Münzdatensatz C_k hinzugefugt, r_l = r_k + r_add (14) wodurch ein Verschleierungsbetrag n erhalten wird, die nur das zweite Endgerät M2 kennt. Um zu beweisen, dass nur ein neuer Verschleierungsbetrag r_add zum Verschleierungsbetrag r_k des erhaltenen elektronischen Münzdatensatz Z_k hinzugefugt wurde, der monetäre Betrag aber gleichgeblieben ist (n_k = ui ), muss das zweite Endgerät M2 nachweisen können, dass sich Z₁-Z_k als Vielfaches von G darstellen lässt. Dies erfolgt mittels öffentlicher Signatur R_add gemäß Gleichung (15): wobei G der Generatorpunkt der ECC ist. Dann wird der umzuschaltende Münzdatensatz C₁ maskiert mittels der Gleichung (3), um den maskierten Münzdatensatz Z₁ zu erhalten. In der Überwachungsinstanz 2 kann dann die private Signatur r_add genutzt werden um beispielsweise den maskierten umzuschaltenden elektronischen Münzdatensatz Z₁ zu signieren,, was als Beweis gilt, dass das zweite Endgerät M2 nur ein Verschleierungsbetrag r_add zum maskierten elektronischen Münzdatensatz hinzugefügt hat und keinen zusätzlichen monetären Wert, d.h. v₁ = v_k.

Der Beweis lautet wie folgt:

Z_k = u_k ^. H + r_k ^. G (16)

Fig. 4 zeigt ein Ausfahrungsbeispiel eines Bezahlsystems gemäß der Erfindung zum Verbinden von elektronischen Münzdatensätzen. Dabei werden im zweiten Endgerät M2 die beiden Münzdatensätze C_i und C_j erhalten. In Anlehnung an das Aufteilen gemäß Fig. 3 wird nun ein neuer Münzdatensatz Z_m erhalten, indem sowohl die monetären Beträge als auch der Verschleierungsbetrag der beiden Münzdatensätze C_i und C_j addiert werden. Dann wird der erhaltene zu verbindende Münzdatensatz C_m maskiert und der maskierte Münzdatensatz Z_m wird in der Überwachungsinstanz registriert.

In den Figuren 3 und 4 wird wiederum die Variante einer Datenbank der Überwachungsinstanz 2 dargestellt, die eine Liste von Verarbeitungen der maskierten Münzdatensätze enthält. Andere Varianten einer Datenbank, beispielsweise maskierte Münzdatensätze mit Status oder nur gültige maskierte Münzdatensätze, sind ebenso - wie zu Fig. 2 bereits erwähnt - einsetzbar.

Fig. 5 bis 7 ist jeweils ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens 100. Nachfolgend werden beide Figuren 5 und 6 gemeinsam erläutert.

Die Schritte 101 bis 104 sind optional für das weitere Verfahren und werden am Beispiel des Endgerätes M1 beschrieben. In den optionalen Schritten 101 und 102 wird ein Münzdatensatz angefragt und seitens der Herausgeberinstanz 1 dem ersten Endgerät M1 nach Erstellen des elektronischen Münzdatensatzes bereitgestellt. Ein signierter maskierter elektronischer Münzdatensatz wird im Schritt 103 an die Überwachungsinstanz 2 gesendet. Im Schritt 103 erfolgt ein Maskieren des erhaltenen elektronischen Münzdatensatzes C_i gemäß der Gleichung (3) und wie in Fig. 1 erläutert. Dann wird im Schritt 104 der maskierte elektronische Münzdatensatz Z_i in der Überwachungsinstanz 2 registriert. Es könnte vorgesehen werden, dass maskierte elektronische Münzdatensätze in der Überwachungsinstanz erst gültig sind, wenn sie von einem Teilnehmer, wie Endgerät oder Server, registriert werden. Alternativ kann - wie zu Fig. 1 erläutert - der maskierte elektronische Münzdatensatz Zi in der Überwachungsinstanz 2 bereits nach Schritt 102 als gültiger maskierter elektronischer Münzdatensatz registriert sein. Optional kann das Endgerät M1 den erhaltenen elektronischen Münzdatensatz mit Schritt 104 umschalten, wie es jedoch näher erst zu Schritt 108 beschrieben wird.

Im Schritt 105 erfolgt das Übertragen des Münzdatensatzes C_i in der Direkttransaktionsschicht 3 an das zweite Endgerät M2. In den optionalen Schritten 106 und 107 erfolgt eine Validitätsprüfung mit vorheriger Maskierung, bei der im Gutfall die Überwachungsinstanz 2 die Gültigkeit des Münzdatensatzes Z, bzw. C_i bestätigt wird.

Im Schritt 108 erfolgt das Umschalten eines erhaltenen Münzdatensatzes C_k (es könnte natürlich auch der erhaltene Münzdatensatz C_i umgeschaltet werden) auf einen neuen Münzdatensatz C₁, wodurch der Münzdatensatz C_k ungültig wird und ein Doppeltausgeben verhindert wird. Dazu wird der monetäre Betrag V_k des übertragenen Münzdatensatzes C_k als„neuer“ monetärer Betrag u_l uerwendet. Zudem wird, wie bereits mit Gleichungen (14) bis (17) erläutert, der Verschleierungsbetrag n erstellt. Der zusätzliche Verschleierungsbetrag r_add wird verwendet, um zu beweisen, dass kein neues Geld (in Form eines höheren monetären Betrags) von dem zweiten Endgerät M2 generiert wurde. Dann wird unter anderem der maskierte umzuschaltende Münzdatensatz Z₁ an die Überwachungsinstanz 2 gesendet und das Umschalten von C_k auf C₁ beauftragt.

Im Schritt 108‘ erfolgt die entsprechende Prüfung in der Überwachungsinstanz 2. Dabei wird Z_k in die Spalte 22a gemäß Tabelle in Fig. 2 eingetragen und in Spalte 23b der umzuschreibende Münzdatensatz Z₁. Es erfolgt sodann eine Prüfung in der Überwachungsinstanz 2, ob Z_k (noch) gültig ist, also ob die letzte Verarbeitung von Z_k in einer der Spalten 23a/b eingetragen ist (als Beweis dafür, dass Z_k nicht weiter aufgeteilt oder deaktiviert oder verbunden wurde) und ob eine Prüfung für die letzte Verarbeitung fehlgeschlagen ist. Zudem wird Z₁ in die Spalte 23b eingetragen und die Markierungen in. den Spalten 25, 26, 27 werden zunächst auf„0“ gesetzt. Nun erfolgt eine Prüfung, ob Z₁ gültig ist, wobei dabei die Prüfung gemäß Gleichungen (16) und (17) verwendet werden können. Im Gutfall wird die Markierung in Spalte 25 auf„1“ gesetzt, ansonsten auf„0“. Nun erfolgt eine Prüfung, die Berechnung gemäß Gleichung (10) ergibt, dass Z_k und Z₁ gültig sind und entsprechend wird die Markierung in Spalte 26 gesetzt. Weiterhin wird geprüft, ob die Bereiche schlüssig sind, sodann wird die Markierung in Spalte 27 gesetzt. Wenn alle drei Prüfungen erfolgreich waren, und dies entsprechend unveränderlich in der Überwachungsinstanz 2 festgehalten wurde, gilt der Münzdatensatz als umgeschaltet. D.h. der Münzdatensatz C_k ist nicht mehr gültig und ab sofort ist der Münzdatensatz C₁ gültig. Ein Doppeltausgeben ist nicht mehr möglich, wenn ein drittes Endgerät M3 die Validität des (doppelt ausgegebenen) Münzdatensatz an der Überwachungsinstanz 2 erfragt.

In der Regel werden - leicht abweichend von der Darstellung in Figur 5 - die von der Herausgeberinstanz erstellten elektronischen Münzdatensätze C_i an eine Instanz (wie Server, Rechner ...) einer Geschäftsbank übertragen (ausgegeben). Die (Server-)Instanz der Geschäftsbank stellt die elektronischen Münzdatensätze für Endgeräte bereit. Das Endgerät M1 fordert und erhält dann in den Schritten 101 und 102 den elektronischen Münzdatensatz von der Instanz der Geschäftsbank. Insbesondere wenn das Endgerät M1 den elektronischen Münzdatensatz C_i von einem Server einer Geschäftsbank anfordert und erhält, ist ein Umschalten bereits in Schritt 104 sinnvoll.

Im Schritt 109 erfolgt ein Verbinden von zwei Münzdatensätzen C_k und C_i auf einen neuen Münzdatensatz C_m, wodurch die Münzdatensätze C_k, G ungültig werden und ein Doppeltausgeben verhindert wird. Dazu wird der monetäre Betrag u_m aus den beiden monetären Beträgen u_k und u_i gebildet. Dazu wird der Verschleierungsbetrag r_m aus den beiden Verschleierungsbeträgen r_k und n gebildet. Zudem wird mittels Gleichung (3) der maskierte zu verbindende Münzdatensatz erhalten und dieser (mit anderen Informationen zusammen) an die Überwachungsinstanz 2 gesendet und das Verbinden als Verarbeitung erbeten.

Im Schritt 109‘ erfolgt die entsprechende Prüfung in der Überwachungsinstanz 2. Dabei wird Z_m in die Spalte 23b gemäß Tabelle in Fig. 2 eingetragen. Es erfolgt sodann eine Prüfung in der Überwachungsinstanz 2, ob Z_k und Z_i (noch) gültig sind, also ob die letzte Verarbeitung von Z_k oder Z_i in einer der Spalten 23a/b eingetragen ist (als Beweis dafür, dass Z_k und Z_i nicht weiter aufgeteilt oder deaktiviert oder verbunden wurden) und ob eine Prüfung für die letzte Verarbeitung fehlgeschlagen ist. Zudem werden die Markierungen in den Spalten 25, 26, 27 zunächst auf„0“ gesetzt. Nun erfolgt eine Prüfung, ob Z_m gültig ist, wobei dabei die Prüfung gemäß Gleichungen (16) und (17) verwendet werden können. Im Gutfall wird die Markierung in Spalte 25 auf„1“ gesetzt, ansonsten auf„0“. Nun erfolgt eine Prüfung, die Berechnung gemäß Gleichung (10) ergibt, dass Z_i plus Z_k gleich Z_m ist und entsprechend wird die Markierung in Spalte 26 gesetzt. Weiterhin wird geprüft, ob die Bereiche schlüssig sind, sodann wird die Markierung in Spalte 27 gesetzt.

Im Schritt 110 erfolgt ein Aufteilen eines Münzdatensatz C_i in zwei Münzteildatensätzen C_k und C_j, wodurch der Münzdatensatz C_i ungültig gemacht wird und die beiden geteilten Münzteildatensätze gültig gemacht werden sollen. Dazu wird der monetäre Betrag u_i in die beiden monetären Beträge u_k und u_j aufgeteilt. Dazu wird der Verschleierungsbetrag r; in die beiden Verschleierungsbeträge r_k und h aufgeteilt. Zudem werden mittels Gleichung (3) die maskierten Münzteildatensätze Z_k und Z_j erhalten und diese mit weiteren Informationen, beispielsweise den Bereichsprüfüngen, an die Überwachungsinstanz 2 gesendet und das Aufteilen als Verarbeitung erbeten.

Im Schritt 110‘ erfolgt die entsprechende Prüfung in der Überwachungsinstanz 2. Dabei werden Z_j und Z_k in die Spalten 23a/b gemäß Tabelle in Fig. 2 eingetragen. Es erfolgt sodann eine Prüfung in der Überwachungsinstanz 2, ob Zj (noch) gültig ist, also ob die letzte Verarbeitung von Z_i in einer der Spalten 23a/b eingetragen ist (als Beweis dafür, dass Z_i nicht weiter aufgeteilt oder deaktiviert oder verbunden wurde) und ob eine Prüfung für die letzte Verarbeitung fehlgeschlagen ist. Zudem werden die Markierungen in den Spalten 25, 26, 27 zunächst auf„0“ gesetzt. Nun erfolgt eine Prüfung, ob Z_j und Z_k gültig sind, wobei dabei die Prüfung gemäß Gleichungen (16) und (17) verwendet werden können. Im Gutfall wird die Markierung in Spalte 25 auf„1“ gesetzt. Nun erfolgt eine Prüfung, die Berechnung gemäß Gleichung (10) ergibt, dass Z_i gleich Z_k plus Z_j ist und entsprechend wird die Markierung in Spalte 26 gesetzt. Weiterhin wird geprüft, ob die Bereiche schlüssig sind, sodann wird die Markierung in Spalte 27 gesetzt.

In Fig. 8 ist ein Ausführungsbeispiel eines erfmdungsgemäßen Geräts M1 gezeigt. Das Gerät M1 kann elektronische Münzdatensätze C_i in einem Datenspeicher 10, 10‘ ablegen. Dabei können die elektronischen Münzdatensätze C, auf dem Datenspeicher 10 des Geräts M1 liegen oder in einem externen Datenspeicher 10‘ verfügbar sein. Bei Verwenden eines externen Datenspeichers 10‘ könnten die elektronischen Münzdatensätze C_i in einem Online-Speicher abgelegt sein, beispielsweise einem Datenspeicher 10‘ eines Anbieters für digitale Geldbörsen. Zusätzlich könnten auch private Datenspeicher, bspw. ein Network- Attached-Storage, NAS in einem privaten Netzwerk verwendet werden.

In einem Fall ist der elektronische Münzdatensatz C_i als ein Ausdruck auf Papier dargestellt. Dabei kann der elektronische Münzdatensatz durch einen QR-Code, ein Bild eines QR-Codes dargestellt werden, oder aber auch eine Datei oder eine Zeichenfolge (ASCII) sein.

Das Gerät M1 hat mindestens eine Schnittstelle 12 als Kommunikationskanal zum Ausgeben des Münzdatensatzes C_i zur Verfügung. Diese Schnittstelle 12 ist beispielsweise eine optische Schnittstelle, beispielsweise zum Darstellen des Münzdatensatzes C_i auf einem Anzeigeeinheit (Display), oder einen Drucker zum Ausdrucken des elektronischen Münzdatensatzes C_i als Papier- Ausdruck. Diese Schnittstelle 12 kann auch eine digitale Kommunikationsschnittstelle, beispielsweise für Nahfeldkommunikation, wie NFC, Bluetooth, oder eine Internetfähige Schnittstelle, wie TCP, IP, UDP, HTTP oder ein Zugriff auf eine Chipkarte als

Sicherheitselement sein. Diese Schnittstelle 12 ist beispielsweise eine Datenschnittstelle, sodass der Münzdatensatz C_i über eine Applikation, beispielsweise einem Instant-Messenger-Dienst oder als Datei oder als Zeichenfolge zwischen Geräten übertragen wird.

Zudem ist die Schnittstelle 12 oder eine weitere Schnittstelle (nicht dargestellt) des Geräts M1 dazu eingerichtet, mit der Überwachungsinstanz 2 gemäß der Beschreibung in den Figuren 1 bis 6 zu interagieren. Das Gerät M1 ist dazu bevorzugt onlinefähig.

Darüber hinaus kann das Gerät M1 auch eine Schnittstelle zum Empfang von elektronischen Münzdatensätzen aufweisen. Diese Schnittstelle ist eingerichtet visuell präsentierte

Münzdatensätze, beispielsweise mittels Erfassungsmodul wie Kamera oder Scanner, oder digital präsentierte Münzdatensätze, empfangen via NFC, Bluetooth, TCP, IP, UDP, HTTP oder mittels einer Applikation präsentierte Münzdatensätze zu empfangen.

Das Gerät M1 umfasst auch eine Recheneinheit 13, die das oben beschriebene Verfahren zum Maskieren von Münzdatensätzen und die Verarbeitungen an Münzdatensätzen durchführen kann.

Das Gerät M1 ist onlinefähig und kann bevorzugt mittels eines Standorterkennungs-Moduls 15 erkennen, wenn es mit einem WLAN verbunden ist. Optional kann ein spezifisches WLAN Netz als bevorzugt markiert sein (=Standortzone), sodass das Gerät M1 besondere Funktionen nur ausführt, wenn es in diesem WLAN Netz angemeldet ist. Alternativ erkennt das Standorterkennungs-Modul 15, wenn das Gerät M1 in vordefinierten GPS-Koordinaten inklusive eines definierten Radius ist und führt die besonderen Funktionen entsprechend der so definierten Standortzone durch. Diese Standortzone kann entweder manuell in das Gerät M1 oder via andere Einheiten/Module in das Gerät M1 eingebracht werden. Die besonderen Funktionen, die das Gerät M1 bei Erkennen der Standortzone durchfuhrt, sind insbesondere das Übertragen von elektronischen Münzdatensätzen von/zum externen Datenspeicher 10 von/zu einem Tresormodul 14 und ggf. das Übertragen maskierter Münzdatensätze Z an die Überwachungsinstanz 2, beispielsweise im Rahmen von den o.g. Verarbeitungen an einem Münzdatensatz.

Im einfachsten Fall werden im Endgerät M1 alle Münzdatensätze C_i nach Erhalt automatisch zu einem Münzdatensatz verbunden (siehe Verbinden- Verarbeitung bzw. Verbinden-Schritt). Das heißt, sobald ein neuer elektronischer Münzdatensatz empfangen wird, wird ein Verbinden bzw. Umschalten-Befehl an die Überwachungsinstanz 2 gesendet. Das Gerät M1 kann elektronische Münzdatensätze auch in algorithmisch festgelegten Denominationen vorbereiten und im Datenspeicher 10, 10‘ Vorhalten, damit auch ohne Daten Verbindung zur Überwachungsinstanz 2 ein Bezahlvorgang möglich ist.

In Fig. 9 ist ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens 200 gezeigt. Dabei werden im Gerät M1 die Münzdatensätze C_i wie folgt verwaltet.

Das Gerät M1 kann wie oben beschrieben mittels des Standorterkennungs-Moduls 15 eine vordefinierte Standortzone erkennen, Schritt 201. In dieser Standortzone kann das Endgerät M1 sodann automatisch auf einen vordefinierten Schwellwert, also ein festgelegtes Limit X, an monetären Beträgen u_i in Form von elektronischen Münzdatensätzen C_i auf- oder entladen. Dazu wird das Gerät M1 personalisiert. Dazu werden über eine Schnittstelle eine Bankverbindung (Bankkonto-Daten) bzw. ein Tresormodul und der Schwellwert X angegeben. Der Nutzer muss sich ggf. am Bankkonto bzw. einem Tresormodul authentisieren, um monetäre Beträge vom Bankkonto per Lastschrift abzubuchen bzw. an das Bankkonto zu überweisen bzw. Münzdatensätze von dem Tresormodul zu empfangen oder an das Tresormodul zu senden.

Ziel des Verfahrens 200 ist es, stets den Schwellwert X als monetären Betrag - in einem einzigen (verbundenen) elektronischen Münzdatensatz oder in allen elektronischen Münzdatensätzen - im Gerät vorrätig zu haben.

Im Endgerät M1 können alle Münzdatensätze C_i nach Erhalt eines Münzdatensatzes automatisch zu einem Münzdatensatz verbunden werden (siehe Verbinden-Schritt). Beispielsweise kann durch das Verbinden ein Münzdatensatz C_i mit einem monetären Betrag u_i größer dem Schwellwert X erhalten (hier mit Y abgekürzt) werden. Ist die Vorgabe nicht mehr erfüllt, liegt also beispielsweise der Nein-Fall in Schritt 202 der Fig. 9, so wird in Schritt 203 durch das Gerät M1 der Münzdatensatz C_i aufgeteilt, so dass ein erster elektronischer Münzteildatensatz mit dem monetären Betrag X und ein zweiter elektronischer Münz(teil)datensatz C mit dem monetären Betrag M=Y-X erhalten wird. Die beiden Münzteildatensätze werden dabei auch in der Überwachungsinstanz 2 registriert. Der zweite Münz(teil)datensatz C wird in Schritt 204 an die Herausgeberinstanz zurückgegeben. Die Herausgeberinstanz schreibt den monetären Betrag M dem Bankkonto des Nutzers gut, dies kann beispielsweise mittels Gutschrift oder Überweisung erfolgen. Sofern in dem Gerät bereits ein elektronischer Münzdatensatz mit (genau oder ungefähr) dem monetären Betrag M vorliegt, kann Schritt 203 entfallen und dieser Münzdatensatz direkt zurückgegeben 204 werden.

In einer weiteren nicht in der Figur dargestellten Variante wird eine Überweisung ausgelöst, mit der ein Differenzbetrag aus monetärem Betrag Y und Schwellwert X (für einen monetären Betrag) auf das vorpersonalisierte Bankkonto gutgeschrieben wird. Parallel dazu wird die verbundene Münze C_i aufgeteilt (Aufteilen-Schritt) und die entsprechend maskierten Münzteildatensätze an die Überwachungsinstanz 2 gesendet, um den gutgeschriebenen Münzteildatensatz (Y-X) an das Tresormodul bzw. dem Überweisenden zu schicken.

Ist - gemäß Ja-Fall des Schritts 202 - ein Münzdatensatz C_i mit einem monetären Betrag kleiner dem Schwellwert X im Gerät M1 enthalten (beispielsweise, wenn mit einem Betrag X-Y bezahlt wurde), so wird durch das Gerät M1 eine Lastschrift im Schritt 205 beantragt, mit der ein Differenzbetrag aus dem Schwellwert X und dem monetären Betrag Y des abgelegten Münzdatensatz C_i vom Bankkonto abgehoben wird. Parallel dazu erhält das Gerät M1 einen neuen Münzdatensatz von der Herausgeberinstanz 1 im Schritt 205, siehe Erstellen- Schritt, wie er oben beschrieben ist. Alternativ oder ergänzend zu einem Schwellwert als Vorgabe kann auch eine Denominations vorgabe vorliegen. Mit der Denominationsvorgabe wird festgelegt, wie viele elektronische Münzdatensätze mit welcher Denomination (also mit welchem monetären Betrag) im Gerät vorrätig sein sollen. Der Ablauf des Verfahrens 200 kann im Wesentlichen analog sein. Vereinfacht werden entweder fehlende elektronische Münzdatensätze angefordert und erhalten oder überschüssige elektronische Münzdatensätze, zurückgegeben. In einem optionalen Vorschritt können durch Aufteilen und Verbinden elektronische Münzdatensätze gemäß der Denominationsvorgabe erzeugt werden.

In Fig. 9 sind zudem auch die Verfahrensschritte des Verfahrens 300 dargestellt. Dabei wird ein Zugriff auf ein Tresormodul 14 des Geräts M1 vorgesehen. Im Nein-Fall des Schritts 301 wird der Betrag Y-X im Schritt 302 in das Tresormodul 14 geschrieben. Im Ja-Fall des Schritts 301 wird der Betrag Y-X im Schritt 303 aus dem Tresormodul 14 geladen. Dazu sind bevorzugt Authentifizierungen des Benutzers notwendig.

Das Tresormodul 14 ist dabei ein Datenspeicher auf den nach zusätzlicher erfolgreicher Authentisierung zugegriffen werden darf. Dieses Tresormodul 14 kann entweder im Gerät M1 sein, z.B. einem Bereich, der durch zusätzliche Sicherheitsfunktionen geschützt ist, oder das Tresormodul 14 ist extern vom Gerät M1, zum Beispiel auf dem Server eines vertrauenswürdigen Drittens, der die Tresormodul-Funktion anbietet. Das Tresormodul 14 kann Münzdatensätze verarbeiten und diese mit der Überwachungsinstanz 2 registrieren lassen.

In Fig. 10 ist ein weiteres Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens 400 dargestellt. Das Gerät M1 weist dabei einen Datenspeicher 10 und ein Tresormodul 14 auf. Ein anderes Gerät M2 erbittet im Schritt 401 die Zahlung eines Betrags Y. Das Gerät M1 erkennt im Schritt 402, dass es den Betrag Y nicht im Datenspeicher 10 aufweist, da er größer ist, als der vordefinierte Schwellwert X. M1 erfragt daher den Betrag Y-X (oder Y) vollautomatisch vom Tresormodul 14 im Schritt 403. Ist der Betrag Y-X (oder Y) im Tresormodul 14 vorhanden (hier nicht dargestellt), wird dieser vom Gerät M1 an das Gerät M2 übertragen, entweder mit vorheriger Übertragung des Betrags vom Tresormodul 14 an das Gerät M1 oder durch direkte Übertragung vom Tresormodul 14 an das andere Gerät M2. Zusätzlich zu dem Münzdatensatz des Tresormoduls mit dem monetären Betrag Y-X, wird das Gerät M1 den Münzdatensatz mit dem Betrag X übertragen.

Gemäß Fig. 10 hat das Tresormodul 14 den Betrag Y-X (bzw. Y) nicht vorrätig. Der Betrag X im Tresormodul 14 ist also geringer als der angeforderte Betrag Y-X (bzw. Y). Daher fragt das Tresormodul im Schritt 404 bei der Herausgerbinstanz 1 oder (nicht dargestellt) einem anderen Liquiditätsanbieter einen Münzdatensatz C mit dem monetären Differenzbetrag Y-X an. Die Herausgeberinstanz 1 erzeugt im Schritt 405 einen entsprechenden Münzdatensatz C mit dem Differenzbetrag Y-X und überträgt diesen im Schritt 406 an das Tresormodul 14. Zudem wird der signierte maskierte elektronische Münzdatensatz an die Überwachungsinstanz 2 gesendet, siehe Schritt 407 (siehe auch Fig. 1 bis 7 für Details). Bevorzugt hält die Herausgeberinstanz eine Vielzahl bereits erzeugter und registrierter Münzdatensätze bereit, so dass Schritt 407 sowie das Erzeugen entfallen. Der Liquiditätsanbieter verarbeitet die Anfrage an einen elektronischen Münzdatensatz vom monetären Wert Y-X (nicht in Fig. 10 dargestellt). Dabei werden folgende Schritte ausgeführt: Registrieren nach einem Aufteilen-Schritt in der Überwachungsinstanz 2, um einen elektronischen Münzdatensatz des benötigten monetären Wertes zu erzeugen; und Versenden des angefragten elektronischen Münzdatensatzes an das Tresormodul 14. Das Tresormodul 14 verbindet den Münzdatensatz X mit dem Münzdatensatz Y-X, um den Betrag Y als neuen Münzdatensatz zu erhalten, siehe Schritt 408 (siehe auch Fig. 1 bis 7 für Details). Der verbundene Münzdatensatz Y wird im Schritt 409 an das andere Gerät M2 übertragen, entweder direkt vom Tresormodul 14 oder über das Gerät M1. Das Ablaufdiagramm der Fig. 10 oberhalb der Strichlinie entspricht beispielsweise auch den Verfahrensschritten 202, 203, 204 bzw. 301, 302 und 303 der Fig. 9.

Das Ablaufdiagramm der Fig. 10 unterhalb der Strichlinie entspricht beispielsweise auch den Verfahrensschritten 202, 205, 206 bzw. 301, 303 und 304 der Fig. 9. Dabei überträgt ein anderes Gerät M2 die Zahlung eines Betrags Y im Schritt 410 an das Gerät M1. Das Gerät M1 erkennt im Schritt 411, dass der Betrag Y den Schwellwert X übersteigt. Das Gerät M1 veranlasst daher die Überweisung des korrespondierenden Überschusses, hier die Überweisung des monetären Betrags X-Y im Schritt 412. Dazu veranlasst das Tresormodul 14 vollautomatisch die Überweisung an das Bankinstitut 1 im Schritt 413 (in Fig. 10 ist das Bankinstitut gleichzeitig auch Herausgeberinstanz 1 ; darauf ist der Erfmdungsgedanke aber nicht beschränkt). Dabei wird ein Aufteilen-Schritt vom Tresormodul 14 durchgeführt und in der Überwachungsinstanz 2 registriert, siehe Schritt 414 (siehe auch Fig. 1 bis 7 für Details). Der Schritt des Aufteilens 414 kann parallel oder vor dem Schritt des Überweisens 413 erfolgen. So kann insbesondere wiederum eine Rückgabe bzw. das Übertragen des aufgeteilten Münzteildatensatzes an die Herausgeberinstanz die Überweisung auslösen.

In Fig. 11 ist ein weiteres Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens 500 gezeigt. Das Gerät M1 hat einen Datenspeicher 10 für elektronische Münzdatensätze C_i. Ein Teil dieses Speichers 10 kann durch eine Applikation 5, die auf jedem der Endgeräte M1, M3 installiert und betriebsbereit ist, mit anderen Geräten M3 synchronisiert werden, siehe Schritt 501. Damit haben verschiedene Nutzer dieser synchronisierten Geräte M1, M3 gleichzeitig Zugriff auf die elektronische Münzdatensätze C_i. Sie teilen sich die elektronische Münzdatensätze C_i, die in diesem Teil des Datenspeichers 10 abgelegt sind.

Neben den elektronischen Münzdatensätzen C_i sind in dem gemeinsamen Teil des Datenspeichers 10 auch Identifizierungsdaten der zu synchronisierenden Geräte M1, M3 abgelegt.

Zur Synchronisation hat jedes Gerät M1, M3 diese Anwendung 5 - sozusagen eine gemeinsam genutzte digitale Geldbörse. Diese Anwendung 5 stellt sicher, dass Informationen an die Geräte M1, M3 kommuniziert werden. Die Anwendung 5 ist zudem in Kommunikationsverbindung mit der Überwachungsinstanz 2, siehe Schritt 502.

Im System gemäß Fig. 11 sind elektronische Münzdatensätze C_i aus Sicherheitsgründen nicht zentral in der Applikation 5 gespeichert, sondern lokal auf jedem der Geräte M1, M3. Ein Gerät M1 kann nun über die Applikation 5 - also die gemeinsam genutzte digitale Geldbörse - eine Verarbeitung an einer der gemeinsamen elektronische Münzdatensätzen C_i mittels der Überwachungsinstanz 2 vornehmen lassen. Auf Anfrage gemäß Schritt 502 kontaktiert die Applikation 5 im Schritt 503 im Rahmen eines Aufteilen-Schritts (siehe Fig. 1 bis Fig. 7 für Details) die Überwachungsinstanz 2, um ursprüngliche elektronische Münzdatensätze C_i deaktivieren zu lassen (=für ungültig zu erklären) und um entsprechend aufgeteilte oder neu erstellte maskierte Münzdatensätze in der Überwachungsinstanz 2 zu dokumentieren und diese für gültig zu erklären. Die Applikation 5 synchronisiert im Schritt 505 sodann wieder die Geräte M1, M3.

Die Fig. 12 zeigt ein Ausführungsbeispiel eines erfindungsgemäßen Geräts M1 in Kommunikations Verbindung mit einem anderen Gerät M2 zum Übertragen von monetären Beträgen in Form von Münzdatensätzen. Bezüglich des Geräts M1 wird auf die Beschreibung zur Fig. 8 verwiesen. Das andere Gerät M2 stellt beispielsweise eine Maschine dar, die elektronischen Münzdatensätze C_i direkt empfangen und versenden kann. Außerdem kann sie maskierte elektronische Münzdatensätze berechnen, also einen Maskieren-Schritt für elektronische Münzdatensätze durchführen. Das andere Gerät M2 kann mit einer Überwachungsinstanz 2 kommunizieren (nicht dargestellt). Das andere Gerät M2 ist beispielsweise ein Selbstbedienungsterminal - ähnlich eines Geldautomaten - oder ist ein Bediensystem, wie zum Beispiel ein Kassensystem, bestehend aus mehreren Komponenten. Das andere Gerät M2 hat beispielsweise ein Kartenlesegerät, um Sicherheitselemente (Chipkarten, eUICC) auslesen zu können, wodurch ein Nutzer zweifelsfrei identifiziert werden kann. Zudem hat das andere Gerät M2 beispielsweise eine Tastatur. Zudem hat das andere Gerät beispielsweise eine Schnittstelle 12 zum Ausgeben von Münzdatensätzen, die der Schnittstelle 12 bzw. den Schnittstellen des Geräts M1 vollkommen entsprechen können. Auf etwaige Ausführungen zum Gerät M1 wird daher an dieser Stelle verwiesen. Beispielsweise ist die Schnittstelle 12 des anderen Geräts M2 Ausgabeschnittstelle für optoelektronisch erfassbare Münzdatensätze, also beispielsweise ein Bildschirm oder ein Monitor; oder eine digitale (Protokoll, bzw. Daten-)Schnittstelle, wie NFC, Bluetooth, TCP, IP, UDP, HTTP, oder eine Schnittstelle zum Übertragen von Datensätzen mittels Applikation, wie Textdatei, ASCII- Zeichenfolge, Instant-Messenger-Dienst oder gemäß einer Geldbörsen-Applikation 5.

Des Weiteren hat das andere Gerät M2 eine oder mehrere Schnittstellen zum Empfangen von Münzdatensätzen, die der/den entsprechende(n) Schnittstelle(n) des Geräts M1 entsprechen, beispielsweise eine optische Schnittstelle 11 (Scanner oder Kamera) oder eine digitale Schnittstelle, ggf. kombiniert mit der digitalen Schnittstelle zum Ausgeben von Münzdatensätzen C_i.

Des Weiteren hat das andere Gerät M2 eine oder mehrere Schnittstellen zum Kommunizieren mit der Überwachungsinstanz 2, beispielsweise zum Übertragen maskierter Münzdatensätze Z_i.

Zudem hat das Gerät M2 beispielsweise ein Eingabe- und/oder Ausgabemodul 16 für Banknoten und/oder einen Zufallszahlengenerator bzw. eine Schnittstelle zum Empfangen einer Zufallszahl. Ein Kassenmodul 17 des anderen Geräts M2 steht beispielsweise für den Zugang zu einem Kontosystem einer (oder mehrerer) Geschäftsbanken zur Verfügung, wodurch einem Nutzer auch Zugang zu ihrem/seinen Bankkonto gewährleistet wird. Einen kryptografischen Schlüssel zum Signieren einer Deaktivieren- Verarbeitung ist ebenfalls optional im anderen Gerät M2 vorhanden. Das andere Gerät M2 hat ebenfalls einen Datenspeicher 10 oder Mittel zum Zugreifen auf einen externen Datenspeicher 10‘. Das Gerät M2 bezieht gültige elektronische Münzdatensätze C_i entweder aus dem Datenspeicher 10 oder über die Schnittstelle zu einem Betreiber der Maschine, der den elektronischen Münzdatensatz C_i in einem extern Datenspeicher 10‘ verwaltet oder über eine Tauschbörse.

Der Nutzer des Geräts M1 kann beim Bezahlen mit Bargeld (z.B. an einem Kassenterminal) das Rückgeld als Kombination aus Banknoten und elektronischen Münzdatensätzen C_i erhalten.

In einem Fall bekommt er einen Teil des Rückgelds aus Geldscheinen, abgerundet auf die nächste Denomination von Banknoten und der zweite Teil des Rückgelds wird als elektronischer Münzdatensatz C_i empfangen. Dieser elektronische Münzdatensatz C_i bzw. die elektronischen Münzdatensätze können elektronisch oder als Ausdruck empfangen werden. Dazu teilt das Kassenmodul 17 des anderen Geräts M2 der Recheneinheit 13 des anderen Geräts M2 mit, wieviel Rückgeld als elektronischer Münzdatensatz C_i gezahlt werden soll. Dann führt die Recheneinheit 13 des anderen Geräts M2 ein Aufteilen-Schritt durch und informiert die Überwachungsinstanz 2 entsprechend zum Registrieren der aufgeteilten Münzteildatensätze. Optional kann das Gerät M1 durch beispielsweise Vibrieren oder einem optischen Signal dem Nutzer bestätigen, dass der zweite Teil des Rückgelds als elektronischer Münzdatensatz C_i empfangen wurde.

In einem alternativen Fall bekommt der Nutzer des Geräts M1 einen Teil des Rückgelds als Banknoten von dem anderen Gerät M2, aufgerundet auf die nächste Denomination. Das Gerät M1 überträgt dann „negatives“ Rückgeld in Form eines oder mehrerer elektronischen/-r Münzdatensatzes/-sätze C_i an das andere Gerät M2. Diese(r) elektronische(n) Münzdatensatz/- sätze C_i kann er elektronisch oder als Ausdruck ausgeben. Zum Beispiel hat der Nutzer eine Rechnung über 12,28€ und zahlt mit einer 20€ Banknote. Der Nutzer von Gerät M1 erhält eine 10€ Banknote (= die nächstgrößte Denomination) als Bargeld- Anteil. Das Gerät M1 überträgt einen monetären Betrag von 2,28€ als„negatives Rückgeld“ an das Gerät M2 in Form eines elektronischen Münzdatensatzes C_i. Hierbei kommuniziert das Kassenmodul 17 des andern Geräts M2 mit der Recheneinheit 13 des anderen Geräts M2, wieviel monetärer Betrag u in Form eines elektronischen Münzdatensatzes C_i vom Gerät M1 eingefordert werden muss. Die Forderung wird im Gerät M1 empfangen. Mittels eines Aufteilen-Befehls und dazugehörigem Registrieren bei der Überwachungsinstanz 2 wird das negative Rückgeld in dem anderen Gerät M2 erhalten. Das Gerät M2 führt einen Umschalten-Befehl durch. Optional kann das Gerät M1 dem Nutzer durch beispielsweise Vibrieren oder einem optischen Signal eine Transaktionsbestätigung anzeigen.

In Fig. 13 ist ein weiteres Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens 600 gezeigt. Oberhalb der Strichlinie ist ein Verfahren zum Ausgeben von Bargeld an einem anderen Gerät M2 gezeigt. In diesem Fall hat das andere Gerät M2 zwingend ein Ausgabefach 16 für Bargeld und kann Verschleierungsbeträge, also Zufallszahlen r, generieren oder beziehen.

Das Gerät M1 hat einen elektronischen Münzdatensatz C_i und möchte diese im Schritt 601 in Bargeld umwandeln. Der Nutzer des Geräts M1 wählt dazu die Funktion„Bargeld ausgeben“ am anderen Gerät M2 aus, sollte es sich um ein Selbstbedienungsterminal handeln. Das Gerät M1 überträgt den elektronischen Münzdatensatz O an das Gerät M2 im Schritt 602. Das andere Gerät M2 empfängt den elektronischen Münzdatensatz C_i. Das andere Gerät M2 generiert einen neuen Entropiefaktor, hier Zufallszahl r_j, und bildet daraus einen neuen elektronischen Münzdatensatz C_j im Rahmen eines Umschalten-Schritts gemäß Schritt 603, wie in Fig. 1 bis Fig. 7 im Detail beschrieben. Dann berechnet das andere Gerät M2 die Maskierungen Z; und Z_j aus f(C_i) und f (C_j) und schaltet den elektronischen Münzdatensatz C_i auf Cj um, wobei dazu die maskierten Münzdatensätze Z_i und Z_j an die Überwachungsinstanz 2 gesendet werden, siehe Schritt 604. Falls die Überwachungsinstanz 2 das Umschalten nicht ausführt (beispielsweise, weil eine für das Umschalten benötigte Überprüfung fehlgeschlagen ist, siehe oben), lehnt das andere Gerät M2 die Anfrage vom Nutzer des Geräts M1 ab (hier nicht dargestellt). Falls die Überwachungsinstanz 2 das Umschalten registrieren kann (Prüfungen erfolgreich), wird im Schritt 605 der elektronische Münzdatensatz C_j auf das andere Gerät M2 umgeschrieben und C_i ungültig. Im Schritt 606 bestätigt die Überwachungsinstanz 2 das Umschalten. Sodann gibt das andere Gerät M2 den monetären Betrag als Bargeld aus, siehe Schritt 607. Der elektronische Münzdatensatz C_j wird lokal im anderen Gerät M2 gespeichert oder an den Betreiber des Geräts M2 gesendet. Optional kann das andere Gerät M2 (falls dazu befugt) in der Überwachungsinstanz 2 einen Deaktivier-Schritt über den maskierten elektronischen Münzdatensatz Z_i registrieren. Dieses Verfahren 600 der Bargeld-Herausgabe kann mit dem in Fig. 12 beschriebenen Rückgeld- Ausgeben kombiniert werden, sodass das andere Gerät M2 einen Teil des monetären Betrags u als Banknoten aus dem Banknotenmodul 16 herausgibt (entweder auf- oder abgerundet auf die nächste Denomination) und den übrigen Teil als elektronischer Münzdatensatz C. Damit würde sich das Gerät M1 einen Aufteilen-Schritt sparen.

Unterhalb der Strichlinie in Fig. 13 ist ein Verfahren zum Abheben von elektronischen Münzdatensätzen C_i von einem Bankkonto gezeigt. Dabei wird entweder Bargeld über ein Banknotenmodul 16 am anderen Gerät M2 eingezahlt (Schritt 608) oder einfach der Wert für C_j angefragt (Schritt 609). In diesem Fall ermöglicht das andere Gerät M2 dem Nutzer des Geräts M1 Zugang zu ihrem/seinen Bankkonto am Bankinstitut 1 (gleichzeitig auch Herausgeberinstanz, was den Erfindungsgedanken nicht einschränken soll).

Der Nutzer des Geräts M1 wählt die Funktion„elektronischer Münzdatensatz abheben“ an dem Gerät M2 und nutzt ihre/seine Sicherheitselement (Bankkarte, eUICC) o.ä. zur Authentifizierung und/oder Identifizierung. Auf diese Weise können Überweisung, Lastschrift, Kreditkartentransaktion o.ä. getätigt werden. Dabei wird im Schritt 610 die Deckung des Bankkontos des Nutzers des ersten Geräts M1 abgefragt und ggf. bestätigt.

Nach erfolgreich ausgeführter Transaktion bezieht das Gerät M2 einen elektronischen Münzdatensatz C_i von der Herausgeberinstanz 1 (siehe Fig. 1 bis 7 für Details). Die Herausgeberinstanz 1 kann den Münzdatensatz insbesondere erstellen oder beispielsweise (als Geschäftsbank) von einer weiteren Instanz (Zentralbank) erstellte Münzdatensätze bereit halten. Weiter alternativ wird ein elektronischer Münzdatensatz C_i im angefragten Wert der Transaktion generiert, wobei dazu der gewünschte monetäre Wert u und eine Zufallszahl als Verschleierungsbetrag r (über Zufallszahlengenerator erzeugt) verknüpft werden. Ein signierter maskierter elektronischer Münzdatensatz mit der Signatur dieses Geräts M2 (oder der Herausgeberinstanz 1) wird an die Überwachungsinstanz 2 im Schritt 611 übertragen.

Im Schritt 612 überträgt sie (optisch, elektronisch) den generierten elektronischen Münzdatensatz C_i an das Gerät M1.

Im Rahmen der Erfindung können alle beschriebenen und/oder gezeichneten und/oder beanspruchten Elemente beliebig miteinander kombiniert werden.

BEZUGSZEICHENLISTE

1 Herausgeberinstanz oder Bank

2 Überwachungsinstanz

21 Befehls-Eintrag

22a, b Eintrag eines zu verarbeitenden elektronischen Münzdatensatzes (Vorgänger)

23a, b Eintrag eines verarbeiteten elektronischen Münzdatensatzes (Nachfolger)

24 Signatur-Eintrag

25 Markierung der Gültigkeitsprüfung

26 Markierung der Berechnungsprüfung

27 Markierung der Bereichsnachweisprüfung

28 Markierung der Signatur-Prüfung

3 Direkttransaktionsschicht

4 Überwachungsschicht

5 Applikation gemeinsame Geldbörse

10, 10‘ Datenspeicher

11 Anzeige

12 Schnittstelle

13 Recheneinheit

14 Tresonnodul

15 Standorterkennungs-Modul

16 Banknotenmodul

17 Kassenmodul

M1 erstes Gerät

M2 zweites Gerät

M3 drittes Gerät

C_i elektronischer Münzdatensatz

C_j, C_k aufgeteilter elektronischer Münzteildatensatz,

C₁ umzuschaltender elektronischer Münzdatensatz

C_m zu verbindendender elektronischer Münzdatensatz

Z_i maskierter elektronischer Münzdatensatz

Z_j, Z_k maskierter aufgeteilter elektronischer Münzteildatensatz

Z₁ maskierter umzuschaltender elektronischer Münzdatensatz

Z_m maskierter zu verbindender elektronischer Münzdatensatz

u_i, Monetärer Betrag

u_j, u_j Aufgeteilter monetärer Betrag

u_u, Monetärer Betrag eines umzuschaltenden/umgeschalteten elektr. Münzdatensatzes u_m, Monetärer Betrag eines zu verbindenden/verbundenen elektr. Münzdatensatz n Verschleierungsbetrag, Zufallszahl

r_j, q Verschleierungsbetrag eines aufgeteilten elektronischen Münzdatensatzes r_m Verschleierungsbetrag eines zu verbindenden/verbundenen elektronischen Münzdatensatzes C_i ^* übertragener elektronischer Münzdatensatz

C_j ^*, C_k ^* übertragener aufgeteilter elektronischer Münzteildatensatz, Z_i* maskierter übertragener elektronischer Münzdatensatz

Z_j*, Z_k ^*maskierter übertragener aufgeteilter elektronischer Münzdatensatz f(C) Homomorphe Einwegfunktion

[Z_i]Sigi Signatur der Herausgeberinstanz

101-108 Verfahrensschritte gemäß einem Ausfuhrungsbeispiel

201 -205 V erfabrensschritte gemäß einem Ausfuhrungsbeispiel

301-302 V erfahrensschritte gemäß einem Ausfuhrungsbeispiel

401-414 V erfahrensschritte gemäß einem Ausfuhrungsbeispiel

501 -505 Verfahrensschritte gemäß einem Ausfuhrungsbeispiel

601-612 Verfahrensschritte gemäß einem Ausfuhrungsbeispiel

Claims

PATENTANSPRÜCHE

1. Gerät (M1), eingerichtet zum direkten Übertragen von elektronischen Münzdatensätzen (C_i, C_j, C_k, C_m, C₁) an ein anderes Gerät (M2, M3), aufweisend:

- Mittel zum Zugreifen auf einen Datenspeicher (10, 10‘), wobei im Datenspeicher (10, 10‘) zumindest ein elektronischer Münzdatensatz (C_i, C_j, C_k, C_m, C₁) abgelegt ist;

- einer Schnittstelle (12) zumindest zum Ausgeben des zumindest einen elektronischen Münzdatensatzes (C_i, Cj, C_k, C_m, C₁) an das andere Gerät (M2, M3); und

- eine Recheneinheit (13), eingerichtet zum:

- Maskieren des elektronischen Münzdatensatzes (C_i, C_j, C_k, C_m, C₁) im Gerät (M1) durch Anwenden einer homomorphen Einwegfunktion (f(C)) auf den elektronischen Münzdatensatz (C_i, C_j, C_k, C_m, C₁) zum Erhalten eines maskierten elektronischen Münzdatensatzes (Z;, Z_j, Z_k, Z_m, Z₁) zum Registrieren des maskierten elektronischen Münzdatensatzes (Z_i, Z_j, Z_k, Z_m, Z₁) in einer Überwachungsinstanz (2); und

- Ausgeben des elektronischen Münzdatensatzes (C_i, C_j, C_k, C_m, C₁) mittels der Schnittstelle (12), wobei der zumindest eine elektronische Münzdatensatz (C_i, C_j, C_k, C_m, C₁) einen monetären Betrag (ui, U_j, Uk, ui, n_m) nnd ein Verschleierungsbetrag (n, p, i_k, n, r_m) aufweist.

2. Das Gerät (M1) nach Anspruch 1, wobei die Recheneinheit (13):

- einen umzuschaltenden elektronischen Münzdatensatz (C₁) als den elektronischen Münzdatensatz (C_i, C_j, C_k, C_m, C₁) maskiert, um einen maskierten umzuschaltenden elektronischen Münzdatensatzes (Z₁) als den maskierten elektronischen Münzdatensatz (Z_i, Z_j, Z_k, Z_m, Z₁) zu erhalten, der in der Überwachungsinstanz (2) registriert wird; und/oder

- einen in einen ersten elektronischen Münzteildatensatz (C_j) und einen zweiten elektronischen Münzteildatensatz (C_k) aufgeteilten elektronischen Münzdatensatz (C₁) maskiert, um einen maskierten ersten elektronischen Münzteildatensatz (Z_j) und einen maskierten zweiten elektronischen Münzteildatensatz (Z_k) zu erhalten, der in der Überwachungsinstanz (2) registriert werden soll; und/oder

- einen aus einem ersten und einem zweiten elektronischen Münzdatensatz (C_i; C_j) zu verbindenden elektronischen Münzteildatensatzes (Cj) als den elektronischen Münzdatensatz (C_i, C_j, C_k, C_m, C₁) maskiert, um einen maskierten zu verbindenden Münzdatensatzes (C_m) als den maskierten elektronischen Münzdatensatz (Z_i, Z_j, Z_k, Z_m, Z₁) zu erhalten, der in der Überwachungsinstanz registriert wird.

3. Das Gerät (M1) nach einem der vorhergehenden Ansprüche, weiter aufweisend eine Schnittstelle zum Empfangen von elektronischen Münzdatensätzen (C_i, C_j, C_k, C_m, C₁), wobei diese Schnittstelle eine der folgenden ist:

- ein elektronisches Erfassungsmodul des Geräts (M1), eingerichtet zum optoelektronischen Erfassen eines, in visueller Form dargestellten, elektronischen Münzdatensatzes (C_i, C_j, C_k, C_m, C₁);

- eine Protokollschnittstelle zum drahtlosen Empfangen des elektronischen Münzdatensatzes (C_i, C_j, C_k, C_m, C₁) von einem anderen Gerät (M2, M3) mittels eines Kommunikationsprotokolls für Drahtloskommunikation;

- eine Datenschnittstelle zum Empfangen des elektronischen Münzdatensatzes (C_i, C_j, C_k, C_m, C₁) von dem anderen Gerät (M2, M3) mittels einer Applikation; und/oder

- die Schnittstelle (12) die auch zum Ausgeben des elektronischen Münzdatensatzes (C_i, C_j, C_k, C_m, C₁) eingerichtet ist.

4. Das Gerät (M1) nach einem der vorhergehenden Ansprüche, weiter aufweisend ein Mittel zum Zugreifen auf ein elektronisches Tresormodul (14), wobei das Tresormodul (14) eingerichtet zum gesicherten Ablegen von zumindest einem elektronischen Münzdatensatz (C_i, C_j, C_k, C_m, C₁) ist.

5. Das Gerät (M1) nach einem der vorhergehenden Ansprüche, wobei die Recheneinheit (13) weiter eingerichtet ist, um abhängig von einer Vorgabe für in dem Gerät (M1) abgelegte elektronische Münzdatensätze, insbesondere einem Schwellwert eines monetären Betrages (X) für in dem Gerät (M1) abgelegte elektronische Münzdatensätze und/oder einer Denominations vorgabe für in dem Gerät (M1) abgelegte elektronische Münzdatensätze, zur Einhaltung der Vorgabe zumindest einen elektronischen Münzdatensatz automatisch aus dem Gerät (M1) oder in das Gerät (M1) zu übertragen.

6. Das Gerät (M1) nach Anspruch 5, wobei die Recheneinheit (13) weiter eingerichtet ist, zur Einhaltung der Vorgabe

- den elektronischen Münzdatensatz aus dem Gerät in das Tresormodul oder aus dem Tresormodul in das Gerät zu übertragen; oder

- den elektronischen Münzdatensatz von einer Herausgeberinstanz (1) in das Gerät zu übertragen oder aus dem Gerät an die Herausgeberinstanz (1) zu übertragen.

7. Das Gerät (M1) nach einem der Ansprüche 4 bis 6, wobei

die Recheneinheit (13) eingerichtet ist elektronische Münzdatensätze mittels der Schnittstelle (12) mit anderen Geräten auszutauschen und nur mittels des Tresormoduls (14) elektronische Münzdatensätze mit der Herausgeberinstanz (1) austauscht, insbesondere empfängt oder zurückgibt; und/oder wobei die Herausgeberinstanz (1) elektronische Münzdatensätze nur an Tresormodule von Geräten ausgibt und/oder elektronische Münzdatensätze nur von Tresormodulen von Geräten zurücknimmt.

8. Das Gerät (M1) nach einem der vorhergehenden Ansprüche, weiter aufweisend ein Standorterkennungsmodul (15), eingerichtet zum Erkennen einer vordefinierten Standortzone, wobei die Recheneinheit (13) weiter eingerichtet ist, besondere Funktionen, wie beispielsweise ein vorgabenabhängiges automatisches Übertragen von elektronischen Münzdatensätzen, ein Austauschen von elektronischen Münzdatensätzen mit dem Tresormodul oder der Herausgeberinstanz, optional über das Tresormodul, oder ein Registrieren maskierter elektronischer Münzdatensätze, erst in der vordefinierten Standortzone auszuführen.

9. Das Gerät (M1) nach einem der vorhergehenden Ansprüche, wobei die Recheneinheit (13) weiter eingerichtet ist zum:

- Erkennen einer Differenz aus einem zu übertragenden monetären Betrag (Y) und einem monetären Betrags (X, u_i, u_j, u_k, u₁, u_m) des abgelegten elektronischen Münzdatensatzes (C_i, C_j, C_k, C_m, C₁);

- Anfragen eines elektronischen Münzdatensatzes (C_i) aufweisend einen monetären Betrag gleich der erkannten Differenz;

- Erhalten des angefragten elektronischen Münzdatensatzes.

10. Das Gerät (M1) nach Anspruch 9, wobei die Recheneinheit (13) weiter eingerichtet ist zum:

- Verbinden des erhaltenen elektronischen Münzdatensatzes mit dem abgelegten elektronischen Münzdatensatz (C_i, C_j, C_k, C_m, C₁) und Maskieren des zu verbindenden elektronischen Münzdatensatzes zum Registrieren bei der Überwachungsinstanz (2), und

- Übertragen des verbundenen elektronischen Münzdatensatzes, dessen monetärer Betrag dem zu übertragenden monetären Betrag entspricht; oder

- Übertragen des abgelegten und des erhaltenen elektronischen Münzdatensatzes, deren monetäre Beträge zusammen dem zu übertragenden monetären Betrag entsprechen, wobei der erhaltene elektronische Münzdatensatz optional zuvor umgeschaltet wird.

1 1. Das Gerät (M1) nach einem der vorhergehenden Ansprüche, wobei die Recheneinheit (13) weiter eingerichtet ist zum:

- Erkennen eines Überschusses aus einem erhaltenen monetären Betrag (Y) und einem Schwellwert eines monetären Betrages (X) für abgelegte elektronische Münzdatensätze (C_i, C_j, C_k, C_m, C₁); - Veranlassen eines Gutschreiben des Überschusses auf ein Bankkonto unter Aufteilen des elektronischen Münzdatensatzes (C_i, C_j, C_k, C_m, C₁) zum Erhalten eines ersten elektronischen Münzteildatensatz (C_i) und eines zweiten elektronischen Münzteildatensatzes (C_j) und Maskieren des ersten und zweiten Münzteildatensatzes zum Erhalten von maskierten ersten und zweiten elektronischen Münzdatensätzen (Z_i, Z_j) zum Registrieren bei der Überwachungsinstanz (2).

12. Das Gerät nach einem der vorhergehenden Ansprüche, weiter umfassend ein

Banknotenmodul (16), eingerichtet zum Eingeben und/oder Ausgeben von Banknoten.

13. Das Gerät nach Anspruch 12, wobei das Gerät (M1) ein Kassenterminal und/oder ein Automat ist und dazu eingerichtet ist, einen monetären Betrag in Teilen als Banknote mittels des Banknotemnoduls (16) auszugeben, und in Teilen als elektronischen Münzdatensatz mittels der Schnittstelle (12) auszugeben.

14. Das Gerät nach Anspruch 13, wobei der als elektronischer Münzdatensatz auszugebende Teil des monetären Betrags ein erster elektronischer Münzteildatensatz (C_j) eines aufgeteilten elektronischen Münzdatensatzes ist.

15. Das Gerät nach Anspruch 12, wobei das Gerät ein Kassenterminal und/oder ein Automat ist und dazu eingerichtet ist, einen monetären Betrag in Banknoten mittels des Banknotenmoduls (16) auszugeben, wobei das Gerät dazu einen monetären Teilbetrag des monetären Betrags in Form eines elektronischen Münzdatensatzes (C_i, C_j, C_k, C_m, C₁) von einem anderen Gerät erhält.

16. Das Gerät nach einem der vorhergehenden Ansprüche, weiter umfassend zumindest ein:

- ein Sicherheitselement-Lesegerät, eingerichtet zum Lesen eines Sicherheitselements; und/oder

- einen Zufallszahlengenerator; und/oder

- eine Schnittstelle zu einem Bankinstitut mit zu autorisierendem Zugriff auf ein Bankkonto.

17. Das Gerät (M1) nach einem der vorhergehenden Ansprüche, wobei der Datenspeicher (10) ein gemeinsamer Datenspeicher ist, auf den noch zumindest ein anderes Gerät (M3) zugreifen kann, wobei jedes der Geräte (M1, M3) eine Applikation aufweist, wobei diese Applikation eingerichtet ist, zum:

- Kommunizieren mit der Überwachungsinstanz (2) zum entsprechenden Registrieren von elektronischen Münzteildatensätzen.

18. Verfahren in einem Gerät gemäß einem der Ansprüche 1 bis 17, welches zumindest die Schritte des Zugreifen, Maskieren und Ausgeben umfasst.

19. Bezahlsystem zum Austausch von monetären Beträgen, wobei das Bezahlsystem umfasst:

- eine Überwachungsschicht (4) mit einer Datenbank - welche vorzugsweise eine dezentrale Datenbank (DLT) ist, in der maskierte elektronische Münzdatensätze (Z_i, Z_j, Z_k, Z_m, Z₁) abgelegt sind; und

- eine Direkttransaktionsschicht (3) mit zumindest einem Gerät (M1) nach einem der vorhergehenden Ansprüche 1 bis 17 und einem anderen Gerät (M2, M3), bevorzugt ebenfalls nach einem der vorhergehenden Ansprüche 1 bis 17.

20. Bezahlsystem nach Anspruch 19, wobei das Gerät ein Kassenterminal und/oder ein Automat nach einem der Ansprüche 12 bis 17 ist und das andere Gerät ein Endgerät eines Nutzers ist nach einem der Ansprüche 1 bis 11, 16 oder 17 ist.

20. Bezahlsystem nach Anspruch 19, ferner umfassend eine Herausgeberinstanz (1)

eingerichtet zum

- Erzeugen eines elektronischen Münzdatensatzes (C_i), wobei die Herausgeberinstanz (1) vorzugsweise einen maskierten erstellten elektronischen Münzdatensatz (Zi) mit einer

Signatur ([Zi]SigI) versieht und der Überwachungsinstanz (2) den maskierten erstellten elektronischen Münzdatensatz (Zi) und die Signatur ([Zi]SigI) sendet; und/oder

- Ausgeben eines elektronischen Münzdatensatzes (C_i) an das Gerät oder Zurücknehmen eines elektronischen Münzdatensatzes (C_i) von dem Gerät, insbesondere unter Lastschrift bzw. Gutschrift des monetären Betrages des ausgegebenen bzw. zurückgenommenen

elektronischen Münzdatensatzes auf ein Bankkonto des Gerätes.