EP4334872A1

EP4334872A1 - Verfahren zum registrieren eines elektronischen münzdatensatzes in einem münzregister; ein münzregister; eine teilnehmereinheit und ein computerprogrammprodukt

Info

Publication number: EP4334872A1
Application number: EP22725994.2A
Authority: EP
Inventors: Matthias Fasching
Original assignee: Giesecke and Devrient Advance52 GmbH
Current assignee: Giesecke and Devrient Advance52 GmbH
Priority date: 2021-05-03
Filing date: 2022-05-02
Publication date: 2024-03-13
Also published as: DE102021002329A1; WO2022233454A1; WO2022233454A8

Abstract

Die Erfindung betrifft ein Verfahren (400) zum Registrieren (104) eines elektronischen Münzdatensatzes (C) in einem Münzregister (2) eines elektronischen Bezahlsystems (BZ) mit den Verfahrensschritten: Erzeugen (405), durch eine erste Teilnehmereinheit (TE1) des Bezahlsystems (BZ), eines elektronischen Münzdatensatzes (Cj) aufweisend einen monetären Betrag (νj) und einen Verschleierungswert (rj), wobei der monetäre Betrag (vνj) des erzeugten elektronischen Münzdatensatzes (Cj) einem monetären Betrag (m) eines in der ersten Teilnehmereinheit (TE1) vorhandenen elektronischen Münzdatensatzes (Ci) entspricht; Maskieren (406), durch die erste Teilnehmereinheit (TE1), des erzeugten elektronischen Münzdatensatzes (Cj) durch Anwenden einer Einwegfunktion (f(C)) auf mindestens ein Datenelement des elektronischen Münzdatensatzes (Cj) zum Erhalten eines maskierten erzeugten elektronischen Münzdatensatzes (Zj); Senden einer Registrierungsaufforderung (407) für den maskierten erzeugten elektronischen Münzdatensatz (Zj) von der ersten Teilnehmereinheit (TE1) an das Münzregister (2) zusammen mit einer Zeitsicherung, wobei die Zeitsicherung eine Zeitdauer (T2) vorgibt, bis zu der eine zweite Teilnehmereinheit (TE2) des Bezahlsystems (BZ) den erzeugten elektronischen Münzdatensatz (Cj) im Münzregister (2) auf sich umzuschalten kann. Die Erfindung betrifft zudem ein Münzregister (2), ein Bezahlsystem (BZ), eine Teilnehmereinheit (TE) und ein Computerprogrammprodukt.

Description

VERFAHREN ZUM REGISTRIEREN EINES ELEKTRONISCHEN MÜNZDATENSATZES IN EINEM MÜNZREGISTER; EIN MÜNZREGISTER; EINE TEILNEHMEREINHEIT UND

EIN COMPUTERPROGRAMMPRODUKT

TECHNISCHES GEBIET DER ERFINDUNG

Die Erfindung betrifft ein Verfahren zum Registrieren eines elektronischen Münzdatensatzes in einem Münzregister eines elektronischen Bezahlsystems. Das Registrieren des elektronischen Münzdatensatzes ist bevorzugt ein Teil eines atomaren Austauschverfahrens. Dabei wird eine Austausch-Aufforderung gesendet, um einen elektronischen Münzdatensatz des Bezahlsystems, insbesondere eines CBDC-basierten Bezahlsystems gegen einen Datensatz aus einem anderen System als dem Bezahlsystem au szutau sehen. Die Erfindung betrifft zudem ein Münzregister, eine Teilnehmereinheit und ein Computerprogrammprodukt.

TECHNISCHER HINTERGRUND DER ERFINDUNG Schutz der Privatsphäre ist ein wichtiger Wert für die Gesellschaft, besonders wenn sehr sensible Daten, wie Zahlungsinformationen, betroffen sind. Sicherheit von Bezahltransaktionen und den dazugehörigen Bezahltransaktionsdaten bedeutet sowohl Schutz der Vertraulichkeit der ausgetauschten Daten; als auch Schutz der Integrität der ausgetauschten Daten; als auch Schutz der Verfügbarkeit der ausgetauschten Daten.

Für elektronische Münzdatensätze müssen dabei grundlegende Kontrollfunktionen, insbesondere (1) das Erkennen von Mehrfachausgabe- Verfahren, auch Double-Spending genannt, und (2) das Erkennen von ungedeckten Zahlungen nachgewiesen werden können. Im Fall (1) versucht jemand denselben Münzdatensatz mehrfach auszugeben und im Fall (2) versucht jemand einen Münzdatensatz auszugeben, obwohl er kein Guthaben (mehr) besitzt.

Zudem steigt durch die Vielzahl von Transaktionen eines elektronischen Münzdatensatzes und auch durch die fortschreitende Lebensdauer das Risiko, dass an dem elektronischen Münzdatensatz Manipulation(en) vorgenommen werden.

Es soll perspektivisch möglich sein, ganz auf Bargeld (Banknoten und analoge Münzen), zumindest aber auf analoge Münzen, zu verzichten.

In der US 5,872,844 A ist ein elektronisches Vermögens System beschrieben. Elektronische Vermögenswerte werden in dem System von einer Institution ausgegeben. Die elektronischen Vermögenswerte werden von einer Brieftasche des Zahlers auf eine Brieftasche des Zahlungsempfängers übertragen. Die Brieftasche des Zahlungsempfängers reicht die übertragenen Vermögenswerte routinemäßig für eine mögliche Prüfung ein. Ein Betrugserkennungssystem entnimmt Stichproben von den zur Prüfung eingereichten Vermögenswerten, um „schlechte“ Vermögenswerte aufzudecken, die in betrügerischer Weise verwendet wurden. Bei einer solchen Aufdeckung identifiziert das Betrugserkennungssystem die elektronische Brieftasche, die den schlechten Vermögenswert verwendet hat, und kennzeichnet sie als „schlechte Brieftasche“. Das Betrugserkennungssystem stellt eine Liste derartiger schlechter elektronischer Brieftaschen zusammen und verteilt die Liste, um andere Brieftaschen vor den schlechten elektronischen Brieftaschen zu warnen. Wenn eine schlechte Brieftasche anschließend versucht, Vermögenswerte auszugeben (ob in betrügerischer Absicht oder nicht), wird der beabsichtigte Empfänger die Liste der schlechten Brieftaschen überprüfen und sich weigern, Geschäfte mit der schlechten Brieftasche zu tätigen.

Dieses bekannte System ist nicht anonym, denn ein Teilnehmer generiert aus einer Identitätsnummer ein Pseudonym, das sowohl für die Bezahltransaktionen zum anderen Teilnehmer als auch bei der Generierung und Ausgabe der Vermögenswerte (=elektronische Münzdatensätze) von der Institution verwendet werden muss. Die ausgegebenen Vermögenswerte enthalten zudem zwingend eine Signaturkette, wodurch der Speicherbedarf des Vermögenswerts pro Bezahltransaktion größer wird, der elektronische Münzdatensatz also wächst. Brieftaschen, die nicht vertrauenswürdig sind, werden an dem System gar nicht zugelassen.

Ein beispielhaftes Bezahlsystem ist in den Patentanmeldungen WO 2020/212337 Al und WO 2020/212331 Al. Auf die darin beschrieben Ausgestaltungen, insbesondere das Modifizieren (Umschalten, Verbinden, Aufteilen) von elektronischen Münzdatensätzen, das Maskieren von elektronischen Münzdatensätzen, das Registrieren der maskierten elektronischen Münzdatensätze, das Prüfen derer Gültigkeit wird hierin Bezug genommen.

Mittlerweile gibt es eine Vielzahl von unterschiedlichen Plattformen und Architekturen, in den Transaktionen, beispielsweise Bezahltransaktionen (Kryptowährungssysteme) oder digitale Verträge (Smart Contracts), als Beispiele moderner Computerprotokolle durchgeführt werden können. Laut Informationen von der Website „coinmarketcap.com“ sind (Stand 5. Oktober 2020) 7300 Kryptowährungssysteme bekannt. Üblicherweise sind Benutzer gezwungen, Transaktionen innerhalb eines dieser in sich geschlossenen Systeme durchzuführen. Wenn Benutzer (Teilnehmereinheiten) Datensätze von unterschiedlichen Systemen austauschen wollen, muss eine dritte unabhängige Instanz, beispielsweise ein Trustcenter, zur Überwachung, Verifizierung und/oder Authentisierung der einzelnen Benutzer angerufen werden. Die Leistungen von derartigen dritten Instanzen sind nicht kostenfrei, sodass seit längerem der Wunsch besteht, Datensätze unterschiedlicher Systeme vereinfacht miteinander auszutauschen, ohne dabei eine systemunabhängige vertrauenswürdige Instanz zu verwenden. Ein Ansatz für systemübergreifende Transaktionen ohne dritte Instanz sind sogenannte atomare Austauschverfahren (englisch Atomic Swaps), bei denen eine Transaktion auf unterschiedlichen Systemen den wechselseitigen Austausch von Datensätzen nur vollständig oder gar nicht ermöglicht. Somit kann ein Fall, bei dem ein Benutzer seinen Datensatz bereits an einen anderen Benutzer übertragen hat, dieser andere Benutzer aber seinen Datensatz nicht zur Verfügung stellt, nicht auftreten.

Aus der Veröffentlichung „Atomic Cross-Chain Swaps“ von Maurice Herlihy der Brown University of Rhode Island aus dem Jahr 2018 ist es bekannt, atomare Austauschverfahren, englisch „atomic swaps“, durchzuführen, um Datensätze (zugangsbasierte Datensätze) verschiedener zugangsbasierter Systeme (hier Blockchain-Systeme) zwischen den Teilnehmereinheiten auszutauschen, ohne dass eine vermittelnde dritte Instanz, beispielsweise ein Trustcenter, verwendet wird. Zur Absicherung der auszutauschenden zugangsbasierten Datensätze werden Hash-Timelock Contracts, kurz HTLCs, eingesetzt, die eine Streu wertsicherung (Hashlock) basierend auf einem temporären Geheimnis (Urbild) und eine Zeitsicherung (Timelock) zur Absicherung des Datensatzes umfassen. Dieses Verfahren sieht nur den Austausch zugangsbasierter Datensätze unterschiedlicher zugangsbasierter Systeme vor. Ein Austausch auch mit nicht-zugangsbasierten Datensätzen, wie wertbasierten Datensätzen, beispielsweise den elektronischen Münzdatensätzen einer digitalen Zentralbankwährung (CBDC - Central Bank Digital Currency), ist zunächst nicht möglich, unter anderem da entsprechende Streu wert-Prüfungen zur Verifizierung und Entsicherung der HTLCs nicht in diesen wertbasierten Datensätzen abgebildet werden können.

Es ist daher die Aufgabe der vorliegenden Erfindung, ein Verfahren und ein Bezahlsystem zu schaffen, in denen eine Bezahltransaktion zwischen Teilnehmern eines öffentlichen Bezahlsystems sicher, flexibel und einfach ausgestaltet ist. Dabei soll insbesondere eine direkte und anonyme Bezahlung zwischen den Teilnehmern des Bezahlsystems geschaffen werden. Die ausgetauschten elektronischen Münzdatensätze sollen vertraulich gegenüber anderen Systemteilnehmem sein, aber jedem Systemteilnehmer erlauben, grundlegende Prüfungen an dem elektronischen Münzdatensatz durchzuführen, nämlich (1) das Erkennen von Mehrfach - Ausgabe-Versuchen; (2) das Erkennen von Versuchen mit nicht vorhandenen monetären Beträgen zu zahlen und (3) das Erkennen von Rückgabekriterien für bereits ausgegebene Münzdatensätze, beispielsweise dass ein elektronischer Münzdatensatz verfallen soll.

Es ist eine Aufgabe der vorliegenden Erfindung, Datensätze unterschiedlicher Transaktions Systeme atomar auszutauschen, ohne eine dritte Instanz, wie ein Trustcenter, zu verwenden. Dabei soll es möglich sein, wertbasierte Datensätze eines ersten wertbasierten Systems auch mit zugangsbasierten Datensätzen eines vom ersten System verschiedenen zweiten Systems au szutau sehen. ZUSAMMENFASSUNG DER ERFINDUNG

Die gestellten Aufgaben werden mit den Merkmalen der unabhängigen Patentansprüche gelöst. Weitere vorteilhafte Ausgestaltungen sind in den abhängigen Patentansprüchen beschrieben.

Die Aufgabe wird mit einem Verfahren zum Registrieren eines elektronischen Münzdatensatzes in einem Münzregister eines elektronischen Bezahlsystems gelöst. Das Verfahren umfasst die folgenden Verfahrensschritten:

Erzeugen, durch eine erste Teilnehmereinheit des Bezahlsystems, eines elektronischen Münzdatensatzes aufweisend einen monetären Betrag und einen Verschleierungswert, wobei der monetäre Betrag des erzeugten elektronischen Münzdatensatzes einem monetären Betrag eines bereits in der ersten Teilnehmereinheit vorhandenen elektronischen Münzdatensatzes entspricht. Mit diesem Erzeugen wird ein neuer Münzdatensatz geschaffen, der den geforderten monetären Betrag umfasst. Das Erzeugen auf Basis eines bereits vorhandenen Münzdatensatzes stellt sicher, dass kein neues Geld generiert wird, sondern der bestehende Datensatz lediglich umgemünzt (also auf eine andere Teilnehmereinheit umgeschaltet) wird.

Maskieren, durch die erste Teilnehmereinheit, des erzeugten elektronischen Münzdatensatzes durch Anwenden einer, beispielsweise homomorphen, Einwegfunktion auf mindestens ein Datenelement des elektronischen Münzdatensatzes zum Erhalten eines maskierten erzeugten elektronischen Münzdatensatzes.

Senden einer Registrierungsaufforderung für den maskierten erzeugten elektronischen Münzdatensatz von der ersten Teilnehmereinheit an das Münzregister zusammen mit einer Zeitsicherung, wobei die Zeitsicherung (=timelock) eine Zeitdauer vorgibt, bis zu der eine zweite Teilnehmereinheit des Bezahlsystems den erzeugten elektronischen Münzdatensatz im Münzregister auf sich umzuschalten kann. Im Ergebnis dieses Schrittes erhält das Münzregister eine zeitgesicherte maskierte elektronische Münze, die (nur) binnen der Zeitdauer umschaltbar ist. Erfolgt keine Umschaltung binnen dieser Zeit, wird der Urzustand wiederhergestellt, d.h. die Umschaltung auf die zweite Teilnehmereinheit schlägt fehl. Dieser Urzustand kann automatisch mit Zeitdauerablauf erfolgen - wie nachfolgend noch beschrieben wird - oder er kann durch eine Umschalt-Modifikation durch die erste Teilnehmereinheit erzwungen werden. Das Grundprinzip eines Umschaltens als Modifikation eines elektronischen Münzdatensatzes ist bereits in den Patentanmeldungen WO 2020/212337 Al und WO 2020/212331 Al ausreichend beschrieben und es wird darauf Bezug genommen.

Damit wird in einem wertbasierten Bezahlsystem, bei dem insbesondere elektronische Münzdatensätze einer CBDC ausgetauscht werden, eine Möglichkeit geschaffen, zeitgesicherte Registrierungen im Münzregister vorzunehmen. Es ist einem Teilnehmer am Bezahlsystem nur binnen dieser definierten Zeitdauer technisch möglich, den elektronischen Münzdatensatz auf sich umzuschalten, umgangssprachlich auch als „ummünzen“ bezeichnet.

Das Maskieren mit einer homomorphen Einwegfunktion ist in den Patentanmeldungen WO 2020/212337 Al und WO 2020/212331 Al ausreichend beschrieben und es wird darauf Bezug genommen. Der Verschleierungswert kann ein Verschleierungsbetrag sein, wobei die Einwegfunktion zumindest auf den Geldbetrag, vorzugsweise auf den Geldbetrag und den Verschleierungsbetrag, angewendet wird. Das Ergebnis der Anwendung der Einwegfunktion bildet vorzugsweise den maskierten elektronischen Münzdatensatz. Die Einwegfunktion wird insbesondere auf die beiden genannten (bzw. alle) Datenelemente des elektronischen Münzdatensatzes angewandt. Alternativ kann in dem Schritt des Maskierens aus dem Verschleierungswert ein maskierter Verschleierungswert erzeugt werden, wobei der maskierte elektronische Münzdatensatz den Geldbetrag und den maskierten Verschleierungswert als Datenelemente umfasst.

Atomare Tauschgeschäfte erfordern, dass zwei Teilnehmereinheiten den Erhalt von Datensätzen innerhalb eines bestimmten Zeitrahmens bestätigen. Wenn eine der Teilnehmereinheiten die Transaktion nicht innerhalb der Zeitdauer bestätigt, wird die gesamte Transaktion für ungültig erklärt, und es werden keine Datensätze ausgetauscht. Damit verhindert man ein Szenario, in dem eine Teilnehmereinheit einen Datensatz erhält, dann aber zum Versenden des eigenen Datensatzes neu verhandeln möchte und ggf. beide Datensätze besitzt.

Der Begriff atomar bzw. "atomic" bezieht sich auf die Tatsache, dass dieses Tauschgeschäft entweder vollständig stattfindet oder gar nicht stattfinden. Wenn eine der Teilnehmereinheiten aufgibt oder nicht (zeitgerecht) tut, was von ihr gemäß dem Computerprotokoll verlangt wird, schlägt das Tauschgeschäft fehl und die Datensätze werden wieder automatisch an ihre bisherigen Eigentümer (Teilnehmereinheiten) zurückgegeben, es wird ein Urzustand wiederhergestellt, also ein Zustand als wäre das Tauschgeschäft nie begonnen worden.

Eine Zeitdauer ist dabei eine Zeitspanne zwischen dem Senden der Registrierungsanforderung und dem gewünschten Ende der Möglichkeit der anderen Teilnehmereinheit, den Datensatz in Besitz zu nehmen. Das Ende der Zeitspanne liegt ausgehend vom Sendezeitpunkt in der Zukunft und beträgt bevorzugt einige Tage, beispielsweise 3 Tage.

Das hier beschriebene Registrieren- Verfahren kann ein Teil eines atomaren Austauschverfahrens sein. Es stellt den Kern, nämlich das für einen „Atomic Swap“ notwendige Registrierungsvorgang beim Münzregister eines zum Austausch von wertbasierten Münzdatensätzen (wie CBDC-Münzdatensätzen) vorgesehenen Bezahlsystems zur Verfügung. Eine Zeitsicherung, auch als „Timelock“ oder „Zeitschloss“ oder „Zeitblockade“ bezeichnet, ist bevorzugt ein kryptographisches Primitiv. Diese Zeitsicherung definiert eine Zeitspanne, binnen der die erste Teilnehmereinheit den elektronischen Münzdatensatz nicht auf sich registrieren lassen kann und/oder eine Zeitspanne, binnen der die zweite Teilnehmereinheit den elektronischen Münzdatensatz auf sich registrieren lassen kann. Dieser Timelock ist demnach eine Funktion, die sicherstellt, dass elektronische Münzdatensatz nur innerhalb eines vorgegebenen Zeitraums ihren Besitzer wechseln können, also umgeschaltet (umgemünzt) werden kann. Erst nach Ablauf dieser Zeitspanne, kann die erste Teilnehmereinheit den elektronischen Münzdatensatz auf sich (zurück-)registrieren lassen, also „(zurück-)umschalten“. Diese Zeitsicherungen können Teil von Hash-Timelock-Contracts, HTLC, sein. Sie können auch verwendet werden, um das Registrieren des erzeugten elektronischen Münzdatensatzes für den mit der Zeitspanne definierten Zeitraum zu blockieren. Diese Zeitsicherung bildete einen eindeutigen Willen der ersten Teilnehmereinheit ab, den erzeugten elektronischen Münzdatensatz an eine zweite Teilnehmereinheit zu übertragen.

Die Registrierungsaufforderung kann eine Austausch-Aufforderung (SWAP-Befehl) sein, um den erzeugten elektronischen Münzdatensatz von der ersten Teilnehmereinheit gegen einen Datensatz aus einem anderen System als dem Bezahlsystem von der zweiten Teilnehmereinheit au szutau sehen. Ein anderes System ist beispielsweise ein anderes System zum Austausch von Datensätzen (wertbasiert oder zugangsbasiert), bevorzugt ist es ein zugangsbasiertes System, in dem beispielsweise Kryptowährungen oder Smart Contracts im Rahmen von Blockchain- Transaktionen ausgetauscht werden. Der Datensatz dieses Systems ist bevorzugt ein Blockchain-basierter Datensatz, also ein zugangsbasierter Datensatz. Diese Datensätze zeichnen sich dadurch aus, dass sie selbst keine monetären Daten (wie Beträge etc.) beinhalten, sondern nur Zugangsdaten bereitstellen, um auf diese monetären Daten - beispielsweise einer Blockchain oder eines Netzwerkdatenspeichers - zugreifen zu können. Es ist nicht ausgeschlossen, dass das andere System auch ein System zum Austausch wertbasierter Datensätze oder ein System zum Austausch zugangsbasierter Datensätze ist. Entscheidend ist, dass der Datensatz in einer vom vorliegenden Bezahlsystem verschiedenen Architektur oder Plattform als System übertragen wird.

Mit Austausch ist eine wechselseitige Übergabe von Werten, wie monetären Beträgen oder Verhandlungsgegenständen (für Smart Contracts), gemeint.

Die erste Teilnehmereinheit kann den erzeugten elektronischen Münzdatensatz direkt an die zweite Teilnehmereinheit übertragen, wenn die erste Teilnehmereinheit eine Registrierungsbestätigung von dem Münzregister erhalten hat. Mit der Registrierungsbestätigung zeigt das Münzregister der ersten Teilnehmereinheit an, dass eine Verifizierung der Registrierungsaufforderung erfolgreich war, insbesondere, dass der elektronische Münzdatensatz zeitgesichert im Münzregister registriert ist.

Vor dem Senden der Registrierungsbestätigung an die erste Teilnehmereinheit kann das Münzregister bevorzugt verifizieren, dass der maskierte erzeugte elektronische Münzdatensatz noch nicht im Münzregister registriert ist und dass das Münzregister den maskierten erzeugten Münzdatensatz abgesichert registriert, wobei die Zeitsicherung automatisch aufgehoben ist, wenn die Zeitdauer abgelaufen ist. Zudem kann das Münzregister noch Wertebereichsnachweise prüfen, um sicherzustellen, dass kein neues Geld generiert wurde. Zudem kann das Münzregister verifizieren, dass das Ende der Zeitdauer in der Zukunft liegt. Zudem kann das Münzregister verifizieren, dass der erhaltene Münzdatensatz, auf dessen Basis der erzeugte Münzdatensatz erzeugt wurde, gültig ist und im Münzregister - idealerweise auf die erste Teilnehmereinheit - registriert ist.

Bevorzugt wird mit der Registrierungsaufforderung gleich eine verzögerte Umschaltaufforderung von der ersten Teilnehmereinheit an das Münzregister übertragen aufgrund derer das Münzregister den maskierten erzeugten Münzdatensatz automatisch auf die erste Teilnehmereinheit umschaltet, wenn das Münzregister feststellt, dass die Zeitdauer abgelaufen ist. Damit sind keine weiteren Schritte durch die erste Teilnehmereinheit erforderlich, um bei misslungenem Austauschverfahren den Urzustand wiederherzu stellen.

Alternativ wird die Registrierungsaufforderung als eine verzögerte Umschaltaufforderung im Münzregister uminterpretiert, wenn das Münzregister feststellt, dass die Zeitdauer abgelaufen ist, woraufhin das Münzregister den maskierten erzeugten Münzdatensatz automatisch auf die erste Teilnehmereinheit (zurück-) umschaltet.

Das Feststellen von Zeitdauer-Enden im Münzregister kann über elektronische Zähler oder Timer realisiert werden.

In beiden soeben genannten Alternativen verringert die verzögerte Umschaltaufforderung den Systemaufwand, denn es kann auf die Erzeugung und Registrierung eines weiteren maskierten Münzdatensatzes verzichtet werden.

Bevorzugt empfängt die erste Teilnehmereinheit vor dem Senden der Registrier-Aufforderung einen Streuwert aus einem Datensatzes des anderen Systems. Bevorzugt ist der Streuwert aus dem Datensatz des anderen Systems. Der maskierte erzeugte elektronische Münzdatensatz wird durch die erste Teilnehmereinheit (nun auch) mit dem Streuwert streuwertgesichert, sodass das Münzregister den maskierten erzeugten Münzdatensatz streuwertgesichert registriert. Auf diese Weise wird mit der Registrierungsaufforderung nicht nur ein Timelock (=eine Zeitsicherung), sondern auch ein Hashlock (=eine Streuwertsicherung) vorgenommen. Die zweite Teilnehmereinheit, die den erzeugten elektronischen Münzdatensatz auf sich „ummünzen“ (= umschalten) möchte, muss diesen willen nun innerhalb der Zeitdauer dem Münzregister 2 anzeigen und die zweite Teilnehmereinheit muss den Urbild-Datensatzes (die Basis) des Streuwerts dem Münzregister offenlegen, bevor ein Umschalten des erzeugten elektronischen Münzdatensatzes von der ersten Teilnehmereinheit auf die zweite Teilnehmereinheit erfolgreich vom Münzregister registriert (durchgeführt) werden kann.

Eine Streuwertsicherung ist eine Sicherung (bzw. Blockade) des Münzdatensatzes, die nur aufgehoben werden kann, wenn der Urbild-Datensatz (=ein „pre-image“, ein (temporäres) Geheimnis) mit dem der Streuwert erzeugt wurde, offengelegt wird. Mit dem Offenlegen des Urbild-Datensatzes kann die Streuwertsicherung entsichert werden. Der Hashlock verhindert im anderen System, dass der Datensatz von der ersten Teilnehmereinheit eingelöst werden kann, es sei denn, es wird der Urbild-Datensatz preisgegeben. Der Hashlock verhindert im Bezahlsystem, dass der erzeugte elektronische Münzdatensatz auf die zweite Teilnehmereinheit umgeschaltet werden kann, wenn diese nicht im Besitz des Urbild-Datensatzes ist oder wenn diese den Urbild-Datensatz nicht offenlegt.

Diese Streuwertsicherung kann nun mit der Zeitsicherung kombiniert werden. Diese doppelte Sicherung kann mit Hash Timelock Contract, kurz HTLC genannt, technisch realisiert werden. Ein HTLC ist ein Computerprotokoll-Teil und basiert auf zwei Schlüsselfunktionen: einem „Hashlock“ und einem „Timelock“. Folglich macht die Verwendung von HTLCs die Notwendigkeit von Vertrauen überflüssig, da sie ein spezifisches Regelwerk definieren, das verhindert, dass „atomic swaps“ nur teilweise ausgeführt werden.

Bevorzugt empfängt die erste Teilnehmereinheit vor dem Senden der Registrierungsaufforderung eine Zeitdauer aus dem Datensatz des anderen Systems, wobei die Zeitdauer aus dem Datensatz eine Zeitdauer vorgibt, bis zu der die erste Teilnehmereinheit den Datensatz aus dem anderem System als dem Bezahlsystem für sich einlösen kann. Damit hat die zweite Teilnehmereinheit den Datensatz des anderen Systems zeitlich gesichert und mit Ablauf dieser Zeitdauer, kann die zweite Teilnehmereinheit diesen Datensatz wieder für sich einlösen.

Bevorzugt wählt die erste Teilnehmereinheit die Zeitdauer für die Registrierungsaufforderung derart, dass sie vor dem Ablauf der Zeitdauer aus dem Datensatz abläuft, wobei bevorzugt die Zeitdauer der Registrierungsaufforderung ungefähr die Hälfte der Zeitdauer zwischen Empfang der Zeitdauer aus dem Datensatz und dem Ablauf der Zeitdauer aus dem Datensatz ist. Dies setzt voraus, dass die Zeitdauer aus dem Datensatz ebenfalls in der Zukunft liegt, also noch nicht zum Zeitpunkt des Empfangs bei der ersten Teilnehmereinheit bereits abgelaufen ist. Dies ist sinnvoll, wenn zunächst die Gültigkeit für den elektronischen Münzdatensatz zu prüfen ist, bevor der Datensatz bei der ersten Teilnehmereinheit empfangen werden kann.

Die zweite Teilnehmereinheit empfängt bevorzugt den erzeugten elektronischen Münzdatensatz direkt von der ersten Teilnehmereinheit, wobei die zweite Teilnehmereinheit prüft, ob der maskierte erzeugte elektronische Münzdatensatz im Münzregister mit dem Streuwert streuwertgesichert ist. Nach dem Empfangen prüft die zweite Teilnehmereinheit bevorzugt, ob die Höhe des monetären Betrags im empfangenen erzeugten elektronischen Münzdatensatz den ausgehandelten Bedingungen entspricht.

Das Verfahren umfasst bevorzugt die weiteren Schritte: Erzeugen, durch die zweite Teilnehmereinheit, eines elektronischen Münzdatensatzes aufweisend den monetären Betrag und einen Verschleierungsbetrag, wobei der monetäre Betrag des erzeugten elektronischen Münzdatensatzes dem monetären Betrag des von der der ersten Teilnehmereinheit empfangenen elektronischen Münzdatensatzes entspricht; Maskieren, durch die zweite Teilnehmereinheit, des erzeugten elektronischen Münzdatensatzes durch Anwenden der homomorphen Einwegfunktion auf den elektronischen Münzdatensatz zum Erhalten des maskierten erzeugten elektronischen Münzdatensatzes; Senden einer Umschalten- Aufforderung (hier auch ,,Redeem“-Befehl) für den maskierten erzeugten elektronischen Münzdatensatz von der zweiten Teilnehmereinheit an das Münzregister zusammen mit einem Urbild-Datensatz, wobei der Urbild-Datensatz auch die Basis für den Streuwert in dem Datensatz aus dem anderem als dem Bezahlsystem ist, wobei das Senden innerhalb der Zeitdauer der Zeitsicherung erfolgt.

Der Urbild-Datensatz ist ein Geheimnis der zweiten Teilnehmereinheit, auf das eine Streu wertfunktion angewendet wird, um den o.g. Streuwert zum Sichern des Datensatzes des anderen Systems zu erhalten. Das Geheimnis muss im Lauf des atomaren Austauschverfahrens an die erste Teilnehmereinheit übermittelt werden. Wenn die zweite Teilnehmereinheit den erhaltenen elektronischen Münzdatensatz von der ersten Teilnehmereinheit für korrekt befindet und diesen nun auf sich umschalten möchte (was durch das Erzeugen eines neuen Münzdatensatzes, dem Maskieren und der Registeraufforderung erfolgen kann) muss es im Gegenzug den Urbild-Datensatz veröffentlichen, damit die erste Teilnehmereinheit den Datensatz auf sich einlösen kann.

Bevorzugt registriert das Münzregister den maskierten erzeugten elektronischen Münzdatensatz der zweiten Teilnehmereinheit auf die zweite Teilnehmereinheit, wenn ein Streu wert über den Urbild-Datensatz mit dem mit dem Streuwert streuwertgesicherten maskierten elektronischen Münzdatensatz des Münzregisters übereinstimmt und wenn die Zeitdauer der Zeitsicherung des maskierten erzeugten elektronischen Münzdatensatzes noch nicht abgelaufen ist. In diesem Zusammenhang wird der maskierte erzeugte elektronische Münzdatensatz der ersten Teilnehmereinheit ungültig. Die Übertragung des elektronischen Münzdatensatzes von der ersten Teilnehmereinheit an die zweite Teilnehmereinheit ist damit erfolgreich beendet.

Damit nun auch die erste Teilnehmereinheit den Datensatz auf sich einlösen kann, fragt sie den Urbild-Datensatz (der veröffentlicht im Münzregister abrufbar abgelegt ist) von dem Münzregister ab. Mit dem Urbild-Datensatz kann die erste Teilnehmereinheit den Datensatz von dem anderen System auf sich einlösen.

Das Senden der Registrierungsaufforderung kann eine Mehrzahl von maskierten erzeugten elektronischen Münzdatensatz von der ersten Teilnehmereinheit umfassen, wobei für jede der maskierten erzeugten elektronischen Münzdatensatz die gleiche Zeitsicherung, bevorzugt auch der gleiche Streuwert aus einem Datensatz aus einem anderen System als dem Bezahlsystem, verwendet wird.

Bevorzugt registriert das Münzregister jeden maskierten elektronischen Münzdatensatz als einen Registerdatensatz.

Vor dem Erzeugen-Schritt werden bevorzugt die folgenden Schritte durchgeführt: Empfangen des elektronischen Münzdatensatzes von einer Herausgeberinstanz und/oder einer anderen Teilnehmereinheit; und Abfragen eines Registerdatensatzes zu dem empfangenen elektronischen Münzdatensatz bei dem Münzregister. Damit stellt die erste Teilnehmereinheit sicher, dass der zu übertragende Münzdatensatz vorhanden und gültig ist.

Erst bei Vorhandensein eines Registerdatensatzes zu diesem elektronischen Münzdatensatz wird das Verfahren gemäß der vorhergehenden Art durchgeführt. Somit wird es eine Systemvoraussetzung, dass für einen atomaren Austausch der Registerdatensatz vorhanden sein muss.

Die Zeitdauer in der Registrierungsanfrage beträgt bevorzugt nur einige Tage, bevorzugt 3 Tage, wobei die Zeitdauer in dem Datensatz, bevorzugt 7 Tage, beträgt. Dies sind für ausreichend angenommene Zeitspannen, um die atomare Austauschprozedur durchführen zu können.

Der Streuwert kann mittels einer Streuwertfunktion in der zweiten Teilnehmereinheit errechnet werden, wobei als Basis ein geheimer Urbild-Datensatz in der zweiten Teilnehmereinheit generiert wurde.

Als Streuwertfunktion können vorliegend verschiedene Funktionen verwendet werden. Vorzugsweise wird eine Streuwertfunktion gewählt, die in beiden Systemen (zugangsbasiert/nicht- zugangsbasiert) bereits verfügbar ist. Neben den beispielhaft verwendeten Streu Wertfunktionen vom Typ SHA2, insbesondere SHA256, können grundsätzlich auch andere verbreitete Streuwertfunktionen, wie nur beispielsweise SHA3, RIPEMD-160, MD5 oder Haval verwendet werden.

In einem weiteren Aspekt wird die Aufgabe durch ein Münzregister zum Registrieren von Registerdatensätzen, insbesondere von maskierten elektronischen Münzdatensätzen, in einem elektronischen Bezahlsystem gelöst. Das Münzregister umfasst eine Datenschnittstelle, eingerichtet zum Empfangen von Registrieranforderungen und zum Senden von Registerstatus bezüglich Registerdatensätzen des Bezahlsystems gemäß der vorhergehend beschriebenen Art.

Bevorzugt ist das Münzregister eingerichtet zum Empfangen eines Urbild-Datensatzes von einer Teilnehmereinheit; Anwenden einer Streuwertfunktion auf den Urbild-Datensatz zum Erzeugen eines Streuwerts; Vergleichen des erzeugten Streuwerts mit einem zuvor empfangenen Streuwerts; und Registrieren eines mittels dem Streuwert gesicherten Registerdatensatz in dem Münzregister.

Das Münzregister weist bevorzugt weiter eine Prüfeinheit zum Prüfen der Gültigkeit von den Registerdatensätzen entsprechenden elektronischen Münzdatensätzen auf.

In einem weiteren Aspekt ist ein Bezahlsystem zum Bezahlen mit elektronischen Münzdatensätzen vorgesehen. Das Bezahlsystem umfasst ein Münzregister, eingerichtet zum Registrieren der erzeugten elektronischen Münzdatensätze gemäß der vorhergehend beschriebenen Art und Teilnehmereinheiten, die eingerichtet sind zum Ausführen von Bezahltransaktionen durch Übertragen der elektronischen Münzdatensätze und zum Senden von Status- und/oder Registrierungsanforderungen betreffend die elektronischen Münzdatensätze gemäß der vorhergehend beschriebenen und Ausführen von Transaktionen durch Übertragen von Datensätzen in einem anderen System als dem Bezahlsystem gemäß einem der vorhergehenden Verfahrensansprüche.

Das Münzregister des Bezahlsystems ist bevorzugt eingerichtet zum Registrieren des elektronischen Münzdatensatzes als ein Teil eines atomaren Austauschverfahrens, wobei eine Registrierungsaufforderung eine Austausch-Aufforderung ist, um den erzeugten elektronischen Münzdatensatz von der ersten Teilnehmereinheit gegen einen Datensatz aus einem anderen System als dem Bezahlsystem von der zweiten Teilnehmereinheit auszutauschen. In einem weiteren Aspekt ist eine Teilnehmereinheit vorgesehen.

Diese Teilnehmereinheit ist eingerichtet zum direkten Übertragen von elektronischen Münzdatensätzen an eine andere Teilnehmereinheit in einem elektronischen Bezahlsystem und eingerichtet zum Ausführen von Bezahltransaktionen durch Übertragen von elektronischen Münzdatensätzen und zum Senden von Status- und/oder Registrierungsanforderungen betreffend die elektronischen Münzdatensätzen an ein Münzregister. Die Teilnehmereinheit weist auf ein Mittel zum Zugreifen auf einen Datenspeicher, wobei im Datenspeicher zumindest ein elektronischer Münzdatensatz abgelegt ist; eine Schnittstelle zum Ausgeben des zumindest einen elektronischen Münzdatensatzes an die andere Teilnehmereinheit zum Übertragen von Status- und/oder Registeranforderungen betreffend die elektronischen Münzdatensätzen an das Münzregister und eine Recheneinheit, eingerichtet zum Ausführen der Verfahrensschritte des vorhergehend beschriebenen Verfahrens.

In einem Aspekt ist ein Computerprogramprodukt ausführbar installiert in einer Teilnehmereinheit und weist Mittel zum Ausführen der Verfahrens schritte des Verfahrens auf.

In dem vorangegangen beschriebenen Verfahren wurde von der ersten Teilnehmereinheit nur ein elektronischer Münzdatensatz erzeugt, dieser mit Zeitdauer und Hashwert im Rahmen eines HTLC im Münzregister gesichert. Wird - aus welchen Gründen auch immer - nicht umgeschalteten (=umgemünzt), so erfolgt ein automatisches Umschalten auf die erste Teilnehmereinheit. In einem alternativen Ansatz können zwei elektronische Münzdatensätze erzeugt werden, einer der entsichert wird, wenn die Zeitspanne der Registeraufforderung abgelaufen ist und ein weiterer elektronischer Münzdatensatz, der entsichert wird, wenn der Urbild-Datensatz von der zweiten Teilnehmereinheit veröffentlicht wird. Damit werden die Prozeduren im Münzregister weniger komplex und können mit einfachen Rechenoperationen durchgeführt werden. Dazu wird in der Figurenbeschreibung der Fig. 10 und Fig. 11 näher ausgeführt werden.

Ein elektronischer Münzdatensatz ist insbesondere ein elektronischer Datensatz, der einen geldwerten (=monetären) Betrag repräsentiert und umgangssprachlich auch als „digitale Münze” oder „elektronische Münze”, englisch „digital/electronic coin“ bezeichnet wird. Der elektronische Münzdatensatz wird in der Regel von einer Zentralbank herausgegeben. Der elektronische Münzdatensatz kann als elektronischer Münzdatensatz einer digitalen Zentralbankwährung (CBDC) bezeichnet werden. Dieser geldwerte Betrag kann bei dem Verfahren von einem ersten Endgerät zu einem anderen Endgerät wechseln. Als ein geldwerter Betrag (Vermögenwert) wird im Folgenden ein digitaler Betrag verstanden, der z.B. auf einem Konto eines Geldinstituts gutgeschrieben werden kann, oder gegen ein anderes Zahlungsmittel getauscht werden kann. Ein elektronischer Münzdatensatz repräsentiert also Bargeld in elektronischer Form.

Ein elektronischer Münzdatensatz zum Übertragen von geldwerten Beträgen unterscheidet sich wesentlich von dem elektronischen Datensatz zum Datenaustausch oder Datentransfer, beispielsweise einem Registerdatensatz, da eine klassische Datentransaktion auf Basis eines Frage- Antwort-Prinzips bzw. auf einer Interkommunikation zwischen den Datentransferpartnern, beispielsweise der Teilnehmereinheit und einem Münzregister (hier teils auch als Überwachungsinstanz, Überwachungsregister, Transaktionsregister, Verifier bezeichnet) stattfindet. Dabei können im Rahmen von Authentifizierungen, Identifizierungs- bzw. Kennungsdaten ausgetauscht werden, die Rückschlüsse auf eine Teilnehmerkennung und/oder eine Identifizierungsnummer einer natürlichen Person als Nutzer (Teilnehmer) des Bezahlsystems liefern können. Damit ist ein anonymes Bezahlen nicht möglich. Ein elektronischer Münzdatensatz ist dementgegen anonym, einmalig, eindeutig und steht im Kontext eines Sicherheitskonzepts. In einem elektronischen Münzdatensatz sind prinzipiell alle Datenelemente enthalten, die für eine empfangende Instanz benötigt werden, um den zu übertragenden geldwerten Betrag zu erhalten. Im Unterschied zum Kopieren von elektronischen Datensätzen, also der Vervielfältigung digitaler Daten, sollte ein gültiger elektronischer Münzdatensatz nur ein einziges Mal im Bezahlsystem existieren. Diese Systemvoraussetzung ist insbesondere beim Übertragen von elektronischen Münzdatensätzen zu beachten.

Ein elektronischer Münzdatensatz kann dabei in einer Vielzahl von unterschiedlichen Erscheinungsformen vorliegen und damit über verschiedene Kommunikationskanäle, Kommunikationsprotokolle, Kommunikations schichten nachfolgend als Schnittstellen zusammengefasst, ausgetauscht werden. Ein sehr flexibler Austausch von elektronischen Münzdatensätzen ist damit geschaffen.

Der elektronische Münzdatensatz ist beispielsweise in Form einer Datei darstellbar. Eine Datei besteht dabei aus inhaltlich zusammengehörigen Daten, die auf einem Datenträger, Datenspeicher oder Speichermedium gespeichert sind. Jede Datei ist zunächst eine eindimensionale Aneinanderreihung von Bits, die normalerweise in Byte-Blöcken zusammengefasst interpretiert werden. Ein Anwendungsprogramm (Applikation) oder ein Betriebssystem eines Sicherheitselements und/oder einer Teilnehmereinheit interpretiert diese Bit- oder Bytefolge beispielsweise als einen Text, ein Bild oder eine Tonaufzeichnung. Das dabei verwendete Dateiformat kann unterschiedlich sein, beispielsweise kann es eine reine Textdatei sein, die den elektronischen Münzdatensatz repräsentiert. Dabei werden insbesondere der monetäre Betrag und eine blinde Signatur als Datei abgebildet.

Der elektronische Münzdatensatz ist beispielsweise eine Folge von American Standard Code for Information Interchange, kurz ASCII, Zeichen. Dabei werden insbesondere der monetäre Betrag und eine blinde Signatur als diese Folge abgebildet.

Der elektronische Münzdatensatz kann in einer Teilnehmereinheit auch von einer Darstellungsform in eine andere Darstellungsform umgewandelt werden. So kann beispielsweise der elektronische Münzdatensatz als QR-Code in einer Teilnehmereinheit erfasst werden und als Datei oder Zeichenfolge von der Teilnehmereinheit ausgegeben werden.

Diese unterschiedlichen Darstellungsformen von ein und demselben elektronischen Münzdatensatz ermöglichen einen sehr flexiblen Austausch zwischen Teilnehmereinheiten bzw. Sicherheitselementen unterschiedlicher technischer Ausrüstung unter Verwendung unterschiedlicher Übertragungsmedien (Luft, Papier, drahtgebunden) und unter Berücksichtigung technischer Ausgestaltung von Teilnehmereinheit(en). Die Wahl der Darstellungsform der elektronischen Münzdatensätze erfolgt bevorzugt automatisch, beispielsweise aufgrund erkannter oder ausgehandelter Übertragungsmedien und Gerätekomponenten. Zusätzlich kann auch ein Benutzer einer Teilnehmereinheit die Darstellungsform zum Austausch (=Übertragen) eines elektronischen Münzdatensatzes wählen.

In einer vorteilhaften Ausgestaltung weist der elektronische Münzdatensatz als Datenelement einen monetären Betrag, also ein Datum, das einen Geldwert des elektronischen Münzdatensatzes darstellt, und als Datenelement einen Verschleierungsbetrag, beispielsweise eine Zufallszahl, auf. Der Verschleierungsbetrag ist dem Münzregister nicht bekannt. Der Verschleierungsbetrag ist - außer in der ersten Schicht (Direkttransaktionsschicht) - ein geheimes Datenelement. Ein elektronischer Münzdatensatz wird durch diese wenigstens zwei Datenelemente (monetärer Betrag, Verschleierungsbetrag) eindeutig repräsentiert. Jeder, der Zugriff auf diese Datenelemente eines elektronischen Münzdatensatzes hat, kann diesen elektronischen Münzdatensatz zum Bezahlen in einer Bezahltransaktion verwenden. Die Kenntnis dieser zwei Datenelemente (monetärer Betrag, Verschleierungsbetrag) ist also gleichbedeutend mit dem Besitz des digitalen Geldes. Dieser elektronische Münzdatensatz kann zwischen zwei Teilnehmereinheiten direkt übertragen werden. Zum Austausch von digitalem Geld (=Bezahltransaktion) ist nur die Übertragung des monetären Betrags und des Verschleierungsbetrags notwendig.

Darüber hinaus kann der elektronische Münzdatensatz weitere Datenelemente aufweisen, insbesondere welche Währung der monetäre Betrag repräsentiert oder von welcher Herausgeberinstanz er erzeugt wurde. Eine Signatur einer Herausgeberinstanz kann der elektronische Münzdatensatz alternativ oder zusätzlich umfassen, insbesondere um die Sicherheit zu erhöhen (bei jedoch verringerter Flexibilität).

Eine Teilnehmereinheit des Bezahlsystems kann beispielsweise ein mobiles Endgerät, wie z.B. ein Smartphone, ein Tablet-Computer, ein Computer, ein Server oder eine Maschine sein.

Alternativ oder zusätzlich kann die Teilnehmereinheit auch ein Gerät, wie Wearable, Smartcard, Maschine, Werkzeug, Automat oder auch Behälter bzw. Fahrzeug sein. Eine Teilnehmereinheit ist somit entweder stationär oder mobil. Die Teilnehmereinheit ist vorzugsweise ausgebildet, das Internet und/ oder andere öffentliche oder private Netze zu nutzen, um elektronische Münzdatensätze und/oder Registerdatensätze bzw. Anfragen diesbezüglich zu übertragen. Dazu verwendet die Teilnehmereinheit eine geeignete Verbindungstechnologie, beispielsweise Bluetooth, LoRa, NFC und/ oder WiFi und weist wenigstens eine entsprechende Schnittstelle auf. Die Teilnehmereinheit kann auch ausgebildet sein, mittels Zugangs zu einem Mobilfunknetz mit dem Internet und/ oder anderen Netzen verbunden zu werden.

Eine auf der Teilnehmereinheit betriebsbereit eingebrachte Applikation (installiert) kann eine Übertragung eines Münzdatensatzes zu einer anderen Teilnehmereinheit durch Nutzung von Eingabe- und/oder Ausgabemittel der jeweiligen Teilnehmereinheit initiieren und steuern. Beispielsweise kann mittels der Applikation Beträge von elektronischen Münzdatensätzen angezeigt werden und das Übertragungsverfahren überwacht werden. Diese oder eine weitere betriebsbereit eingebrachte Applikation kann eine Übertragung eines Registerdatensatzes zu einem Münzregister des Bezahlsystems durch Nutzung von Eingabe- und/oder Ausgabemittel der jeweiligen Teilnehmereinheit initiieren und steuern. Beispielsweise kann mittels der Applikation die Überprüfung von elektronischen Münzdatensätzen initiiert werden, beispielsweise durch Erzeugen von Registerdatensätzen und/oder dem Versenden von Prüf- Anfragen an das Münzregister.

In einer bevorzugten Ausgestaltung weist die Teilnehmereinheit eine Schnittstelle zum Ausgeben von elektronischen Münzdatensätzen auf.

Eine Schnittstelle zum Ausgeben (=Senden) des zumindest einen elektronischen Münzdatensatzes ist beispielsweise eine Protokollschnittstelle zum drahtlosen Senden des elektronischen Münzdatensatzes an das andere Sicherheitselement über eine Teilnehmereinheit mittels eines Kommunikationsprotokolls für Drahtloskommunikation. Dabei ist insbesondere eine Nahfeldkommunikation, beispielsweise mittels Bluetooth-Protokoll oder NFC-Protokoll oder IR- Protokoll vorgesehen, alternativ oder zusätzlich sind WLAN- Verbindungen oder Mobilfunkverbindungen denkbar. Der elektronische Münzdatensatz wird dann gemäß den Protokolleigenschaften angepasst oder in das Protokoll integriert und übertragen.

Eine Schnittstelle zum Ausgeben des zumindest einen elektronischen Münzdatensatzes ist beispielsweise eine Datenschnittstelle zum Bereitstellen des elektronischen Münzdatensatzes an die andere Teilnehmereinheit mittels einer Applikation. Im Unterschied zur Protokollschnittstelle wird hier der elektronische Münzdatensatz mittels einer Applikation übertragen. Diese Applikation überträgt sodann den elektronischen Münzdatensatz in einem entsprechenden Dateiformat. Es kann ein für elektronische Münzdatensätze sodann ein spezifisches Dateiformat verwendet werden, beispielsweise eine ASCII-Zeichenfolge oder eine Textnachricht, beispielsweise SMS, MMS, Instant-Messenger-Nachricht, eine APDU-Zeichenfolge. Alternativ oder zusätzlich erfolgt das Übertragen über die zuvor erwähnte Applikation der Teilnehmereinheit und/oder des Sicherheitselements.

In einer bevorzugten Ausgestaltung weist die Teilnehmereinheit weiter eine Schnittstelle zum Empfangen von elektronischen Münzdatensätzen auf.

In einer bevorzugten Ausgestaltung ist die Schnittstelle zum Empfangen des zumindest einen elektronischen Münzdatensatzes ein elektronisches Erfassungsmodul des Sicherheitselements bzw. des Endgeräts, eingerichtet zum Erfassen eines, in visueller Form dargestellten elektronischen Münzdatensatzes. Das Erfassungsmodul ist dann beispielsweise eine Kamera oder ein Barcode bzw. QR-Code Scanner.

In einer bevorzugten Ausgestaltung ist die Schnittstelle zum Empfangen des zumindest einen elektronischen Münzdatensatzes eine Protokollschnittstelle zum drahtlosen Empfangen des elektronischen Münzdatensatzes von einem anderen Sicherheitselement bzw. Endgerät mittels eines Kommunikationsprotokolls für Drahtloskommunikation_· Dabei ist insbesondere eine Nahfeldkommunikation, beispielsweise mittels Bluetooth-Protokoll oder NFC-Protokoll oder IR- Protokoll, vorgesehen. Alternativ oder zusätzlich sind WLAN- Verbindungen oder Mobilfunkverbindungen denkbar.

In einer bevorzugten Ausgestaltung umfassend die Teilnehmereinheit zumindest ein Sicherheitselement-Lesegerät, eingerichtet zum Lesen eines Sicherheitselements; einen Zufallszahlengenerator; und/oder eine Kommunikationsschnittstelle zu einem Tresormodul und/ oder Bankinstitut mit zu autorisierendem Zugriff auf ein Bankkonto.

Eine Teilnehmereinheit des Bezahlsystems kann vorliegend ein Sicherheitselement aufweisen oder selbst ein Sicherheitselement sein, indem zumindest ein elektronischer Münzdatensatz sicher abgelegt ist. Die Übertragung von elektronischen Münzdatensätzen kann jeweils unter Zuhilfenahme von Endgeräten als Teilnehmereinheit erfolgen, die ggf. mit den Sicherheitselementen logisch und/oder physisch verbunden sind. Die auf der Teilnehmereinheit betriebsbereit eingebrachte Applikation(en) kann/können zumindest Teile des Übertragen- Verfahrens und/der Teile des Registrieren- Verfahrens und/oder Teile des Überprüfen- Verfahrens steuern oder zumindest initiieren.

In einer bevorzugten Ausgestaltung ist ein Sicherheitselement betriebsbereit in einer Teilnehmereinheit eingebracht. Damit ist sichergestellt, dass elektronische Münzdatensätze übertragen und/oder Registerdatensätze ohne Manipulationen erzeugt und verschlüsselt und ggf. auch gesendet werden. In einer Ausgestaltung wird der Registerdatensatz im Sicherheitselement erstellt und dann durch die Teilnehmereinheit an das Münzregister versendet.

Ein Sicherheitselement ist eine technische ressourcenbeschränkte Einrichtung. Ein Sicherheitselement ist beispielsweise ein spezielles Computerprogrammprodukt, insbesondere in Form einer abgesicherten Laufzeitumgebung innerhalb eines Betriebssystems eines Endgeräts, englisch Trusted Execution Environments, TEE, oder einer eSIM-Software, gespeichert auf einem Datenspeicher, beispielsweise einer Teilnehmereinheit, wie (mobiles) Endgerät, einer Maschine oder eines Bankautomat. Alternativ oder zusätzlich ist das Sicherheitselement beispielsweise als spezielle Hardware, insbesondere in Form eines gesicherten Hardware - Plattform-Moduls, englisch Trusted Platform Module, TPM oder als eine Chipkarte, UICC oder ein eingebettetes Sicherheitsmodul, eUICC, iUICC, eSIM, ausgebildet. Das Sicherheitselement stellt eine vertrauenswürdige Umgebung bereit und hat damit ein höheres Level-of-Trust als ein Endgerät, in dem das Sicherheitselement ggf. betriebsbereit integriert ist.

Ein elektronischer Münzdatensatz kann im Unterschied zu einem Registerdatensatz bevorzugt nicht von einer Teilnehmereinheit bzw. einem Sicherheitselement oder dem Münzregister erzeugt werden. Das Erzeugen eines elektronischen Münzdatensatzes (und auch dessen Vernichtung bzw. Löschen) erfolgt durch die Herausgeberinstanz des Bezahlsystems, bevorzugt ausschließlich durch die Herausgeberinstanz des Bezahlsystems.

In einer Teilnehmereinheit bzw. einem Sicherheitselement können ein oder mehre elektronische Münzdatensätze sicher abgelegt sein, beispielsweise kann eine Vielzahl von elektronischen Münzdatensätzen in einem exklusiv einer Teilnehmereinheit oder einem Sicherheitselement zugeordneten Datenspeicher gesichert abgelegt sein. Der Datenspeicher stellt dann beispielsweise eine elektronische Geldbörsen-Applikation dar. Dieser Datenspeicher kann beispielsweise intern, extern oder virtuell zum Sicherheitselement sein.

In einem einfachen Fall ist der Datenspeicher ein interner Datenspeicher der Teilnehmereinheit oder des Sicherheitselements. Hier werden die elektronischen Münzdatensätze abgelegt. Ein einfacher Zugriff auf elektronische Münzdatensätze ist somit gewährleistet.

Der Datenspeicher ist beispielsweise ein von der Teilnehmereinheit oder dem Sicherheitselement räumlich entfernter, also externer, Datenspeicher, auch Online-Speicher genannt. Somit weist das Sicherheitselement bzw. die Teilnehmereinheit nur ein Zugriffsmittel auf die extern und damit sicher abgelegten elektronischen Münzdatensätze auf. Insbesondere bei einem Verlust des Sicherheitselements bzw. der Teilnehmereinheit oder bei Fehlfunktionen des Sicherheitselements bzw. der Teilnehmereinheit sind die elektronischen Münzdatensätze nicht verloren. Da der Besitz der (nicht maskierten) elektronischen Münzdatensätze gleich dem Besitz des monetären Betrags entspricht, kann durch Verwendung externer Datenspeicher Geld sicherer aufbewahrt und verwaltet werden.

Beispielsweise ist der Datenspeicher ein gemeinsamer Datenspeicher auf den zumindest noch eine andere Teilnehmereinheit zugreifen kann, wobei jedes davon eine Applikation aufweist, wobei diese Applikation zum Kommunizieren mit dem Münzregister zum entsprechenden Registrieren von elektronischen Münzteildatensätzen eingerichtet ist.

Das Sicherheitselement könnte zudem elektronische Münzdatensätze auch von weniger vertrauenswürdigen Einheiten, wie Teilnehmereinheiten, also einem Endgerät oder einer Maschine, erhalten haben, beispielsweise über eine Import-/ExportFunktion des Sicherheitselements. Derartig erhaltene elektronische Münzdatensätze, die nicht direkt von einem anderen Sicherheitselement erhalten wurden, gelten als weniger vertrauenswürdig. Es könnte eine Voraussetzung des Bezahlsystems sein, derartige elektronische Münzdatensätze auf Gültigkeit mittels des Münzregisters prüfen zu müssen oder durch eine Aktion (Modifikation) durch das empfangende Sicherheitselement, den elektronischen Münzdatensatz auf das empfangende Sicherheitselement umzutragen, bevor dieser weitergegeben werden darf.

Die Kommunikation zwischen zwei Teilnehmereinheiten und/oder dem Münzregister, ggf. mittels der jeweiligen Sicherheitselemente, kann drahtlos oder drahtgebunden, oder z.B. auch auf optischem Weg, bevorzugt über QR-Code oder Barcode, erfolgen und kann als ein gesicherter Kanal, beispielsweise zwischen Applikationen der Teilnehmereinheiten ausgebildet sein. Der optische Weg kann beispielsweise die Schritte des Generierens einer optischen Codierung, insbesondere einer 2D-Codierung, vorzugsweise ein QR-Code, und des Einlesens der optischen Codierung umfassen. So können die elektronischen Münzdatensätze in beliebiger Formatierung übertragen werden. Dies impliziert, dass sie auf beliebigen Kanälen kommuniziert, also übertragen werden können. Sie müssen nicht in einem festgelegten Format oder in einem bestimmten Programm gespeichert werden.

Beispielsweise stellen zwei Teilnehmereinheiten eine lokale drahtlos Kommunikationsverbindung über deren Protokoll dann die Übertragung zwischen den beiden darin befindlichen Sicherheitselementen eingebracht ist.

Das Übertragen des elektronischen Münzdatensatzes ist beispielsweise durch kryptografische Schlüssel gesichert, beispielsweise einem für einen elektronischen Münzdatensatz-Austausch ausgehandelten Sitzungsschlüssel oder einem symmetrischen oder asymmetrischen Schlüsselpaar. Durch das Kommunizieren zwischen Teilnehmereinheiten, beispielsweise über ihre Sicherheitselemente, werden die ausgetauschten elektronischen Münzdatensätze vor Diebstahl oder Manipulation geschützt. Die Ebene der Sicherheitselemente ergänzt so die Sicherheit etablierter Blockchain-Technologie .

In einer bevorzugten Ausgestaltung erfolgt das Übertragen der Münzdatensätze als APDU Kommandos. Dazu ist der Münzdatensatz bevorzugt in einer (embedded oder integrated) UICC als Sicherheitselement abgelegt und wird dort verwaltet. Ein APDU ist ein kombinierter Kommando-/Datenblock eines Verbindungsprotokolls zwischen der UICC und einem Endgerät. Die Struktur der APDU ist durch den Standard ISO-7816-4 definiert. APDUs stellen ein Informationselement der Anwendungsebene (Schicht 7 des OSI-Schichtenmodels) dar.

Das Übertragen eines elektronischen Münzdatensatzes erfolgt bevorzugt zwischen zwei Sicherheitselementen, um eine vertrauenswürdige Umgebung zu schaffen. Dabei erfolgt die logische Übertragung des elektronischen Münzdatensatzes direkt, wohingegen eine physikalische Übertragung eines oder mehrere dazwischenliegende Instanzen aufweisen kann, beispielsweise eines oder mehrere Teilnehmereinheiten zur Herstellung der Betriebsbereitschaft des/der Sicherheitselemente und/oder ein entfernter Datenspeicherdienst, bei dem eine Geldbörsen- Applikation mit elektronischen Münzdatensätzen physikalisch gespeichert sind.

Sicherheitselemente können elektronische Münzdatensätze untereinander übertragen und dann direkt - ohne Registerprüfung(en) - weiterverwenden, insbesondere wenn das Bezahlsystem voraussetzt, dass elektronische Münzdatensätze von Sicherheitselementen per se als gültig anzu sehen sind.

Ein Übertragen des elektronischen Münzdatensatzes zwischen dem ersten und dem zweiten Sicherheitselement kann in ein Übertragungsprotokoll zwischen zwei Teilnehmereinheiten integriert sein und/oder in einem sicheren Kanal zwischen zwei Anwendungen der jeweiligen Teilnehmereinheit integriert sein. Zudem kann die Übertragung eine Internet-Datenverbindung zu einem externen Datenspeicher, beispielsweise einem Online-Speicher, beinhalten.

Um ein Übertragungsprotokoll zwischen Teilnehmereinheiten und/oder dem Münzregister sicher auszugestalten, werden die elektronischen Münzdatensätze durch jeweiliger Teilnehmereinheiten, beispielsweise durch dort integrierte Sicherheitselemente, verwaltet und auch durch diese übertragen. In einer bevorzugten Ausgestaltung ist das Sicherheitselement dazu betriebsbereit in die Teilnehmereinheit eingebracht. Dabei kann die Teilnehmereinheit eine Applikation beinhalten, durch die ein Benutzer (= Teilnehmer) einen Bezahlvorgang steuert und in diesem Bezahlvorgang auf elektronische Münzdatensätze des Sicherheitselements zurückgreift. Ein Übertragen des elektronischen Münzdatensatzes vom Sicherheitselement einer ersten Teilnehmereinheit erfolgt beispielsweise zum (zweiten) Sicherheitselement einer anderen Teilnehmereinheit. Dabei kann eine Teilnehmereinheit-zu-Teilnehmereinheit Übertragungs strecke aufgebaut werden, über die beispielsweise ein sicherer Kanal zwischen den beiden Sicherheitselementen aufgebaut wird, über den dann das Übertragen des elektronischen Münzdatensatzes erfolgt.

Der (zu übertragende oder zu modifizierende) elektronische Münzdatensatz ist in einem Münzregister des Bezahlsystems registriert. Damit ist beispielsweise zum Registrieren des elektronischen Münzdatensatzes der Aufbau einer Kommunikationsverbindung zu dem Münzregister vorgesehen. Diese Kommunikationsverbindung muss nunmehr nicht zwangsläufig während des Übertragungsvorgangs (Bezahlvorgang) vorhanden sein. Vorzugsweise ist das Münzregister zur Verwaltung und Prüfung von maskierten elektronischen Münzdatensätzen vorgesehen. Das Münzregister kann zusätzlich weitere (Nicht-Bezahl-) Transaktionen zwischen Teilnehmereinheiten verwalten und prüfen.

Das Münzregister - als Teil der zweiten Schicht - ist beispielsweise eine Datenbank, in der ein Registerdatensatz erzeugt und/oder abgelegt ist. Ein Registerdatensatz ist ein Datensatz, der es ermöglicht, die Gültigkeit, den Status, die Historie und/oder den Verbleib eines elektronischen Münzdatensatzes zu erfahren und/oder zu verifizieren. Ein Registerdatensatz ist bevorzugt einem elektronischen Münzdatensatz eindeutig zugeordnet. Der Registerdatensatz dient nur der Überprüfung und kann nicht verwendet werden, um anstelle des elektronischen Münzdatensatzes für Bezahltransaktionen verwendet zu werden.

Das Münzregister kann beispielsweise eine dezentrale öffentliche Datenbank sein. Diese Datenbank ermöglicht es auf einfache Weise, elektronische Münzdatensätze bezüglich ihrer Gültigkeit zu prüfen und „Double-Spending“, also Mehrfachausgaben, zu verhindern, ohne dass das Übertragen selbst registriert oder protokolliert wird. Die Datenbank, beispielsweise eine Distributed-Ledger-Technologie, DLT, beschreibt dabei eine Technik für vernetzte Computer, die zu einer Übereinkunft über die Reihenfolge von bestimmten Transaktionen kommen und darüber, dass diese Transaktionen Daten aktualisieren. Es entspricht einem dezentral geführten Verwaltungssystem oder einer dezentral geführten Datenbank.

Alternativ ist das Münzregister eine zentral geführte Datenbank, beispielsweise in Form eines öffentlich zugänglichen Datenspeichers oder als Mischform aus zentraler und dezentraler Datenbank. Beispielsweise sind das Münzregister und ein davon getrenntes Überwachungsregister als ein Dienste-Server des Bezahlsystems ausgebildet. Ist das Münzregister eine entfernte Instanz, so verfügt die Teilnehmereinheit und auch die Herausgeberinstanz bevorzugt über eine Schnittstelle zur Kommunikation mittels einem üblichen Intemet-Kommunikationsprotokoll, beispielsweise TCP, IP, UDP oder HTTP. Die Übertragung kann eine Kommunikation über das Mobilfunknetz beinhalten.

In einer bevorzugten Ausgestaltung stellt das Münzregister einen Registerdatensatz bereit. Der Registerdatensatz weist beispielsweise als Datenelement einen maskierten elektronischen Münzdatensatz korrespondierend zu einem elektronischen Münzdatensatz auf. Der maskierte elektronische Münzdatensatz wurde beispielsweise von einer Teilnehmereinheit oder einer Herausgeberinstanz bereitgestellt. Der Besitz eines maskierten elektronischen Münzdatensatzes erlaubt keine Offenlegung von Datenelementen des (korrespondierenden) elektronischen Münzdatensatzes, wodurch ein derartiger Registerdatensatz mit (nur) maskierten Münzdatensätzen anonym in Bezug auf eine Teilnehmerkennung und/oder auch anonym bezüglich eines geldwerten Betrags des elektronischen Münzdatensatzes ist. Das Maskieren wird später erläutert.

Ein Registerdatensatz weist dabei eines oder mehrere der folgenden Datenelemente auf: eine Signatur des elektronischen Münzdatensatzes; einen Bereichsnachweis eines elektronischen Münzdatensatzes; einen Prüfwert des elektronischen Münzdatensatzes; einen Prüfwert betreffend den elektronischen Münzdatensatz; einen Zählerwert betreffend den elektronischen Münzdatensatz; eine Teilnehmerkennung einer, den Registerdatensatz sendenden Teilnehmereinheit; einen maskierten elektronischen Münzdatensatz; und/oder einen geldwerten Betrag des elektronischen Münzdatensatz. Alle diese Datenelemente und deren Funktion werden an den geeigneten Stellen definiert.

In einer weiteren Ausgestaltung weist der Registerdatensatz beispielsweise als Datenelemente einen maskierten elektronischen Münzdatensatz und eine Betragskategorie betreffend einen geldwerten Betrag des elektronischen Münzdatensatzes korrespondierend zu dem maskierten elektronischen Münzdatensatz auf. Ein derartiger Registerdatensatz mit maskiertem Münzdatensatz ist identitätsanonym und betragspseudonym.

In einer weiteren Ausgestaltung weist der Registerdatensatz beispielsweise als Datenelemente eine Münzkennung eines elektronischen Münzdatensatzes, einen Prüfwert des elektronischen Münzdatensatzes und ein Pseudonym der Teilnehmerkennung auf. Ein derartiger Registerdatensatz ist identitätspseudonym und betragsanonym.

Beispielsweise sind maskierte elektronische Münzdatensätze als Datenelement im Registerdatensatz oder als der Registerdatensatz vorgesehen. Diese maskierten elektronischen Münzdatensätze sind mit ihrer entsprechenden Verarbeitung im Münzregister registriert. Das Maskieren ist in den Anmeldungen WO 2020/212337 Al und WO 2020/212331 Al beschrieben und es wird diesbezüglich darauf Bezug genommen. In einer bevorzugten Ausgestaltung lässt sich daraus ein Gültigkeits Status des (maskierten) elektronischen Münzdatensatzes ableiten. Bevorzugt wird die Gültigkeit der (maskierten) elektronischen Münzdatensätze in dem Münzregister vermerkt (registriert). Zudem werden Modifikationen, wie Umschalten, Aufteilen oder Kombinieren, zu den einzelnen elektronischen Münzdatensätzen im Münzregister registriert. Die Erstellung, Prüfung und Registrierung dieser Modifikationen ist in den Anmeldungen WO 2020/212337 Al und WO 2020/212331 Al beschrieben und es wird diesbezüglich darauf Bezug genommen.

Der Schritt des Registrierens eines Registerdatensatzes (bzw. eines maskierten elektronischen Münzdatensatzes ist in den Anmeldungen WO 2020/212337 Al und WO 2020/212331 Al beschrieben und es wird diesbezüglich darauf Bezug genommen. Eine Registrierung der Verarbeitung bzw. der Verarbeitungsschritte für eine jeweilige Modifikation in dem Münzregister kann in einer Ausgestaltung des Bezahlsystems auch das Registrieren von Prüfergebnissen und Zwischenprüfergebnissen betreffend die Gültigkeit eines elektronischen Münzdatensatzes im Münzregister betreffen, insbesondere das Bestimmen von Prüfwerten und Zählerwerten entsprechender elektronischer Münzdatensätze. Ist eine Verarbeitung endgültig, wird dies beispielsweise durch entsprechende Markierungen oder einer abgeleiteten Gesamtmarkierung im Münzregister angezeigt. Eine endgültige Verarbeitung entscheidet sodann, ob ein elektronischer Münzdatensatz gültig oder ungültig ist. Der Schritt des Registrierens wird vorzugsweise dann ausgeführt, wenn die Teilnehmereinheit und/oder das Sicherheitselement mit dem Münzregister verbunden ist.

Bevorzugt wird der zumindest eine initiale elektronische Münzdatensatz von der Herausgeberinstanz erstellt, wobei vorzugsweise die aufgeteilten elektronischen Münzdatensätze, insbesondere elektronischen Münzteildatensätze, auch durch eine Teilnehmereinheit generiert werden können. Das Erstellen und das Wählen eines monetären Betrags beinhalten bevorzugt auch das Wählen eines Verschleierungsbetrags mit hoher Entropie.

Die Herausgeberinstanz wird deshalb auch als privilegierte Instanz bzw. privilegierter Knoten, engl privileged node, bezeichnet, da nur diese neues Geld in Form von elektronischen Münzdatensätzen erstellen kann und Geld vernichten kann durch Deaktivieren von elektronischen Münzdatensätzen. Die Herausgeberinstanz kann deshalb geldwerte Beträge für das Bezahlsystem erzeugen und vernichten, dementsprechend den umlaufenden geldwerten Gesamtbetrag im Bezahlsystem steuern.

Die Herausgeberinstanz ist ein Rechensystem, welches bevorzugt entfernt von der ersten und/ oder zweiten Teilnehmereinheit ist. Nach dem Erstellen des neuen elektronischen Münzdatensatzes wird der neue elektronische Münzdatensatz in der Herausgeberinstanz durch Anwenden der homomorphen Einwegfunktion auf den neuen elektronischen Münzdatensatz maskiert, um entsprechend einen maskierten neuen elektronischen Münzdatensatz zu erhalten.

Des Weiteren werden zusätzliche Informationen, die zum Registrieren des Erstellens des maskierten neuen elektronischen Münzdatensatzes in dem entfernten Münzregister benötigt werden, in der Herausgeberinstanz berechnet. Bevorzugt sind diese weiteren Informationen ein Nachweis, dass der (maskierte) neue elektronische Münzdatensatz von der Herausgeberinstanz stammt, beispielsweise durch ein Signieren des maskierten neuen elektronischen Münzdatensatzes. In einer Ausgestaltung kann vorgesehen sein, dass die Herausgeberinstanz einen maskierten elektronischen Münzdatensatz beim Erzeugen des elektronischen Münzdatensatzes mit ihrer Signatur signiert. Die Signatur der Herausgeberinstanz wird dazu in dem Münzregister hinterlegt. Die Signatur der Herausgeberinstanz ist von der erzeugten Signatur einer Teilnehmereinheit bzw. eines Sicherheitselements verschieden.

Bevorzugt ist die Herausgeberinstanz eine Rechnerinstanz einer Zentralbank.

Bevorzugt sind das Münzregister und die Herausgeberinstanz in einer gemeinsamen Serverinstanz angeordnet oder liegen als Computerprogrammprodukt auf einem Server und/ oder einem Computer vor. Bevorzugt wird auf die Herausgeberinstanz über ein http -Protokoll zugegriffen.

Die Modifikationen (Umschaltens, Aufteilens, Verbinden) und die Aktionen (Erstellen und Deaktivieren (Zurückgebens)) werden jeweils durch einen entsprechenden Erstell-, Umschalt-, Aufteil-, Verbinden- bzw. Deaktivier-Befehl (Rückgabe-Befehle) ausgelöst.

Das Verfahren ist nicht auf eine Währung beschränkt. So kann das Bezahlsystem eingerichtet sein, verschiedene Währungen von unterschiedlichen Herausgeberinstanzen zu verwalten. Das Bezahlsystem ist beispielsweise eingerichtet einen elektronischen Münzdatensatz einer ersten Währung in ein elektronischen Münzdatensatz einer anderen Währung umzusetzen (=wechseln). Dieses Wechseln ist ebenfalls eine Modifikation des elektronischen Münzdatensatzes. Mit dem Wechsel wird der ursprüngliche Münzdatensatz ungültig und gilt als zurückgegeben. Ein flexibles Bezahlen mit unterschiedlichen Währungen ist damit möglich und die Benutzerfreundlichkeit ist erhöht.

Das Verfahren ermöglicht zudem das Umsetzen des elektronischen Münzdatensatzes in Buchgeld, also beispielsweise das Einlösen des monetären Betrags auf ein Konto des Teilnehmers am Bezahlsystem. Dieses Umsetzen ist ebenfalls eine Modifikation. Mit dem Einlösen wird der elektronische Münzdatensatz ungültig und gilt als zurückgegeben. Eine Modifikation „Freeze“ an einem elektronischen Münzdatensatz kann vorgesehen sein, um ein zeitweises Deaktivieren des elektronischen Münzdatensatzes, besser den geldwerten Betrag des elektronischen Münzdatensatzes, zu veranlassen. Der elektronische Münzdatensatz wird dabei in einen deaktivierten Zustand gesetzt, ohne vernichtet zu werden, der elektronische Münzdatensatz wird quasi „eingefroren“. Diese Modifikation bzw. Aktion „Freeze“ unterscheidet sich von der Modifikation bzw. Aktion „Deaktivieren“ eines elektronischen Münzdatensatz. Beim „Deaktivieren“ erfolgt ein vollständiges Entfernen des geldwerten Betrags eines elektronischen Münzdatensatz aus dem Bezahlsystem. Es wird Geld des Bezahlsystems vernichtet, der im Bezahlsystem umlaufende geldwerte Gesamtbetrag wird reduziert. Dieses „Deaktivieren“ erfolgt zum Eintauschen des geldwerten Betrags eines elektronischen Münzdatensatzes auf Wunsch des Teilnehmers (Gutschrift auf Konto, Elmformen zu Buchgeld, Auszahlen in Bargeld, etc.) oder aufgrund des Ablaufs einer Gültigkeit oder aufgrund des Überschreitens eines Prüfwerts. Im Gegensatz dazu wird bei der Modifikation „Freeze“ wird der elektronische Münzdatensatz lediglich zeitweise deaktiviert, d.h. der geldwerte Betrag ist weiterhin vorhanden, kann aber von keinem Teilnehmer - im Rahmen einer Bezahltransaktion - verwendet werden, um geldwerte Beträge auszutauschen. Diese Modifikation „Freeze“ kann nicht von einer Teilnehmereinheit, also nicht vom Besitzer des elektronischen Münzdatensatzes durchgeführt werden. Diese Modifikation „Freeze“ kann nur von einer privilegierten Instanz, beispielsweise einer Herausgeberinstanz oder einer Überwachungsinstanz (nicht dem Münzregister) initiiert und durchgeführt werden. Diese privilegierte Instanz kann beispielsweise eine autorisierte Behörde, beispielsweise eine Strafverfolgungsbehörde oder einer Kombination aus mehreren vertrauenswürdigen Instanzen sein. So kann ein geldwerter Betrag eines Verdächtigen beschlagnahmt werden, ohne dass das Geld sofort vernichtet wird.

Eine zur Modifikation bzw. Aktion „Freeze“ komplementäre Modifikation bzw. Aktion ist das „Unfreeze“. Hierbei werden die durch eine „Freeze“ Aktion deaktivierten Münzdatensätze wieder aktiviert (also reaktiviert). Diese Modifikation „Unfreeze“ kann nur von einer privilegierten Instanz, beispielsweise einer Herausgeberinstanz oder einer Überwachungsinstanz (nicht dem Münzregister) initiiert und durchgeführt werden. Diese privilegierte Instanz kann beispielsweise eine autorisierte Behörde, beispielsweise eine Strafverfolgungsbehörde oder einer Kombination aus mehreren vertrauenswürdigen Instanzen sein. So kann ein geldwerter Betrag eines Verdächtigen wieder freigegeben werden, beispielsweise nach erwiesener Unschuld des Verdächtigen.

Die Aktionen „Freeze“ und „Unfreeze“ für einen jeweiligen elektronischen Münzdatensatz werden in einem Münzregister durch Einträge zu einem entsprechenden maskierten elektronischen Münzdatensatz registriert. Diese Aktionen werden hier für sich genommen als bekannt vorausgesetzt. Bei einer „Freeze“ Aktion werden beispielsweise für einen entsprechenden maskierten elektronischen Münzdatensatz gar keine Nachfolger- Münzen angegeben (bzw. die eingetragenen werden gelöscht), wodurch der elektronische Münzdatensatz bei jeder Validität- Prüfungen ungültig ist. Bei einer „Unfreeze“ Aktion werden für einen entsprechenden maskierten elektronischen Münzdatensatz neue Nachfolger- Münzen angegeben, wodurch der elektronische Münzdatensatz bei einer Validität-Prüfungen wieder gültig ist.

KI IR ZF ZUSAMMENFASSUNG DER FIGUREN Nachfolgend wird anhand von Figuren die Erfindung bzw. weitere Ausführungsformen und Vorteile der Erfindung näher erläutert, wobei die Figuren lediglich Ausführungsbeispiele der Erfindung beschreiben. Gleiche Bestandteile in den Figuren werden mit gleichen Bezugszeichen versehen. Die Figuren sind nicht als maßstabsgetreu anzusehen, es können einzelne Elemente der Figuren übertrieben groß bzw. übertrieben vereinfacht dargestellt sein.

Es zeigen:

Fig.1 ein Ausführungsbeispiel eines Bezahlsystems gemäß der Erfindung;

Fig. 2 eine Weiterbildung des Ausführungsbeispiels eines Bezahlsystems der Fig. 1;

Fig. 3 eine Weiterbildung des Ausführungsbeispiels eines Bezahlsystems der Fig. 1;

Fig.4 ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines Verfahrens in einer Herausgeberinstanz;

Fig.5 ein Ausführungsbeispiel einer Datenstruktur im Münzregister;

Fig. 6 zwei Au sführungsbei spiele eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens und entsprechende Verarbeitungs schritte eines Münzdatensatzes;

Fig. 7 ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens und entsprechende Verarbeitungsschritte eines Münzdatensatzes;

Fig. 8 ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens und entsprechende Verarbeitungsschritte eines Münzdatensatzes;

Fig. 9 ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens und entsprechende Verarbeitungsschritte eines Münzdatensatzes; Fig. 10 ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines Verfahrens zum Registrieren eines Münzdatensatzes innerhalb einer atomaren Austauschprozedur; und

Fig. 11 ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens und entsprechende Verarbeitungsschritte eines Münzdatensatzes.

FIGURENBESCHREIBUNG

Die Fig. 1 zeigt ein Ausführungsbeispiel eines Bezahlsystems BZ gemäß der Erfindung. Die gestrichelt dargestellten Blöcke und Pfeile des Bezahlsystems BZ sind dabei optional. Das Bezahlsystem BZ umfasst zumindest zwei Sicherheitselemente, kurz SE, SEI und SE2. Die SEI und SE2 können dabei in jeweiligen Endgeräten Ml und M2 betriebsbereit eingebracht und logisch oder physisch mit dem jeweiligen Endgerät Ml und M2 verbunden sein. Ml und M2 können alternativ auch Teilnehmereinheiten TE1, TE2 sein.

Im Bezahlsystem der Fig. 1 ist zudem eine optionale Herausgeberinstanz 1, die einen elektronischen Münzdatensatz C, erzeugt. Die Herausgeberinstanz 1 ist beispielsweise eine Serverinstanz einer Zentralbank la. Zu dem elektronischen Münzdatensatz C wird ein Registerdatensatz RDS, beispielsweise ein maskierter elektronischer Münzdatensatz Z, erzeugt und in einem Münzregister 2 des Bezahlsystems BZ registriert 104. Der elektronische Münzdatensatz C wird im optionalen Schritt 102 von der Herausgeberinstanz 1 an das erste Endgerät Ml ausgegeben. Der Registerdatensatz RDS, beispielsweise der maskierte elektronische Münzdatensatz Z, wird im Schritt 104 beispielsweise von der Herausgeberinstanz

1 direkt oder über das erste Endgerät Ml an das Münzregister 2 ausgegeben. Der Registerdatensatz RDS, beispielsweise der maskierte elektronische Münzdatensatz Z, wird alternativ vom ersten Endgerät Ml (oder zweiten Endgerät M2) erzeugt und an das Münzregister

2 im Schritt 104 gesendet.

Um einen elektronischen Münzdatensatz C zu erzeugen wird folgendes Verfahren vorgeschlagen.

Eine Anfrage 210 von einer Zentralbank oder einer Teilnehmereinheit TE oder einer Geschäftsbank zur Erzeugung eines elektronischen Münzdatensatzes wird von der Herausgeberinstanz 1 erhalten. Die Herausgeberinstanz 1 hat beispielsweise eine Münzgenerierungs-Einheit 11 und eine Münzausgabe-Einheit 12. Beide Einheiten 11, 12 sind in einer Ausgestaltung voneinander getrennt und weisen ein Air-Gap 14 auf. Das Air-Gap 14 dient dazu, dass die in der Herausgeberinstanz 1 hochsensiblen sicherheitsrelevanten Daten und Einheiten des Bezahlsystems BZ, insbesondere ein privater Schlüssel PK und ein Zufallsgenerator nicht über einen Netzwerkangriff auf die Herausgeberinstanz 1 ausgelesen und für Manipulationen am Bezahlsystem BZ verwendet werden können. Die Münzgenerierungs- Einheit 11 kann dabei vollständig isoliert sein. Beispielsweise ist die Münzgenerierungs-Einheit 11 ohne Schnittstelle zu einem Netzwerk, wie TCP/IP, dem Internet, dem Mobilfunknetz, etc. Der Air-Gap Prozess 14 wird hier nicht weiter erläutert. Die Datenübertragung von und zur Herausgeberinstanz erfolgt bevorzugt mittels eines http-Protokolls.

Der elektronischer Münzdatensatz, im Folgenden auch abgekürzt als eMDS bezeichnet, C kann vorab bei der Herausgeberinstanz 1 angefragt und optional von einem Endgerät M (oder einem SE) oder der Herausgeberinstanz 1 oder einem anderen Bezahlsystem empfangen werden. Die Anfrage 210 kann von einer Zentralbank la generiert worden sein. Alternativ fragt eine Teilnehmereinheit TE den elektronischen Münzdatensatz C an. Die Schritte 104 und 105 können den Schritten 104 und 105 der Fig. 7 entsprechen. Eine Aktion bzw. Modifikation (Aufteilen, Verbinden, Umschalten, Übertragen, Deaktivieren, Umtauschen, Alarmieren) am eMDS C kann einer der Aktionen der Fig. 7 bis 11 entsprechen. Diese Modifikationen sind beispielhaft auch in den Patentanmeldungen WO 2020/212337 Al und WO 2020/212331 Al beschrieben.

Beispielsweise wird als Verschleierungswert n_, der vorzugsweise ein Verschleierungsbetrag ist, eine echte Zufallszahl erzeugt. Der Verschleierungswert n ist zwar in der Direkttransaktionsschicht 3 und für neu herausgegebene eMDS auch in der Herausgeberinstanz 1 bekannt, aber für die übrigen Instanzen des Bezahlsystems BZ, also auch für das Münzregister 2 geheim. Der Verschleierungswert n ist beispielsweise eine 32 Byte große positive Zufallszahl. Die Erzeugung erfolgt beispielsweise mittels eines echten Zufallsgenerators. Ein Wertebereich für den Verschleierungswert n ist beispielsweise [0,n), wobei n die Ordnung eines auf elliptischen Kurven basierenden Kryptografie- Verfahrens, beispielsweise eines Elliptic Curve Digital Signature Algorithm, kurz ECDSA, bevorzugt des secp256rl ist, der auf der Kurve y² = x³ + 7 eines Galois-Körpers basiert. Die Implementierungsmechanismen zur Generierung des Verschleierungs werts n werden sicherstellen, dass ein Verschleierungswert n nicht zweimal erstellt wird.

Der Verschleierungswert n wird mit einem monetären Betrag Di verknüpft. Der monetäre Betrag Di ist beispielsweise ein ganzzahliger Wert, bevorzugt vom Datentyp 32 bit unsigned integer value. Der monetäre Betrag Di hat nur beispielsweise einen beschränkten Wertebereich aus Zweierpotenzen. Der Wert null („0“) als monetärer Betrag Di könnte ungültig sein.

Ein erfindungsgemäßer i-ten elektronischen Münzdatensatz der von der Münzgenerierungs- Einheit 1 erzeugt wurde, könnte demnach lauten:

Ci = { ; nj (1) Ein elektronischer Münzdatensatz C mit dem monetären Betrag 100,00 Euro könnte demnach sein: c = (u; rj = (10000, 456123489469997561 } (la)

Ein gültiger elektronischer Münzdatensatz C kann zur Bezahlung eingesetzt werden. Der Besitzer der beiden Werte Di und n ist daher im Besitz des digitalen Geldes. Das digitale Geld ist definiert durch ein Paar bestehend aus einem gültigen elektronischen Münzdatensatz Ci und einem entsprechenden Registerdatensatz RDSi, beispielsweise einem maskierten elektronischen Münzdatensatz Zi. Zi repräsentiert bevorzugt einen Punkt in einem auf elliptischen Kurven basierenden Kryptografie- Verfahren, beispielsweise eines Elliptic Curve Digital Signature Algorithm, kurz ECDSA, bevorzugt des secp256rl. Zi kann in einer unkomprimierter Form kodiert sein, wie es in Standards for Efficient Cryptography, Elliptic Curve Cryptography; Abschnitt 2.3.3 beispielhaft angegeben ist. Beispielsweise wird ein maskierter elektronischer Münzdatensatz Zi als Registerdatensatz RDS, durch Anwenden einer homomorphen Einwegfunktion f (Ci) gemäß Gleichung (2) erhalten:

Zi =f (Ci) (2)

Diese Funktion f (Ci) ist öffentlich, d.h. jeder Systemteilnehmer kann diese Funktion aufrufen und verwenden. Diese Funktion f (Ci) ist gemäß Gleichung (3) definiert:

Z_* = Vi H + n G (3) sodass ein zum elektronischen Münzdatensatz C gemäß Gleichung (la) passender maskierter elektronischer Münzdatensatz dann wäre:

Z_« = 10000 H + 456123489469997561 G (3a) wobei H und G Generatorpunkte einer Gruppe G, in der das diskrete Logarithmusproblem schwer ist, mit den Generatoren G und H, für die der diskrete Logarithmus der jeweils anderen Basis unbekannt ist. Beispielsweise sind G und H Generatorpunkte einer elliptischen Kurvenverschlüsselung, ECC, - also private Schlüssel der ECC, sind. Diese Generatorpunkte G und H müssen in der Art gewählt werden, dass der Zusammenhang von G und H nicht öffentlich bekannt ist, sodass bei:

G = n H (4) die Verknüpfung n praktisch nicht auffindbar sein darf, um zu verhindern, dass der monetäre Betrag Di manipuliert wird und trotzdem ein gültiges Zi berechnet werden könnte. Beispielsweise ist:

G =

046bl7dlf2el2c4247f8bce6e563a440f277037d812deb33a0f4al3945d898c2964fe342e2fela7f9 b8ee7eb4a7cOf9el62bce33576b315ececbb6406837bf5 lf5 und

H =

04cf09b7c2c8e880d5053f73b2679b0842b38c9b0c6e9al80ab6c02f46fad8409a0d739cd5151026

8dd9aa0f4e306543e80d3085e48bl5a3ce2bl6406b8b0b5825

Diese Punkte G und H sind hier in unkomprimierter Form gemäß Abschnitt 4.3.6 von ANSI X9.62 angegeben. Dadurch werden sowohl x als auch y der Punkte der Kurve koordiniert als 64- Byte-Ganzzahlen in hexadezimaler Darstellung mit einem Formatpräfix angezeigt, in diesem Fall „04“ für unkomprimiert, was bedeutet, dass sowohl x als auch y angegeben sind. Mit diesen Werten von G und H, eingesetzt in Gleichung (3 a) ergibt sich

Zx =

6583233424795669663437883238211356250035283936299757616407822287674322554993 und

Zy =

78952089896437642461730835495473021650955753886857183759343381812153089956629 Sodass Z in unkomprimierter ANSI X9.62 als Hex-Koordinaten lautet:

Z =

040e8dfa631b4c2dfa9908252592ae693a5dcal9198ba0c801f503648f59299071ae8d4c9e88f0fd7

0777023f7014b98f873elf09dl85blca246b9c913ee369bl5

Die Gleichung (3) ist ein „Pederson-Commitment für ECC“, das sicherstellt, dass der monetäre Betrag u, einem Münzregister 2 zugestanden, also „commited“, werden kann, ohne diesen dem Münzregister 2 zu offenbaren. Der Verschleierungswert n wird als Verschleierungsbetrag bezeichnet, da er zumindest den monetären Betrag des eMDS maskiert.

Alternativ wird ein maskierter elektronischer Münzdatensatz Zi als Registerdatensatz RDS, durch Anwenden einer Einwegfunktion f (Ci) gemäß Gleichung (3-1) erhalten: Zi = { Vi _; n Gj (3-1)

Der maskierte elektronischer Münzdatensatz Zi besteht dann aus dem Betrag v und dem maskierten Verschleierungswert Ri_, mit Ri = n · G.

Nachfolgend wird ein Registerdatensatz RDS, im Folgenden teils auch verkürzt RDS, mit einem maskierten Münzdatensatz Z gleichgesetzt.

Dem Münzregister 2 wird nur der RDS, beispielsweise der maskierte Münzdatensatz Zi zugesendet (offenbart), also insbesondere nicht der Verschleierungswert (und ggf. nicht der monetäre Betrag). In Fig. 1 ist dies als Schritt 104 (Registrieren, Registrierungsanforderung) dargestellt, wobei die Registrierungsanforderung den Registerdatensatz umfasst.

Der RDS kann dabei von der Herausgeberinstanz 1 für das Münzregister 2 bereitgestellt werden. Das RDS wird bevorzugt in der Münzgenerierung 11, kann aber auch in der Münzausgabe- Einheit 12 generiert werden.

Auch wenn im vorliegenden Beispiel eine Verschlüsselung basierend auf elliptischen Kurven beschrieben ist bzw. wird, so wäre auch ein anderes kryptographisches Verfahren denkbar, welches auf einem diskreten logarithmischen Verfahren beruht.

Die Gleichungen (3) und (3-1) ermöglichen durch die Entropie des Verschleierungsbetrags n, dass auch bei kleinem Wertebereich für monetäre Beträge Ui ein kryptografisch starkes Zi erhalten wird. Somit ist ein einfacher Brute-Force-Angriff durch bloßes Schätzen von monetären Beträgen Ui praktisch nicht möglich.

Die Gleichung (3) ist eine Einwegfunktion, das heißt, dass die Berechnung von Zi aus Ci einfach ist, da ein effizienter Algorithmus existiert, wohingegen die Berechnung von Ci ausgehend von Zi sehr schwer ist, da kein in polynomialer Zeit lösbarer Algorithmus existiert.

Zudem ist die Gleichung (3) homomorph für Addition und Subtraktion, das heißt es gilt:

Zi + Z_j = (Vi H + n G)+ (Oj H + h G) = ( + Vj)· H + (n + h)· G (5)

Somit können Additions-Operationen und Subtraktions-Operationen sowohl in der Direkttransaktionsschicht 3 also auch parallel in dem Münzregister 2 ausgeführt werden, ohne dass das Münzregister 2 Kenntnis von den elektronischen Münzdatensätzen Ci hat. Die homomorphe Eigenschaft der Gleichung (3) ermöglicht eine Überwachung von gültigen und ungültigen elektronischen Münzdatensätzen Ci auf alleiniger Basis der maskierten Münzdatensätze Zi zu führen und sicherzustellen, dass kein neuer monetärer Betrag U_j geschaffen wurde.

Durch diese homomorphe Eigenschaft kann der Münzdatensatz Ci gemäß Gleichung (1) aufgeteilt werden in:

Ci = Cj + Ck = {vj; rj} + {vk; n} (6) wobei gilt:

Vi = Vj + Vk (7) n = h + (8)

Für die entsprechenden maskierten Münzdatensätze gilt:

Zi = Z_j + Z_k (9)

Mit Gleichung (9) kann beispielsweise auf einfache Weise ein symmetrisches oder asymmetrisches Aufteilen als Modifikation bzw. ein „symmetrischer oder asymmetrischer Aufteilen“-Verarbeitungsschritt 110 eines Münzdatensatzes C gemäß Fig. 8 geprüft werden, ohne dass das Münzregister 2 Kenntnis von Ci, C_j, C_k hat. Insbesondere wird die Bedingung der Gleichung (9) geprüft, um aufgeteilte Münzdatensätze C_j und C_k für gültig zu erklären und den Münzdatensatz Ci für ungültig zu erklären. Ein derartiges Aufteilen 110 eines elektronischen Münzdatensatzes Ci ist in Fig. 8 gezeigt.

Auf die gleiche Weise können elektronische Münzdatensätze C auch zusammengefügt (verbunden) 109 werden, siehe dazu Fig. 7 und die Erläuterungen dazu.

Zusätzlich gilt es zu prüfen, ob (nicht erlaubte) negative monetäre Beträge registriert werden. Ein Besitzer eines elektronischen Münzdatensatzes Ci muss dabei dem Münzregister 2 und/oder dem Münzregister 2 nachweisen können, dass alle monetären Beträge Di in einer Verarbeitungs- Operation innerhalb eines Wertebereichs von [0, ... , n] liegen, ohne dem Münzregister 2 dabei die monetären Beträge Di mitzuteilen. Diese Bereichsnachweise werden auch „Range-Proofs“ genannt. Als Bereichsnachweise werden bevorzugt Ringsignaturen (engl ring signature) verwendet. Für das vorliegende Ausführungsbeispiel werden sowohl der monetäre Betrag D als auch der Verschleierungsbetrag r eines elektronischen Münzdatensatzes C in Bitdarstellung aufgelöst. Es gilt:

Di=Zä_j-2^J für 0 < j < n und a_j E {0; 1 } (9a) sowie ri=£b_j-2^J für 0 < j < n und b_j E {0; 1 } (9b)

Für jedes Bit wird vorzugsweise eine Ringsignatur mit

Cij= aj H + bj G (9c) und

Cij - aj - H (9d) durchgeführt, wobei in einer Ausgestaltung vorgesehen sein kann, nur für bestimmte Bits eine Ring Signatur durchzuführen.

Zusätzlich oder alternativ sollte bewiesen werden, dass kein zusätzliches Geld generiert wurde und es muss der rechtmäßige Besitz nachgewiesen werden können. Diese beiden Beweise (kein zusätzliches Geld + rechtmäßiger Besitz) können in einem „Equal Value Proof‘, kurz EVP, gemeinsam durchgeführt werden:

Ausgangspunkt dieses EVP sind zwei maskierte Münzdatensätze Zi, Z2, deren dazugehörige elektronischen Münzdatensätze Ci, C2 denselben monetären Betrag, also u = m = m aufweisen. Es muss nun bewiesen werden, dass der Beweiserbringer die elektronischen Münzdatensätze Ci, C2 kennt und dass beiden maskierten Münzdatensätze Zi, Z2 der gleiche Betrag u = ui = 112 zugestanden wurde („commited“).

Dazu werden drei Zufallszahlen ko, ki und k2 jeweils im Wertebereich [0, n) generiert und folgende Parameter berechnet: e = h (kO * H + kl * G II kO * H + k2 * G) mod N sO = (kO + e * v) mod N sl = (kl + e * rl) mod N s2 = (k2 + e * r2) mod N

Wobei n und N die Ordnung des ECC ist, h eine Streu wertfunktion zum Erzeugen eines Streuwerts, beispielsweise eines SHA-256 Hashwerts, über die Punkte (p 1 , ... pn} mit: h(pl II ... II pn) = sha256(pl || ... || pn) (9f)

Der EVP kann veröffentlicht werden, beispielsweise als: evp = {e, s0, sl, s2} (9g)

Die EVP dieser zwei maskierten Münzdatensätze Zi, Z₂ kann nun (im Münzregister 2 oder einer TE) verifiziert werden: e' = h(s0 * H + sl * G - e * ZI II sO * H + s2 * G - e * Z2) (9h) denn es gilt:

Das Münzregister 2 kann nun validieren, dass e = e‘ ist, woraufhin u = u i = m gelten muss. Die EVP hat eine insgesamte Länge von 196 Byte, wobei e = 32 Byte, sO = 36 Byte, sl = 64 Byte und s2 = 64 Byte aufweist.

Wird ein maskierter elektronischer Münzdatensatz Zi gemäß Gleichung 3-1 erzeugt, vereinfacht sich die Prüfung der monetären Beträge.

Die in Fig. 1 gezeigte Ausgestaltung des Bezahlsystems BZ zeigt insbesondere das Erzeugen eines elektronischen Münzdatensatzes C zur direkten Herausgabe an eine Teilnehmereinheit TE1 (Schritt 102). Alternativ erfolgt die Herausgabe an die Teilnehmereinheit TE1 indirekt über eine Bankinstanz 4 durch die Schritte 102‘ (Bereitstellen des eMDS C an die Bank 4) und in dem Folgeschritt 102“ (Bereitstellen des eMDS C an die TE1).

Das Erzeugen des RDS durch die Herausgeberinstanz 1 ist hier nur optional und kann auch von den Teilnehmereinheiten TE1, TE2 durchgeführt werden.

Die Fig. 2 zeigt eine Weiterbildung des in Fig. 1 gezeigten Bezahlsystems BZ. Auf die Ausführungen der Fig. 1 wird hiermit Bezug genommen, um Wiederholungen zu vermeiden. Dabei wird in Fig. 2 das Deaktivieren eines Münzdatensatzes C beschrieben. Eine Teilnehmereinheit TE1 entscheidet sich zur Deaktivierung und Rückgabe des Münzdatensatzes C und sendet eine Deaktivieren-Aufforderung im Schritt 111. Dieser Schritt 111 kann die Abbildung eines Teilnehmerwunsches sein, nämlich einen monetären Betrag eines Münzdatensatzes auf ein Konto des Teilnehmers gutzuschreiben, oder kann aufgrund einer Auswertung eines Prüfwerts pi erfolgen, bei der festgestellt wurde, dass der Münzdatensatz die Kriterien für eine Rückgabe erfüllt, beispielsweise dem Ablauf einer Gültigkeitsdauer, dem Erreichen eines Rückgabezeitpunkts, dem Erreichen eines „Alters“ (Anzahl von Übertragungen und Modifikationen) oder dem Erreichen eines Schwellwerts bei Nichtverwendung des Münzdatensatzes C. Schritt 111 wird der Münzausgabe-Einheit 12 direkt angezeigt. Das Anzeigen kann auch indirekt über die Rankinstanz 4 erfolgen (ähnlich dem Erhalten des Münzdatensatzes), was in Fig. 2 durch die Schritte 111‘ und 111“ dargestellt ist. In der Folge des Schritts 111 wird das Gutschreiben des monetären Betrags auf ein Konto des Teilnehmers oder durch Ausgeben von Bargeld an einem Ausgabefach der Einheit 12 im Folgeschritt veranlasst (nicht dargestellt). Im dargestellten Folgeschritt 212 wird ein Deaktivieren- Kommando an das Münzregister 2 gesendet, um den Registerdatensatz RDS aus dem Münzregister 2 zu löschen oder ihn dort auf ungültig zu schalten. In der Folge ist der RDS des deaktivierten (gutgeschriebenen) Münzdatensatzes aus dem Münzregister 2 gelöscht (durchgestrichenes RDS).

Fig. 3 ist eine Weiterbildung des Bezahlsystems BZ der Fig. 1. Die Münzausgabe-Einheit 12 der Herausgeberinstanz 1 der Fig. 1 weist eine Empfangseinheit 15 (nicht dargestellt in Fig. 1) auf, an der Münzgenerieranfragen einer Teilnehmereinheit TE oder einer Zentralbank (nicht dargestellt) ankommen. Die Empfangseinheit 15 überträgt die Anfrage 210 an die Münzgenerierungs-Einheit 11 mittels eines Air-Gap Prozesses 14‘. Dabei können die gleichen Mechanismen wie beim zuvor erwähnten Air-Gap Prozess 14 angewendet und die gleichen Schnittstellen verwendet werden. Die Münzgenerierungs-Einheit 11 erzeugt den Münzdatensatz C und auch den Registerdatensatz RDS.

Um den Registerdatensatz RDS als vertrauenswürdig zu kennzeichnen, signiert die Münzgenerierungs-Einheit 11 den erzeugten Registerdatensatz RDS mit einem privaten Schlüssel PK der Herausgeberinstanz 1. Die Kombination aus elektronischem Münzdatensatz C, Registerdatensatz RDS und signiertem Registerdatensatz [RDS]Sig(PK) wird durch einen Ausdruck Ai, beispielsweise als QR-Code, repräsentiert. Dieser Ausdruck Ai wird über den Air- Gap-Prozess 14 an die Münzausgabeeinheit 12 bereitgestellt. Dort wird mittels einer Leseeinheit 16, beispielsweise einem QR-Code-Scanner, der Ausdruck Ai eingelesen, um den elektronischen Münzdatensatz C zu erhalten. Zudem erzeugt die Münzgenerierungs-Einheit 11 Metadaten MC, die dem Ausdruck Ai angefügt oder als eigenständige Übertragung an die Münzausgabe-Einheit 12 bereitgestellt wird.

Die Einheit 16 prüft die Einmaligkeit des Münzdatensatzes Ci, indem beispielsweise die Metadaten MCi mit Metadaten der im Bezahlsystem BZ existierenden Münzdatensätze C abgeglichen wird. Beispielsweise wird eine Seriennummer oder eine Münzkennung für diese Prüfung herangezogen. Ist die Einmaligkeit des Münzdatensatzes Ci bestätigt, so wird dieser in dem Münzspeicher 17 der Herausgeberinstanz 1 abgelegt und (zeitlich unkorreliert) an eine Teilnehmereinheit TE im Schritt 102 ausgegeben. Das Bereitstellen des RDS an das Münzregister 2 kann bereits nach Prüfung auf Einmaligkeit erfolgen oder erst bei Anfragen eines Münzdatensatzes Ci durch eine TE oder die Rankinstanz 4 erfolgen.

Das Bereitstellen des RDS im Schritt 102 an das Münzregister 2 ermöglicht das Registrieren des Münzdatensatzes Ci im Bezahlsystem BZ. Dazu wird in einer Ausgestaltung der RDS und der signierte [RDS]Sig(PK) bereitgestellt. Mit dem öffentlichen Schlüssel der Herausgeberinstanz 1 kann im Münzregister 2 die Signatur des signierten [RDS]Sig(PK) geprüft werden und bei erfolgreicher Prüfung wird der RDS als gültig im Münzregister 2 registriert. In einer anderen Ausgestaltung erhält das Münzregister 2 nur den signierten Registerdatensatz [RDS]Sig(PK). Sobald eine Teilnehmereinheit TE den Registerdatensatz RDS direkt an das Münzregister 2 bereitstellt (also erst nach der Ausgabe des Münzdatensatzes C an die TE1 im Schritt 102), kann in dem Münzregister 2 mit dem öffentlichen Schlüssel der Herausgeberinstanz 1 die Signatur geprüft werden und bei erfolgreicher Prüfung der RDS als gültig im Münzregister 2 registriert werden.

Gemäß Fig. 1 und 3 wird im TE2 der übertragene elektronische Münzdatensatz Ci als Ci^* erhalten. Mit dem Erhalt des elektronischen Münzdatensatzes Ci^* ist die TE2 im Besitz des digitalen Geldes, den der elektronische Münzdatensatz Ci^* repräsentiert. Mit der direkten Übertragung 105 steht es der TE2 für weitere Aktionen zur Verfügung.

Aufgrund der höheren Vertrauenswürdigkeit bei der Verwendung von SEs können sich SEI, SE2 gegenseitig vertrauen und es sind prinzipiell keine weiteren Schritte für das Übertragen 105 notwendig. Allerdings ist dem SE2 nicht bekannt, ob der elektronische Münzdatensatz Ci^* tatsächlich gültig ist. Zur weiteren Absicherung des Übertragens 105 können weitere Schritte im Verfahren vorgesehen sein, wie nachfolgend erläutert wird.

Zum Prüfen der Validität des erhaltenen elektronischen Münzdatensatzes Ci^* kann im SE2 mit der - öffentlichen - Einwegfunktion aus Gleichung (3) ein weiterer RDS, beispielsweise der maskierte übertragene elektronische Münzdatensatz Zi^*, errechnet werden. Der RDS, also beispielsweise der maskierte übertragene elektronische Münzdatensatz Zi^* wird dann an das Münzregister 2 im Schritt 104 übertragen und dort gesucht. Bei Übereinstimmung beider RDS bezüglich des gleichen Münzdatensatzes C, also beispielsweise einer Übereinstimmung mit einem registrierten und gültigen maskierten elektronischen Münzdatensatz Zi, wird dem SE2 die Validität des erhaltenen Münzdatensatzes Ci^* angezeigt und es gilt, dass der erhaltene elektronische Münzdatensatz Ci^* gleich dem registrierten elektronischen Münzdatensatz Ci ist. Mit der Prüfung auf Validität kann in einer Ausgestaltung festgestellt werden, dass der erhaltene elektronische Münzdatensatz Ci^* noch gültig ist, d.h., dass er nicht bereits durch einen anderen Verarbeitungsschritt oder bei einer anderen Transaktion/Aktion bereits verwendet wurde und/ oder einer weiteren Veränderung unterworfen war. Bevorzugt findet danach ein Umschalten (=Switch) des erhaltenen elektronischen Münzdatensatzes statt.

Die alleinige Kenntnis eines RDS, also beispielsweise eines maskierten elektronischen Münzdatensatzes Zi, berechtigt nicht dazu, das digitale Geld des korrespondierenden elektronischen Münzdatensatzes Ci auszugeben.

Die alleinige Kenntnis des elektronischen Münzdatensatzes Ci berechtigt zum Bezahlen, d.h. eine Transaktion erfolgreich durchzuführen, insbesondere wenn der Münzdatensatz Ci gültig ist, beispielsweise wenn der elektronische Münzdatensatz Ci einen aktiven Status aufweist. Der Status wird bevorzugt erst bei Erhalt der Löschbestätigung des SEI in einen Aktiv-Status gesetzt. Es herrscht eine eineindeutige Beziehung zwischen den elektronischen Münzdatensätzen Ci und den entsprechenden maskierten elektronischen Münzdatensätzen Zi. Die maskierten elektronischen Münzdatensätze Zi werden in dem Münzregister 2, beispielsweise einer öffentlichen Datenbank, registriert. Durch dieses Registrieren 104 wird zunächst die Gültigkeit des elektronischen Münzdatensatzes Ci prüfbar, beispielsweise ob neue monetäre Beträge (illegaler Weise) erschaffen wurden.

Die maskierten elektronischen Münzdatensätze Zi werden in dem Münzregister 2 gespeichert. Alle Verarbeitungen an dem elektronischen Münzdatensatz Zi werden dort registriert, wohingegen die tatsächliche Übertragung des digitalen Geldes in einer (geheimen, d.h. einer der Öffentlichkeit nicht bekannten) Direkttransaktionsschicht 3 des Bezahlsystems BZ erfolgt. Zudem können in diesem Bezahlsystem BZ Überwachungen am Münzdatensatz C und der Teilnehmereinheit TE in einem Münzregister 2 erfasst werden.

Um ein mehrfaches Ausgeben zu verhindern oder um ein flexibleres Übertragen 105 zu gewährleisten, können die elektronischen Münzdatensätze C modifiziert werden. In der nachfolgenden Tabelle 1 sind beispielhafte Operationen aufgelistet, wobei mit dem angegebenen Befehl auch ein entsprechender Verarbeitungs schritt ausgeführt wird:

Tabelle 1 Anzahl von pro Verarbeitung eines C im TE bzw. der Herausgeberinstanz durchführbaren Operationen Weitere Operationen, die in Tabelle 1 nicht aufgeführt sind, können benötigt werden, beispielsweise das Wechseln der Währung oder das Einlösen des monetären Betrags auf einem Konto. Anstelle der angeführten Implementierung sind auch andere Umsetzungen denkbar, die andere Operationen implizieren.

Die Tabelle 1 zeigt, dass für jeden Münzdatensatz, jede der Verarbeitungen (Modifikationen) „Erstellen“, „Zurückgeben“, „Aufteilen“, „Verbinden“ und „Umschalten“ verschiedene Operationen „Signatur erstellen“; „Zufallszahl erstellen“; „Maskierung erstellen“; „Bereichsprüfung“ vorgesehen sein können, wobei jede der Verarbeitungs-Operation in dem Münzregister 2 registriert und dort in unveränderlicher Form an eine Liste vorheriger Verarbeitungs-Operationen für maskierte elektronische Münzdatensätze Zi angehängt wird. Die Operationen der Verarbeitungen „Erstellen“ und „Zurückgeben“ eines elektronischen Münzdatensatzes C werden nur an sicheren Orten und/oder nur von ausgewählten Instanzen, beispielsweise der Herausgeberinstanz 1, als privilegierten Instanzen ausgeführt, während die Operationen aller übrigen Verarbeitungen auf den Teilnehmereinheiten TE, also den Endgeräten M bzw. deren Sicherheitselementen SE ausgeführt werden können.

Die Teilnehmereinheiten TE können mittels e-Wallet für elektronische Münzdatensätze Ci (mit den Prüfwert p, pu p^) d.h. als elektronische Geldbörse mit einem Speicherbereich, in dem eine Vielzahl von Münzdatensätzen Ci hinterlegt sein können, ausgebildet sein und so beispielsweise in Form einer Applikation auf einem Smartphone oder IT-System eines Händlers, einer Geschäftsbank oder eines anderen Marktteilnehmers implementiert sein. Somit sind die Komponenten in der Teilnehmereinheit TE, so wie sie in Tabelle 3 gezeigt sind, als Software implementiert. Es wird davon ausgegangen, dass das Münzregister 2, ein nicht dargestelltes Transaktionsregister und/oder ein nicht dargestelltes Überwachungsregister auf einem Server oder auf einer DLT basiert und von einer Reihe vertrauenswürdiger Marktteilnehmer betrieben wird.

Im Münzregister 2 kann ein RDS betreffend den elektronischen Münzdatensatz C durch einen zu registrierenden RDS betreffend den elektronischen Münzdatensatz C oder eines modifizierten elektronischen Münzdatensatzes C ersetzt werden. Damit werden im Münzregister 2 (nur) aktuelle - im Bezahlsystem BZ existierende - Münzdatensätze C als RDS gepflegt.

In der Fig. 4 ist ein Verfahrensablaufdiagramm eines Verfahrens 200 für das Erzeugen und Herausgeben eines elektronischen Münzdatensatzes C in einer Herausgeberinstanz 1 gezeigt. Dabei wird im optionalen Schritt 101 eine Münzanfrage in der Herausgeberinstanz 1, beispielsweise der Empfangseinheit 150, empfangen. Die Anfrage 101 kann von einer Zentralbank oder auch von einer Teilnehmereinheit TE oder einer Geschäftsbank 4 des Bezahlsystems BZ erfolgt sein. Im optionalen Schritt 201 wird diese Anfrage mittels Air-Gap Prozess 14‘ an die Münzgenerierung s -Einheit 11 der Herausgeberinstanz 1 gesendet. Im Schritt

202 wird (beispielsweise im Münzgenerator 140) ein elektronischer Münzdatensatz generiert. Zudem können ein RDS und ein signierter RDS in den optionalen Schritten 203 und 204 erzeugt werden. Im optionalen Schritt 205 werden Metadaten erzeugt. Im Schritt 206 wird der elektronische Münzdatensatz C mittels Air-Gap-Prozess 14, ggf. mit dem RDS und dem signierten RDS an die Münzausgabe-Einheit der Herausgeberinstanz 1 gesendet. Dazu wird bevorzugt ein Ausdruck A erzeugt. Der Ausdruck A wird beispielsweise hündisch an die Münzausgabeeinheit 12 übergeben. Alternativ wird eine gesicherte Transportbox (Behälter) verwendet, um den Ausdruck (oder die Ausdrucke) zu übertragen. Der Ausdruck wird einen Lesebereich der Münzausgabe-Einheit 12 gebracht, um eingelesen zu werden. Bevorzugt wird eine Infrastruktur der Banknotenherstellung verwendet. In den optionalen Schritten 207 und 208 können der RDS und der signierte RDS erzeugt werden, sollte dies noch nicht in den Schritten

203 und 204 erfolgt sein. Nicht dargestellt ist eine Zwischenspeicherung des Münzdatensatzes C im Münzspeicher 170 der Herausgeberinstanz 1. Im Schritt 209 wird der erzeugte elektronische Münzdatensatz C an eine anfordemde (Schritt 101) Teilnehmereinheit TE oder eine Bankinstanz 4 ausgegeben. Im optionalen Schritt 104 wird der Münzdatensatz C in dem Münzregister 2 registriert, beispielsweise durch Übermittlung des RDS und/oder des signierten RDS.

Fig. 5 zeigt eine Datenstruktur für ein Münzregister 2 der vorhergehenden Figuren. In der Fig. 5 sind Daten des Münzregisters 2 zur Veranschaulichung dargestellt, hier sind die maskierten elektronischen Münzdatensätze Zi und ggf. ihre Verarbeitungen registriert. Das Münzregister 2 kann in einer Serverinstanz untergebracht sein. Register 2 ist bevorzugt lokal entfernt von den Teilnehmereinheiten TE angeordnet und beispielsweise in einer Server- Architektur untergebracht.

Jede Verarbeitungs-Operation für eine Verarbeitung (Erstellen, Deaktivieren, Aufteilen, Verbinden und Umschalten) wird dabei in dem Münzregister 2 registriert und dort beispielsweise in unveränderlicher Form an eine Liste vorheriger Verarbeitungs-Operationen für maskierte elektronische Münzdatensätze Zi angehängt. Die einzelnen Operationen bzw. deren Prüfergebnis, also quasi die Zwischenergebnisse einer Verarbeitung, werden in dem Münzregister 2 festgehalten. Zwar wird im Folgenden von einer sich fortsetzenden Liste ausgegangen, jedoch kann auch diese Datenstruktur, gegebenenfalls nach vorbestimmten Regeln, bereinigt oder komprimiert werden bzw. in einer bereinigten oder komprimierten Form separat bereitgestellt werden. Die Modifikationen „Erzeugen“, „Deaktivieren“, „Umschalten“, „Verbinden“ und „Aufteilen“ sind bereits in den Patentanmeldungen WO 2020/212337 Al und WO 2020/212331 Al beschrieben und es wird diesbezüglich und auch auf das Durchführen entsprechender Prüfungen darauf verwiesen. In Fig. 5 ist zudem der Eintrag im Münzregister 2 für die Modifikation „Einfrieren“ („Freeze“), auch als „Blockieren“ bezeichnet, an einem elektronischen Münzdatensatz C gezeigt, bei der ein zeitweises Deaktivieren des elektronischen Münzdatensatzes C, besser des geldwerten Betrags des elektronischen Münzdatensatzes C, veranlasst wird, ohne den geldwerten Betrag aus dem Bezahlsystem zu entfernen (zu vernichten). Hier wird ein elektronischer Münzdatensatz blockiert (eingefroren), d.h. der geldwerte Betrag ist weiterhin vorhanden, kann aber von keinem Teilnehmer - im Rahmen einer Bezahltransaktion - verwendet werden, um geldwerte Beträge au szutau sehen. Diese Modifikation „Einfrieren“ kann nicht von einer Teilnehmereinheit TE, also nicht vom Besitzer des elektronischen Münzdatensatzes C durchgeführt werden. Diese Modifikation „Einfrieren“ kann nur von einer privilegierten Instanz, beispielsweise einer Herausgeberinstanz 1 oder einer Überwachungsinstanz (nicht dem Münzregister 2) initiiert und durchgeführt werden. Diese privilegierte Instanz kann beispielsweise eine autorisierte Behörde, beispielsweise eine Strafverfolgungsbehörde oder einer Kombination aus mehreren vertrauenswürdigen Instanzen sein. So kann ein geldwerter Betrag eines Verdächtigen beschlagnahmt werden, ohne dass das Geld im Bezahlsystem BZ vernichtet wird. Bei einer „Freeze“ Aktion werden beispielsweise für einen entsprechenden maskierten elektronischen Münzdatensatz gar keine Nachfolger-Münzen in den Spalten 23 a und 23b zu den Vorgänger- Münzen 22a, 22b angegeben (bzw. dadurch, dass bisher eingetragene Münze gelöscht), wodurch der dazugehörige elektronische Münzdatensatz C bei jeder Validität- Prüfungen ungültig ist.

Zudem ist ein Eintrag im Münzregister 2 für die Modifikation bzw. Aktion „Reaktivieren“ (=Unfreeze) an einem elektronischen Münzdatensatz C gezeigt. Hierbei werden die durch eine „Freeze“ Aktion deaktivierten Münzdatensätze C wieder aktiviert (also reaktiviert). Diese Modifikation „Reaktivieren“ kann nur von einer privilegierten Instanz, beispielsweise einer Herausgeberinstanz 1 oder einer Überwachungsinstanz (nicht dem Münzregister 2) initiiert und durchgeführt werden. Diese privilegierte Instanz kann beispielsweise eine autorisierte Behörde, beispielsweise eine Strafverfolgungsbehörde oder einer Kombination aus mehreren vertrauenswürdigen Instanzen sein. So kann ein geldwerter Betrag eines Verdächtigen wieder freigegeben werden, beispielsweise nach erwiesener Unschuld des Verdächtigen. Bei einer „Reaktivieren“ Aktion werden für einen entsprechenden maskierten elektronischen Münzdatensatz neue Nachfolger-Münzen in Spalte 23 a angegeben, wodurch der elektronische Münzdatensatz bei einer Validität- Prüfungen wieder gültig ist. Das Münzregister 2 prüft bei der O-Flag Prüfung, ob eine „Einfrieren“ Aktion zuvor erfolgreich durchgeführt wurde.

In einer ersten Ausgestaltung der Fig. 6 (oberhalb der gestrichelten Trennlinie) wird eine Anfrage 210 einer Zentralbank la in der Herausgeberinstanz 1 verwendet, um einem eMDS C zu erzeugen. Dabei wird gemäß den Schritten aus dem Verfahrensablaufdiagramm des Verfahrens 200 gemäß Fig. 6 vorgegangen. Im Schritt 202 wird der eMDS C erzeugt und als Ausdruck A an die Münzausgabeeinheit 12 im Air-Gap-Prozess 206 bereitgestellt. Die Einheit 12 erhält den eMDS C und erstellt optional den RDS und den signierten RDS in den Schritten 207 und 208. Schließlich wird der RDS im Schritt 104 beim Münzregister 2 registriert. Durch die Anfrage 101 wird der eMDS C im Schritt 209 (102) an die TE1 bereitgestellt.

In einer zweiten Ausgestaltung der Fig. 6 (unterhalb der gestrichelten Trennlinie) wird die Anfrage 210 einer Zentralbank la in der Herausgeberinstanz 1 verwendet, um einem eMDS C zu erzeugen. Dazu wird die Anfrage im Schritt 201 an die Einheit 11 geleitet, bevorzugt als Air- Gap-Prozess. Dabei wird gemäß den Schritten aus dem Verfahrensablaufdiagramm des Verfahrens 200 gemäß Fig. 6 vorgegangen. In den Schritten 202, 203, 204 werden der eMDS C, der RDS und der signierte RDS erzeugt und als Ausdruck A an die Münzausgabeeinheit 12 im Air-Gap-Prozess 206 bereitgestellt. Die Einheit 12 erhält den eMDS C, den RDS und den signierten RDS. Zudem werden Metadaten MC im Schritt 205 erzeugt und im Schritt 206a der Einheit 12 bereitgestellt. Schließlich wird der RDS und der signierte RDS im Schritt 104 beim Münzregister 2 registriert. Durch die Anfrage 101 wird der eMDS C im Schritt 209 (102) an die TE1 bereitgestellt. Alternativ wird nur der signierte RDS von der Einheit 12 an das Münzregister 2 bereitgestellt und der RDS in der TE1 erzeugt und anschließend an das Münzregister 2 gesendet (gestrichelt dargestellt).

Fig. 7 zeigt noch einmal beispielhaft die jeder Teilnehmereinheit des wertbasierten Systems möglichen bekannten Schritte. Die insbesondere im Fall der Verwendung von Gleichung (3) bereitzustellenden Bereichsnachweise sind teils nicht dargestellt. Gemäß Fig. 7 wird ein neu herausgegebener, signierter maskierter elektronischer Münzdatensatz Zi im Schritt 1015 an das Münzregister 2 gesendet und der maskierte elektronischer Münzdatensatz Zi dort registriert. Den zugehörigen elektronischen Münzdatensatz Ci erhält in Schritt 102 die Teilnehmereinheit TE1. Mit den nur optionalen Schritt 103, 104 prüft die Teilnehmereinheit TE1, ob für den erhaltenen Münzdatensatz Ci ein maskierter elektronsicher Münzdatensatz registriert ist. In Schritt 103 maskiert die Teilnehmereinheit TE1 den erhaltenen elektronischen Münzdatensatzes Ci, insbesondere gemäß der Gleichung (3) oder (3-1) und sendet für den maskierten elektronischen Münzdatensatz Zi* eine Statusanfrage an das Münzregister. In Schritt 104 prüft das Register, ob der maskierte elektronische Münzdatensatz Zi* in dem Münzregister 2 als gültiger maskierter Münzdatensatz registriert ist (Zi*=Zi?) und bestätigt dies der Teilnehmereinheit TE1. Optional kann die Teilnehmereinheit TE1 den erhaltenen elektronischen Münzdatensatz umschalten. Im Schritt 105 erfolgt das Übertragen des Münzdatensatzes Ci in der Direkttransaktionsschicht 3 an die zweite Teilnehmereinheit TE2. In den optionalen Schritten 106 und 107 erfolgt wiederum eine Validitäts-Prüfung mit vorheriger Maskierung, bei der im Gutfall das Münzregister 2 die Gültigkeit des Münzdatensatzes Zi bzw. Ci bestätigt.

Im optionalen Schritt 108 erfolgt das Umschalten eines erhaltenen Münzdatensatzes C_k (es könnte natürlich auch der erhaltene Münzdatensatz Ci umgeschaltet werden) auf einen neuen Münzdatensatz Ci, wodurch der Münzdatensatz C_k ungültig wird und ein Doppeltausgeben verhindert wird. Dazu wird der monetäre Betrag V_k des übertragenen Münzdatensatzes C_k als „neuer“ monetärer Betrag verwendet. Zudem wird ein Verschleierungsbetrag n erstellt. Der zusätzliche Verschleierungsbetrag r_add wird verwendet, um zu beweisen, dass kein neues Geld (in Form eines höheren monetären Betrags) von der zweiten Teilnehmereinheit TE2 generiert wurde. Dann werden die maskierten Münzdatensätze Zi und Z_k in einer Umschaltanforderung an das Münzregister 2 gesendet und somit das Umschalten von C_k auf Ci beauftragt. Beispielsweise kann TE2 einen EVP entsprechend der Gleichungen 9e bis 9g generieren, um anzuzeigen, dass TE2 im Besitz der beiden Münzen Ci und C_k ist und beide monetären Beträge gleich sind. Zur Prüfung und Validierung kann TE2 sodann Zi, Z_k und den EVP an das Münzregister 2 senden.

Im Schritt 108‘ erfolgt die entsprechende Prüfung in dem Münzregister 2. Das Münzregister 2 prüft, ob der umzuschaltende maskierte Münzdatensatz Z_k ein registrierter maskierter Münzdatensatz ist, insbesondere ob dessen Status gültig ist, prüft ob die Umschaltaufforderung betragsneutral ist und registriert - falls beide Prüfungen positiv verlaufen sind - den neuen maskierten Münzdatensatz Zi als gültigen maskierten Münzdatensatz.

Im Einzelnen könnte dabei nur beispielhaft orientiert an der Tabelle in Fig. 7 das Folgende ablaufen. Z_k wird in die Spalte 22a und in Spalte 23b der umzu schreibende Münzdatensatz Zi gemäß der Tabelle in Fig. 7 eingetragen. Es erfolgt sodann eine Prüfung in dem Münzregister 2, ob Z_k (noch) gültig ist, also ob die letzte Verarbeitung von Z_k in einer der Spalten 23a/b eingetragen ist (als Beweis dafür, dass Z_k nicht weiter aufgeteilt oder deaktiviert oder verbunden wurde) und ob eine Prüfung für die letzte Verarbeitung fehlgeschlagen ist. Zudem wird Zi in die Spalte 23b eingetragen und die Markierungen in den Spalten 25, 26, 27 werden zunächst auf „0“ gesetzt. Nun erfolgt eine Prüfung, ob Zi gültig ist. Im Gutfall wird die Markierung in Spalte 25 auf „1“ gesetzt, ansonsten auf „0“. Nun erfolgt eine Prüfung, dass Z_k und Zi betragsneutral sind und entsprechend wird die Markierung in Spalte 26 gesetzt. Weiterhin wird geprüft, ob die Bereiche schlüssig sind, sodann wird die Markierung in Spalte 27 gesetzt. Wenn alle Prüfungen erfolgreich waren, und dies entsprechend unveränderlich in dem Münzregister 2 festgehalten wurde, gilt der Münzdatensatz als umgeschaltet. D.h. der Münzdatensatz C_k ist nicht mehr gültig und ab sofort ist der Münzdatensatz Ci gültig. Ein Doppeltausgeben ist nicht mehr möglich, wenn eine dritte Teilnehmereinheit TE die Validität des (doppelt ausgegebenen) Münzdatensatz an dem Münzregister 2 und/oder dem Überwachungsregister 6 erfragt. Alternativ oder zusätzlich kann das Münzregister 2 dazu den EVP mittels Gleichungen 9h und 9i prüfen und dann Z_k als gültig markieren und Zi als ungültig markieren.

Im optionalen Schritt 109 erfolgt ein Verbinden von zwei Münzdatensätzen C_k und Ci auf einen neuen Münzdatensatz C_m, wodurch die Münzdatensätze C_k, Ci ungültig werden und ein Doppeltausgeben verhindert wird. Dazu wird der monetäre Betrag n_m aus den beiden monetären Beträgen U_k und ni gebildet. Dazu wird der Verschleierungsbetrag r_m aus den beiden Verschleierungsbeträgen r_k und n gebildet. Zudem wird mittels Gleichung (3) der maskierte zu verbindende Münzdatensatz Z_m erhalten und dieser (mit anderen Informationen zusammen) an das Münzregister 2 gesendet und das Verbinden als Verarbeitung erbeten. Zudem wird eine Signatur S_k und eine Signatur Si erzeugt und dem Überwachungsregister 6 und/oder dem Münzregister 2 mitgeteilt. Beispielsweise kann TE2 einen EVP entsprechend der Gleichungen 9e bis 9g generieren, um anzuzeigen, dass TE2 im Besitz der beiden Münzen Ci und C_k ist und keine neuen monetären Beträge generiert wurden. Zur Prüfung und Validierung kann TE sodann Z_mund Zi oder Z_mund Z_k sowie den EVP an das Münzregister 2 senden.

Im Schritt 109‘ erfolgt die entsprechende Prüfung in dem Münzregister 2. Das Münzregister 2 prüft die Gültigkeit der zu verbindenden Münzdatensätze Z_k, Zi, prüft (direkt oder indirekt) ob das Verbinden betragsneutral ist (v_k + Vi = v_m). Falls die Prüfungen erfolgreich sind, wird Z_m als gültiger maskierter Münzdatensatz registriert und der Status von Z_k sowie Zi wird ungültig. Dabei kann im Einzelnen Z_m in die Spalte 23b gemäß Tabelle in Fig. 7 eingetragen werden. Es erfolgt sodann eine Prüfung in dem Münzregister 2, ob Z_k und Zi (noch) gültig sind, also ob die letzte Verarbeitung von Z_k oder Zi in einer der Spalten 23a/b eingetragen ist (als Beweis dafür, dass Z_k und Zi nicht weiter aufgeteilt oder deaktiviert oder verbunden wurden) und ob eine Prüfung für die letzte Verarbeitung fehlgeschlagen ist. Zudem werden die Markierungen in den Spalten 25, 26, 27 zunächst auf „0“ gesetzt. Nun erfolgt eine Prüfung, ob Z_m gültig ist. Im Gutfall wird die Markierung in Spalte 25 auf „1“ gesetzt, ansonsten auf „0“. Nun erfolgt eine Prüfung, dass Zi plus Z_k gleich Z_m ist und entsprechend wird die Markierung in Spalte 26 gesetzt. Weiterhin wird geprüft, ob die Bereiche schlüssig sind, sodann wird die Markierung in Spalte 27 gesetzt. Alternativ oder zusätzlich kann das Münzregister 2 dazu den EVP mittels Gleichungen 9h und 9i prüfen und dann Z_m als gültig markieren sowie Z_k und Zi als ungültig markieren.

Im optionalen Schritt 110 erfolgt ein asymmetrisches Aufteilen eines Münzdatensatz Ci in zwei Münzteildatensätzen C_k und Q, wodurch der Münzdatensatz Ci ungültig gemacht wird und die beiden asymmetrisch geteilten Münzteildatensätze C_k und Q gültig gemacht werden sollen. Bei einem asymmetrischen Aufteilen wird der monetären Betrag Ui in verschieden große monetäre Teilbeträge U_k und U_j aufgeteilt. Dazu wird der Verschleierungsbetrag n in die beiden Verschleierungsbeträge r_k und h aufgeteilt. Zudem werden mittels Gleichung (3) die maskierten Münzteildatensätze Z_k und Z_j erhalten und diese mit weiteren Informationen, beispielsweise den Bereichsprüfungen (Zero-knowledge-proofs), an das Münzregister 2 gesendet und das Aufteilen als Verarbeitung erbeten. Zudem wird eine Signatur Si erstellt und an das Münzregister 2 gesendet. Beispielsweise kann TE2 einen EVP entsprechend der Gleichungen 9e bis 9g generieren, um anzuzeigen, dass TE2 im Besitz der beiden Münzen Ci, Q und C_k ist und keine neuen monetären Beträge generiert wurden. Zur Prüfung und Validierung kann TE sodann Ziund Zj oder Zi und Zk sowie den EVP an das Münzregister 2 senden.

Im Schritt 110‘ erfolgt die entsprechende Prüfung in dem Münzregister 2. Das Münzregister 2 prüft die Gültigkeit des aufzuteilenden Münzdatensatzes Zi und prüft (direkt oder indirekt) ob das Aufteilen betragsneutral ist (v_k + V_j = Vi). Falls die Prüfungen erfolgreich sind, werden Z_k und Zj als gültige maskierte Münzdatensätze registriert und der Status von Zi wird ungültig. Dabei kann im Einzelnen Zj und Zk in die Spalten 23a/b gemäß Tabelle in Fig. 7 eingetragen werden. Es erfolgt sodann eine Prüfung in dem Münzregister 2, ob Zi (noch) gültig ist, also ob die letzte Verarbeitung von Zi in einer der Spalten 23a/b eingetragen ist (als Beweis dafür, dass Zi nicht weiter aufgeteilt oder deaktiviert oder verbunden wurde) und ob eine Prüfung für die letzte Verarbeitung fehlgeschlagen ist. Zudem werden die Markierungen in den Spalten 25, 26, 27 zunächst auf „0“ gesetzt. Nun erfolgt eine Prüfung, ob Zj und Zk gültig sind, wobei dabei die Prüfung gemäß Gleichungen (16) und (17) verwendet werden können. Im Gutfall wird die Markierung in Spalte 25 auf „1“ gesetzt. Nun erfolgt eine Prüfung, die Berechnung gemäß Gleichung (10) ergibt, dass Zi gleich Zk plus Zj ist und entsprechend wird die Markierung in Spalte 26 gesetzt. Weiterhin wird geprüft, ob die Bereiche schlüssig sind, sodann wird die Markierung in Spalte 27 gesetzt. Beim Prüfen der Signatur kann geprüft werden, ob die zweite Teilnehmereinheit TE2 einen Grenzwert für monetäre Beträge überschritten hat. Die Prüfung erfolgt im Hinblick auf eine Zeiteinheit, beispielsweise könnte ein Tagesgrenzwert damit überwacht werden. Alternativ oder zusätzlich kann das Münzregister 2 dazu den EVP mittels Gleichungen 9h und 9i prüfen und dann Zi und Zj als gültig markieren sowie Zk als ungültig markieren.

In Fig. 9 ist ein beispielhaftes Deaktivieren gezeigt. Dabei wird vom TE1 eine Deaktivieren - Aufforderung 111 an die Münzausgabe-Einheit 12 gesendet. Die Münzausgabeeinheit 12 erstellt eine Lösch- Aufforderung 212 und sendet diese an das Münzregister 2, um den RDS zur zu deaktivierenden eMDS C zu löschen. Der monetäre Betrag des eMDS C wird auf einem Konto des Teilnehmers gutgeschrieben.

In Fig. 10 ist ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines Verfahrens 400 zum Registrieren 104 eines Münzdatensatzes innerhalb einer atomaren Austauschprozedur zwischen den unterschiedlichen Systemen gezeigt. Die Schritte der Fig. 10 sind auch in der Fig. 11 gezeigt und werden mit der Fig. 11 zusammen beschrieben.

In Fig. 11 ist ein Verfahrensablaufdiagramm für ein erfindungsgemäßes Verfahren 400 dargestellt. Das Verfahren 400 bildet ein atomares Austauschverfahren zwischen TE1 und TE2 ab, bei dem TE2 einen Datensatz aus einem anderen System als dem Bezahlsystem BZ mit einem eMDS C des BZ des TE2 austauschen möchte. Das Bezahlsystem BZ ist ein wertbasiertes System, insbesondere der bisher beschriebenen Art. Das andere System Sys2 ist ein anderes Bezahlsystem und unterstützt - vorzugsweise als zugangsbasiertes System - Smart Contracts, beispielsweise kann es ein System zum Austausch einer Kryptowährung, wie BitCoin, Lightning, LiteCoin etc., sein. Der Einfachheit halber wird für Fig. 11 angenommen, dass das andere System ein Bitcoin-Blockchain System ist.

Folgende Annahmen werden getroffen: TE2 hat Bitcoins und TE1 hat eMDS (=C). TE2 möchte Bitcoins an TE1 senden und im Gegenzug einen C von TE1 erhalten. TE2 hat dazu ein BitCoin - Wallet mit einem Bitcoin und möchte den eMDS C von TE1 in seinen CBDC-Datenspeicher empfangen. TE1 und TE2 sind demnach beide dazu eingerichtet, in beiden Systemen Sys2, BZ, Transaktionen durchzuführen. TE1 hat C und möchte gern dafür Bitcoin von TE1 haben. Der Einfachheit halber wird angenommen, dass TE1 (nur) eine C hat und TE2 (nur) einen Bitcoin, die gegenseitig getauscht werden sollen.

Es ist erfindungsgemäß nicht ausgeschlossen, dass einer oder beide Teilnehmereinheiten eine Mehrzahl von eMDS C und/oder Datensätzen (wie BitCoin) aufweist und im Rahmen des atomic swaps eine Mehrzahl von eMDS C des Bezahlsystems und/oder Datensätzen des anderen Systems austauscht.

Es wird folgendes atomares Austauschverfahren zwischen den unterschiedlichen Systemen durchgeführt:

Das atomare Austauschverfahren zeigt mit den Schritten 401-403 das Erzeugen und Einbringen eines HTLC-gesicherten Datensatzes (der Bitcoin von TE2) im anderen System Sys2 (=Fremdsystem, nicht das Bezahlsystem BZ). Dies kann auch als Einrichten-Phase bezeichnet werden.

In den Schritten 404 bis 409 erfolgt das Registrieren 104 eines neuen elektronischen Münzdatensatzes (der eMD von TE1) in dem Münzregister 2. Dies kann auch als Registrieren - Phase bezeichnet werden und ist vorrangig Teil dieser Anmeldung.

Hier erfolgt zuerst das Einrichten durch die TE2 und anschließend das Registrieren durch TE1. Das Vertauschen der Reihenfolge von „Einrichten“ und „Registrieren“ ist nicht völlig ausgeschlossen, sodass auch TE1 den atomaren Austausch initiieren kann. Die gezeigte Reihenfolge erhöht jedoch die Sicherheit der Lösung.

In den Schritten 410 bis 418 wird der Austausch (inklusive SWAP) durchgeführt, die eMD wechselt den Besitzer von TE1 zu TE2 in Schritt 410, nach diversen Prüfungen legt TE2 in Schritt 414 den Urbild-Datensatz zum Entsichern des HTLC-gesicherten Datensatzes im Münzregister 2 offen. Sodann kann TE1 den HTLC-gesicherten Datensatz entsichern und auf sich gutschreiben (Redeem).

Die Schritte 401 bis 418 sind an definierte Zeitspannen TI und T2 gekoppelt.

Nun folgt eine detaillierte Beschreibung der Fig. 11:

Im Schritt 401 erzeugt TE2 dazu ein Geheimnis, auch als Urbild oder pre-image bezeichnet. Dieses Geheimnis ist zunächst dem TE1 unbekannt und ist eine Datenbasis für eine Streu Wertberechnung über das Urbild durch TE2. Der Streuwert H ist beispielsweise mittels Streu wertfunktion sha256 über das Urbild berechnet. Zudem definiert TE2 eine Zeitspanne TI. Der Streuwert H und die Zeitspanne TI bilden die Grundlage für einen Hash Timelock contract, kurz HTLC.

Im Schritt 402 erzeugt die TE2 eine Bitcoin Transaktion - nachfolgend auch Datensatz genannt. Diesem BitCoin-Datensatz wird der HTLC hinzugefügt, wodurch der Bitcoin mit dem HTLC verschlossen (=gesichert) ist. Der HTLC sichert den Datensatz derart ab, dass ein Empfänger des Datensatzes das Urbild des Streuwerts H benötigt, um den Datensatz bestimmungsgemäß verwenden zu können. Zudem ist die Zeitdauer TI dazu vorgesehen, dass TE2 den Datensatz wieder bestimmungsgemäß verwenden kann, wenn binnen der Zeitdauer TI keine Entsicherung mittels Urbildes von einer anderen TE erfolgt, der Datensatz also nicht mittels Urbildes eingelöst worden ist.

Im Schritt 403 wird der erstellte Datensatz (Bitcoin, Smart contracts, cryptocurrency) in einem System Sys2, einem System, dass nicht das Bezahlsystem BZ ist, eingebracht. Beispielsweise ist Sys2 eine Blockchain-Architektur, der Datensatz wird in einem Knoten, Sys2-Node, bestätigt („commited“). Das dem Datensatz zugefügte HTLC bedingt, dass TE1 das Geheimnis (Urbild) kennen muss, um den Datensatz im Sys2 zu entsichern und den Datensatz auf sich gutschreiben („redeem“) zu können.

In der Schrittabfolge 404 wird der Hashwert H und die Zeitdauer TI des HTLC des Datensatzes des Sys2 durch die TE1 beim Sys2 abgefragt bzw. erhalten. Dabei kann ein Anfrage-Antwort Schema verwendet werden, dass durch eine Authentisierung und ggf. eine verschlüsselte Übertragung zusätzlich abgesichert ist.

Im Schritt 405 erzeugt TE1 einen ersten elektronischen Münzdatensatz C_k und einen zweiten elektronischen Münzdatensatz Q aus einem vorhandenen Münzdatensatz Ci. Alternativ wird nur ein elektronischer Münzdatensatz Q aus einem vorhandenen Münzdatensatz Ci erzeugt. Weiterverfolgt soll in Fig. 11 die Alternative mit zwei erzeugten elektronischen Münzdatensätzen C_k und Q werden. Für Ci, C_k und Q gelten die folgenden drei Bedingungen:

Ui = Uk = Uj Ui > 0 n ungleich h ungleich r_k.

Im Schritt 406 werden nach Gleichungen (9e) bis (9g) die optionalen EVP_j-k und EVPi-_k errechnet und eine Zeitdauer T2 definiert. Die Zeitdauer T2 ist beispielsweise einige Tage, bevorzugt 3 Tage. Die Zeitdauer T2 muss enden, bevor die Zeitdauer TI endet, beispielsweise beträgt TI = 2 x T2. Im Schritt 406 werden Zi (falls noch nicht vorhanden), Z_k und Z_j berechnet.

Im Schritt 407 wird eine neuartige Registrierungsaufforderung gesendet. Diese Aufforderung kann im System BZ auch als SWAP-Befehl bezeichnet werden. Das Münzregister 2 empfängt folgende Elemente: Zi, Z_j optional mit EVPi-_j und Zeitdauer T2 sowie Z_k optional mit EVPi-_k und dem Hashwert H vom HTLC des Sys2. Dabei ist Z_j mit der Zeitdauer T2 gesichert (timelock) und Z_k ist mit dem Hashwert H gesichert (hashlock), sodass im Ergebnis eine Registrierungsaufforderung mit HTLC an das Münzregister 2 übertragen wird.

In der nicht dargestellten Alternative mit nur einem erzeugten elektronischen Münzdatensatz C_k, wird im Schritt 407 der maskierte Münzdatensatz Z_j mit dem Streuwert H gesichert (Hashlock) und die Registrieraufforderung wird als (um die Zeitspanne T2) zeitverzögertes Umschalte - Kommando interpretiert. Entweder löst TE2 den Hashlock am Z_j auf, indem er den Urbild- Datensatz dem Münzregister 2 offenlegt, oder die um die Zeitspanne T2 zeitverzögerte Umschaltung von Z_j zurück auf Zi für die TE1 erfolgt durch das Münzregister 2, weil die Zeitspanne T2 abgelaufen ist. Je nachdem was zuerst eintritt, wird entweder ein SWAP ausgeführt oder ein Urzustand wiederhergestellt.

Im Schritt 408 überprüft das Münzregister 2 die Registrierungsaufforderung (=SWAP). Dazu werden durch das Münzregister 2 bis zu fünf Verifizierungen durchgeführt:

1: EVPi-_j wird aus Zi und Z_j verifiziert (optional),

2: EVPi-_k wird aus Zi und Z_k verifiziert (optional),

3: Es wird verifiziert, dass Zi existiert und gültig ist,

4: Es wird verifiziert, dass Z_k und Z_j den gleichen Betrag wie Zi enthalten, und optional dass sie (noch) nicht existieren; und

5: Es wird verifiziert, dass die Zeitspanne T2 in der Zukunft liegt.

Sind alle bis zu fünf Verifizierungen erfolgreich durchgeführt worden, dann wird: 1 : Zi als ungültig markiert,

2: Z_j und Z_k gesichert in das Münzregister 2 eingetragen (Timelock & Hashlock),

3: Eine Bestätigung „OK“ im Schritt 409 an die TE1 gesendet.

Ist eine der bis zu fünf Verifizierungen nicht erfolgreich, dann wird eine Fehlermeldung an TE1 gesendet. Der atomic swap wird dann vorzugsweise abgebrochen. Nach Ablauf der Zeitspanne T2 wird Z_j auf TE1 umgeschaltet (oder auf SWITCH-Kommando vom TE1). Nach Ablauf der Zeitspanne TI wird der Datensatz in Sys2 wieder an TE2 zurückgeschrieben.

Mit dem Schritt 409 sind alle Vorbereitungen für einen atomic SWAP abgeschlossen, TI, T2 sind definiert, H ist in TE1 bekannt, der Datensatz des Fremdsystems Sys2 ist mit HTLC gesichert im Sys2 und Zi und Z_k sind gesichert in das Münzregister 2 eingetragen (Timelock & Hashlock). Nochmal der Hinweis: In einer alternativen (nicht dargestellten) Ausführung, wird nur Z_j in das Münzregister 2 eingetragen und über einen mit Zeitspanne T2 zeitverzögertes Umschalten kann der Urzustand wieder hergestellt werden. Dieser Umschaltbefehl kann von TE1 generiert werden mit Schritt 407 oder der Schritt 407 wird als zeitverzögertes Umschalten vom Münzregister 2 interpretiert.

Ab dem Schritt 410 erfolgt das eigentliche Austauschen (SWAP).

Zunächst überträgt TE1 an TE2 im Schritt 410 den Münzdatensatz Q. Im Schritt 411 prüft TE2 die Korrektheit des monetären Betrags von Q_.

Im Schritt 412 fragt TE2 am Münzregister 2 die Verfügbarkeit von Z_k ab und prüft, ob der Hash H des Z_k dem Hash H vom Datensatz entspricht. Zudem prüft TE2, ob das Ende der Zeitspanne T2 noch in der Zukunft liegt.

Sind alle Prüfungen in den Schritten 411 und 412 erfolgreich, erzeugt TE2 im Schritt 413 einen elektronischen Münzdatensatz C_m mit U_k = r>_m und n ungleich r_m. Zudem wird ein Z_m errechnet und optional im Schritt 413 nach Gleichungen (9e) bis (9g) der EVP_k-m errechnet.

Im Schritt 414 sendet TE2 eine Registrierungsaufforderung (auch als REDEEM bezeichnet) an das Münzregister 2 mit Z_m, (ggf. EVP_k-m) und dem Urbild-Datensatz aus Schritt 401.

Im Schritt 415 überprüft das Münzregister 2 die Registrierungsaufforderung (=REDEEM). Dazu werden durch das Münzregister 2 bis zu drei Verifizierungen durchgeführt:

1: EVP_k-m wird aus Z_k und Z_m verifiziert (optional), 2: Es wird verifiziert, dass Z_k existiert und mit dem Hashwert H gesichert ist (hashlock),

3: Es wird verifiziert, dass bei Anwendung der Streu wertfunktion (gleich der Streu wertfunktion aus Schritt 401) aus dem Urbild-Datensatz von TE2 der Hashwert H wird, der das Z_k sichert.

Sind alle bis zu drei Verifizierungen im Schritt 415 erfolgreich durchgeführt worden, dann wird:

1 : Z_j und Z_k als ungültig markiert,

2: Z_m in das Münzregister 2 eingetragen (ungesichert),

3: Der Urbild-Datensatz im Münzregister 2 veröffentlicht,

3: Ein „OK“ im Schritt 415a an die TE2 gesendet.

Ist eine der bis zu drei Verifizierungen im Schritt 415 nicht erfolgreich, dann wird eine Fehlermeldung an TE2 gesendet, der atomic swap wird abgebrochen. Nach Ablauf der Zeitspanne T2 wird Z_j auf TE1 umgeschaltet (oder auf SWITCH-Kommando vom TE1). Nach Ablauf der Zeitspanne TI wird der Datensatz in Sys2 wieder an TE2 zurückgeschrieben.

Im Schritt 416 fragt die TE1 den Urbild-Datensatz von dem Münzregister 2 ab. Die Abfrage kann durch Authentisierung oder Verschlüsselungen weiter abgesichert sein.

Im Schritt 417 verwendet die TE1 den Urbild-Datensatz, um den HTLC-gesicherten Datensatz des Fremdsystems Sys2 zu entsichern und den Bitcoin auf sich gutschreiben zu lassen.

Ist eine der Prüfungen in den Schritten 411 und 412 nicht erfolgreich, so verweigert die TE2 das Offenlegen des Urbild-Datensatzes aus dem Schritt 401. Damit ist der atomic swap gescheitert. Nach der Zeitspanne T2 sendet TE1 im Schritt 420 ein Umschalt- Kommando, um Z_j auf TE2 umzuschalten, woraufhin Z_k automatisch invalidiert wird. Selbst wenn TE2 den Urbild- Datensatz veröffentlicht, kann dann Z_k nicht validiert werden. Alternativ (nicht dargestellt) wird nach Ablauf von T2 ein automatischer Switch im Münzregister 2 auf Zi durchgeführt, um den Urzustand wieder herzustellen. Nach Ablauf der Zeitspanne TI kann TE2 im Schritt 421 den Bitcoin aus Sys2 wieder auf sich gutschreiben lassen.

Im Rahmen der Erfindung können alle beschriebenen und/oder gezeichneten und/oder beanspruchten Elemente beliebig miteinander kombiniert werden. BEZUGSZEICHENLISTE

BZ Bezahlsystem

1 Herausgeberinstanz,

11 Münzgenerierung (Münzgenerator)

12 Münzausgabe

13 Prüfeinheit 14, 14’ Air Gaps

15 Empfangseinheit

16 Münzeinlese-Einheit

17 Datenspeicher la Zentralbank, CB,

2 Münzregister

21 Befehls-Eintrag

22a, b Eintrag eines zu verarbeitenden elektronischen Münzdatensatzes (Vorgänger) 23a, b Eintrag eines verarbeiteten elektronischen Münzdatensatzes (Nachfolger)

24 Signatur-Eintrag

25 Markierung der Gültigkeitsprüfung

26 Markierung der Betrags-Berechnungsprüfung

27 Markierung der Bereichsnachweisprüfung

28 Markierung der Signatur-Prüfung

29 Abschluss-Markierung

3 Direkttransaktions Schicht

4 Bankinstanz

Ai Ausdruck repräsentierend einen elektronischen Münzdatensatz

MCi Metadaten über den elektronischen Münzdatensatz M-ID Münzkennung des elektronischen Münzdatensatzes Ci elektronischer Münzdatensatz,

C_o elektronischer Stamm-Münzdatensatz

C_j, C_k aufgeteilter elektronischer Münzteildatensatz,

C_{j k} k-ter aufgeteilter elektronischer Münzteildatensatz bei symmetrischer Aufteilung

Ci umzu schaltender elektronischer Münzdatensatz

C_m zu verbindendender elektronischer Münzdatensatz

Ci^* übertragener elektronischer Münzdatensatz

C_j ^*, C_k ^* übertragener aufgeteilter elektronischer Münzteildatensatz,

Mx x-tes Gerät SEx x-tes Sicherheitselement TEx x-te Teilnehmereinheit RDSi Registerdatensatz RDS_o Stamm-Registerdatensatz

[RDSi]Sig(PKi) Signatur der Herausgeberinstanz (Münzgenerierung)

PKi Privater Schlüsselteil der Herausgeberinstanz f(C) Einwegfunktion Ui_, Monetärer Betrag u₀ Monetärer Stamm-Betrag des elektronischen Stamm-Münzdatensatzes

D_j, U_j Aufgeteilter monetärer Betrag ui_, Monetärer Betrag eines umzuschaltenden/umgeschalteten elektr. Münzdatensatzes n_m, Monetärer Betrag eines zu verbindenden/verbundenen elektr. Münzdatensatz pi_, Zählerwert für Alterung des Münzdatensatzes k Zufallszahl für EVP n Verschleierungsbetrag, Zufallszahl r₀ Stamm-Verschleierungsbetrag, Zufallszahl des Stamm-Münzdatensatzes, h, i_j Verschleierungsbetrag eines aufgeteilten elektronischen Münzdatensatzes r_m Verschleierungsbetrag eines zu verbindenden elektronischen Münzdatensatzes

Zi maskierter elektronischer Münzdatensatz

Zi^* maskierter übertragener elektronischer Münzdatensatz

Z_j, Z_k maskierter aufgeteilter elektronischer Münzteildatensatz

Z_j ^*, Z_k ^*maskierter übertragener aufgeteilter elektronischer Münzdatensatz

Zi maskierter umzu schaltender elektronischer Münzdatensatz

Z_m maskierter zu verbindender elektronischer Münzdatensatz

101-111 Verfahrensschritte des Bezahlsystems gemäß einem Ausführungsbeispiel

201-212 Verfahrensschritte der Herausgeberinstanz gemäß einem Ausführungsbeispiel

301-311 Verfahrensschritte im Bezahlsystem gemäß einem Ausführungsbeispiel

401-421 Verfahrensschritte im Bezahlsystem gemäß einem Ausführungsbeispiel

Claims

PATENTANSPRÜCHE

1. Ein Verfahren (400) zum Registrieren (104) eines elektronischen Münzdatensatzes (C) in einem Münzregister (2) eines elektronischen Bezahlsystems (BZ) mit den Verfahrensschritten:

Erzeugen (405), durch eine erste Teilnehmereinheit (TE1) des Bezahlsystems (BZ), eines elektronischen Münzdatensatzes (Q) aufweisend einen monetären Betrag (n_j) und einen Verschleierungswert (h), wobei der monetäre Betrag (n_j) des erzeugten elektronischen Münzdatensatzes (Q) einem monetären Betrag (Di) eines in der ersten Teilnehmereinheit (TE1) vorhandenen elektronischen Münzdatensatzes (Ci) entspricht;

Maskieren (406), durch die erste Teilnehmereinheit (TE1), des erzeugten elektronischen Münzdatensatzes (Q) durch Anwenden einer Einwegfunktion (f(C)) auf mindestens ein Datenelement des elektronischen Münzdatensatzes (Q) zum Erhalten eines maskierten erzeugten elektronischen Münzdatensatzes (Z_j);

Senden einer Registrierungsaufforderung (407) für den maskierten erzeugten elektronischen Münzdatensatz (Z_j) von der ersten Teilnehmereinheit (TE1) an das Münzregister (2) zusammen mit einer Zeitsicherung, wobei die Zeitsicherung eine Zeitdauer (T2) vorgibt, bis zu der eine zweite Teilnehmereinheit (TE2) des Bezahlsystems (BZ) den erzeugten elektronischen Münzdatensatz (Q) im Münzregister (2) auf sich umschalten kann.

2. Das Verfahren (400) nach Anspruch 1, wobei das Registrieren (104) des elektronischen Münzdatensatzes (Q) ein Teil eines atomaren Austauschverfahrens ist.

3. Das Verfahren (400) nach Anspruch 1 oder 2, wobei die Registrierungsaufforderung (407) eine Austausch- Aufforderung ist, um den erzeugten elektronischen Münzdatensatz (Q) von der ersten Teilnehmereinheit (TE1) gegen einen Datensatz aus einem anderen System (Sys2) als dem Bezahlsystem (BZ) von der zweiten Teilnehmereinheit (TE2) au szutau sehen.

4. Das Verfahren (400) nach einem der vorhergehenden Ansprüche, wobei die erste Teilnehmereinheit (TE1) den erzeugten elektronischen Münzdatensatz (Q) direkt an die zweite Teilnehmereinheit (TE2) überträgt, wenn die erste Teilnehmereinheit (TE1) eine Registrierungsbestätigung (409) von dem Münzregister (2) erhalten hat.

5. Das Verfahren (400) nach Anspruch 4, wobei vor dem Senden der Registrierungsbestätigung (409) an die erste Teilnehmereinheit (TE1) das Münzregister (2) verifiziert, dass der maskierte erzeugte elektronische Münzdatensatz (Z_j) noch nicht im Münzregister (2) registriert ist und dass das Münzregister (2) den maskierten erzeugten Münzdatensatz (Z_j) zeitgesichert registriert, wobei die Zeitsicherung automatisch aufgehoben ist, wenn die Zeitdauer (T2) abgelaufen ist.

6. Das Verfahren (400) nach einem der vorhergehenden Ansprüche, wobei mit der Registrierungsaufforderung (407) eine verzögerte Umschaltaufforderung (108) von der ersten Teilnehmereinheit (TE1) an das Münzregister (2) übertragen wird oder wobei die Registrierungsaufforderung (407) auch eine verzögerte Umschaltaufforderung (108) ist, aufgrund dessen das Münzregister (2) den maskierten erzeugten Münzdatensatz (Z_j) automatisch auf die erste Teilnehmereinheit (TE1) umschaltet (108), wenn die Zeitdauer (T2) abgelaufen ist.

7. Das Verfahren (400) nach einem der vorhergehenden Ansprüche, wobei vor dem Senden - Schritt (407) die erste Teilnehmereinheit (TE1) einen Streuwert (H) aus einem Datensatz aus einem anderen System (Sys2) als dem Bezahlsystem (BZ) empfängt und die erste Teilnehmereinheit (TE1) den maskierten erzeugten elektronischen Münzdatensatz (Z_j) mit dem Streuwert (H) streuwertsichert, sodass das Münzregister (2) den maskierten erzeugten Münzdatensatz (Z_j) streuwertgesichert registriert.

8. Das Verfahren (400) nach Anspruch 7, wobei vor dem Senden-Schritt (407) die erste Teilnehmereinheit (TE1) zudem eine Zeitdauer (TI) aus dem Datensatz des anderen Systems (Sys2) empfängt, wobei die Zeitdauer (TI) aus dem Datensatz des anderen Systems (Sys2) eine Zeitspanne vorgibt, bis zu der die erste Teilnehmereinheit (TE1) den Datensatz aus dem anderem System (Sysl) für sich einlösen kann.

9. Das Verfahren (400) nach Anspruch 8, wobei die erste Teilnehmereinheit (TE1) die Zeitdauer (T2) für die Registrierungsaufforderung (407) derart wählt, dass sie vor dem Ablauf der Zeitdauer (TI) aus dem Datensatz des anderen Systems (Sys2) abläuft, wobei bevorzugt die Zeitdauer (T2) der Registrierungsaufforderung (407) ungefähr die Hälfte der Zeitdauer (TI) zwischen Empfang der Zeitdauer (TI) aus dem Datensatz des anderen Systems (Sys2) und dem Ablauf der Zeitdauer (TI) aus dem Datensatz des anderen Systems (Sys2)ist.

10. Das Verfahren (400) nach einem der Ansprüche 1 bis 9, wobei die zweite Teilnehmereinheit (TE2) den erzeugten elektronischen Münzdatensatz (Q) direkt von der ersten Teilnehmereinheit (TE1) empfängt und wobei die zweite Teilnehmereinheit (TE2) prüft, ob der maskierte erzeugte elektronische Münzdatensatz (Z_j) im Münzregister (2) mit dem Streuwert (H) streuwertgesichert ist.

11. Das Verfahren (400) nach einem der vorhergehenden Ansprüche, mit den weiteren Verfahrensschritten:

Erzeugen (413), durch die zweite Teilnehmereinheit (TE2), eines elektronischen Münzdatensatzes (C_m) aufweisend einen monetären Betrag (n_m) und einen Verschleierungswert (r_m), wobei der monetäre Betrag (n_m) des erzeugten elektronischen Münzdatensatzes (C_m) dem monetären Betrag (i)_j) des von der der ersten Teilnehmereinheit (TE1) empfangenen elektronischen Münzdatensatzes (Q) entspricht;

Maskieren, durch die zweite Teilnehmereinheit (TE2), des erzeugten elektronischen Münzdatensatzes (C_m) durch Anwenden der Einwegfunktion (f(C)) auf mindestens ein Datenelement des elektronischen Münzdatensatzes (C_m) zum Erhalten des maskierten erzeugten elektronischen Münzdatensatzes (Z_m);

Senden einer Registrierungsaufforderung (415) für den maskierten erzeugten elektronischen Münzdatensatz (Z_m) von der zweiten Teilnehmereinheit (TE2) an das Münzregister (2) zusammen mit einem Urbild-Datensatz, wobei der Urbild-Datensatz auch die Basis für den Streuwert (H) in dem Datensatz aus dem anderem als dem Bezahlsystem (Sys2) ist, wobei das Senden innerhalb der Zeitdauer (T2) der Zeitsicherung erfolgt.

12. Das Verfahren (400) nach Anspruch 11, wobei das Münzregister (2) den maskierten erzeugten elektronischen Münzdatensatz (Z_m) auf die zweite Teilnehmereinheit (TE2) registriert (104), wenn ein Streuwert über den Urbild-Datensatz mit dem mit dem Streuwert (H) streuwertgesicherten maskierten elektronischen Münzdatensatz (Z_j) des Münzregisters (2) übereinstimmt und wenn die Zeitdauer (T2) der Zeitsicherung des maskierten erzeugten elektronischen Münzdatensatzes (Z_j) noch nicht abgelaufen ist.

13. Das Verfahren (400) nach einem der vorhergehenden Ansprüche 11 oder 12, wobei die erste Teilnehmereinheit (TE1) den Urbild-Datensatz von dem Münzregister (2) abfragt, um den Datensatz aus dem anderen System (Sys2) als dem Bezahlsystem (BZ) zu empfangen.

14. Das Verfahren (400) nach einem der vorhergehenden Ansprüche, wobei das Senden der Registrierungsaufforderung (407) eine Mehrzahl von maskierten erzeugten elektronischen Münzdatensätzen von der ersten Teilnehmereinheit (TE1) umfasst, wobei für jede der maskierten erzeugten elektronischen Münzdatensätze (Z) die gleiche Zeitsicherung, bevorzugt auch die gleiche Streuwertsicherung durch einen Streuwert (H) aus einem Datensatz aus einem anderen System (Sysl) als dem Bezahlsystem (BZ), verwendet wird.

15. Das Verfahren (400) nach einem der vorhergehenden Ansprüche, wobei das Münzregister (2) jeden maskierten elektronischen Münzdatensatz (Z) als registrierten Registerdatensatz (RDS) registriert.

16. Das Verfahren (400) nach einem der vorhergehenden Ansprüche, wobei vor dem Erzeugen- Schritt (405) die folgenden Schritte durchgeführt werden:

Empfangen (102, 105) des elektronischen Münzdatensatzes (Ci) von einer

Herausgeberinstanz (1) und/oder einer anderen Teilnehmereinheit (TE); und Abfragen eines Registerdatensatzes (RDSi) zu dem empfangenen elektronischen

Münzdatensatz (Ci) bei dem Münzregister (2).

17. Das Verfahren (400) nach Anspruch 16, wobei erst bei Vorhandensein eines

Registerdatensatzes (RDSi) zu diesem elektronischen Münzdatensatz (Ci), das Verfahren gemäß der Ansprüche 1 bis 16 durchgeführt wird.

18. Das Verfahren (400) nach einem der vorhergehenden Ansprüche, wobei die

Verfahrensschritte, die in einer Teilnehmereinheit (TE) durchgeführt werden, in einer gesicherten Laufzeitumgebung, beispielsweise einem Sicherheitselement (SE) der jeweiligen Teilnehmereinheit (TE), durchgeführt werden.

19. Das Verfahren (400) nach einem der vorhergehenden Ansprüche, wobei die Zeitdauer (T2) in der Registrierungsaufforderung (407) nur einige Tage, bevorzugt 3 Tage ist, wobei die Zeitdauer (TI) in dem Datensatz des anderen Systems (Sys2), bevorzugt 7 Tage ist.

20. Das Verfahren (400) nach einem der vorhergehenden Ansprüche, wobei der Streuwert (H) mittels einer Streuwertfunktion in der zweiten Teilnehmereinheit (TE2) errechnet wurde, wobei als Basis ein geheimer Urbild-Datensatz in der zweiten Teilnehmereinheit (TE2) generiert (401) wurde.

21. Das Verfahren nach einem der vorhergehenden Ansprüche, wobei in dem Schritt des Maskierens eine homomorphe Einwegfunktion angewandt wird; und/oder

- der Verschleierung s wert ein Verschleierungsbetrag ist, wobei die Einwegfunktion zumindest auf den Geldbetrag (v), vorzugsweise auf den Geldbetrag (v) und den Verschleierungsbetrag (r) angewandt wird,

- in dem Schritt des Maskierens aus dem Verschleierungswert (r) ein maskierter Verschleierungswert (R) erzeugt wird, wobei der maskierte elektronische Münzdatensatz (Z) den Geldbetrag (v) und den maskierten Verschleierungswert (R) als Datenelemente umfasst.

22. Münzregister (2) zum Registrieren von Registerdatensätzen (RDS), insbesondere maskierten elektronischen Münzdatensätzen (Z), in einem elektronischen Bezahlsystem (BZ), mit: einer Datenschnittstelle, eingerichtet zum Empfangen von Status- und/oder Registrieranforderungen und zum Senden von Registerstatus bezüglich Registerdatensätzen (RDS) des Bezahlsystems (BZ) gemäß einem der vorhergehenden Ansprüche.

23. Das Münzregister (2) nach Anspruch 22, wobei das Münzregister (2) eingerichtet ist zum:

Empfangen eines Urbild-Datensatzes von einer Teilnehmereinheit (TE); Anwenden einer Streu wertfunktion auf den Urbild-Datensatz zum Erzeugen eines Streu werts;

Vergleichen des erzeugten Streuwerts mit einem zuvor empfangenen Streuwerts (H); und Registrieren (104) eines mittels dem Streuwert streuwertgesicherten Registerdatensatz (RDS) in dem Münzregister (2).

24. Das Münzregister (2) nach Anspruch 22 oder 23, weiter aufweisend eine Prüfeinheit zum Prüfen der Gültigkeit von den Registerdatensätzen (RDSi) entsprechenden elektronischen Münzdatensätzen (Ci).

25. Ein Bezahlsystem (BZ) zum Bezahlen mit elektronischen Münzdatensätzen (C) mit: einem Münzregister (2), eingerichtet zum Registrieren (104) der elektronischen

Münzdatensätze (C) gemäß einem der vorhergehenden Verfahrensansprüche; Teilnehmereinheiten (TE1, TE2), eingerichtet zum:

Ausführen von Bezahltransaktionen durch Übertragen (105) der elektronischen Münzdatensätze (C) und zum Senden von Status- und/oder Registrierungsaufforderungen (407) betreffend die elektronischen Münzdatensätze (C) gemäß einem der vorhergehenden Verfahrensansprüche; und

Ausführen von Transaktionen durch Übertragen von Datensätzen in einem anderen System (Sys2) als dem Bezahlsystem (BZ) gemäß einem der vorhergehenden V erfahrensansprüche .

26. Das Bezahlsystem (BZ) nach Anspruch 25, wobei das Münzregister (2) eingerichtet ist zu Registrieren (104) des elektronischen Münzdatensatzes (C) als ein Teil eines atomaren Austauschverfahrens, wobei eine Registrierungsaufforderung (407) eine Austausch- Aufforderung ist, um den erzeugten elektronischen Münzdatensatz (C) von der ersten Teilnehmereinheit (TE) gegen einen Datensatz aus einem anderen System (Sysl) als dem Bezahlsystem (BZ) von der zweiten Teilnehmereinheit (TE2) auszutauschen.

27. Eine Teilnehmereinheit (TE1), eingerichtet zum direkten Übertragen von elektronischen Münzdatensätzen (Ci) an eine andere Teilnehmereinheit (TE2, TE3) in einem elektronischen Bezahlsystem (BZ) und eingerichtet zum Ausführen von Bezahltransaktionen durch Übertragen (105) von elektronischen Münzdatensätzen (Ci) und zum Senden von Status- und/oder Registrierungsaufforderungen (407) betreffend die elektronischen Münzdatensätze (C) an ein Münzregister (2) aufweisend:

- ein Mittel zum Zugreifen auf einen Datenspeicher (10, 10‘), wobei im Datenspeicher (10, 10‘) zumindest ein elektronischer Münzdatensatz (C) abgelegt ist;

- eine Schnittstelle zum Ausgeben des zumindest einen elektronischen Münzdatensatzes (C) an die andere Teilnehmereinheit (TEx) zum Übertragen von Status- und/oder Registrierungsaufforderungen (407) betreffend die elektronischen Münzdatensätzen (C) an das Münzregister (2); und

- eine Recheneinheit (33), eingerichtet zum Ausführen der Verfahrensschritte des Verfahrens (400) gemäß einem der Ansprüche 1 bis 21.

28. Ein Computerprogramprodukt ausführbar installiert in einer Teilnehmereinheit (TE) und aufweisend Mittel zum Ausführen der Verfahrensschritte des Verfahrens (400) gemäß einer der Ansprüche 1 bis 21.