WO2020126078A1 - Verfahren zum erzeugen einer blinden signatur - Google Patents

Verfahren zum erzeugen einer blinden signatur Download PDF

Info

Publication number
WO2020126078A1
WO2020126078A1 PCT/EP2019/025438 EP2019025438W WO2020126078A1 WO 2020126078 A1 WO2020126078 A1 WO 2020126078A1 EP 2019025438 W EP2019025438 W EP 2019025438W WO 2020126078 A1 WO2020126078 A1 WO 2020126078A1
Authority
WO
WIPO (PCT)
Prior art keywords
emd
subscriber
signature
generated
publisher
Prior art date
Application number
PCT/EP2019/025438
Other languages
English (en)
French (fr)
Inventor
Tilo FRITZHANNS
Florian Gawlas
Original Assignee
Giesecke+Devrient Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke+Devrient Gmbh filed Critical Giesecke+Devrient Gmbh
Priority to EP19824235.6A priority Critical patent/EP3899844A1/de
Publication of WO2020126078A1 publication Critical patent/WO2020126078A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/06Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
    • G06Q20/065Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash
    • G06Q20/0658Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash e-cash managed locally
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/22Payment schemes or models
    • G06Q20/29Payment schemes or models characterised by micropayments
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3678Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes e-cash details, e.g. blinded, divisible or detecting double spending
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • G06Q20/38215Use of certificates or encrypted proofs of transaction rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/383Anonymous user system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3257Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using blind signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce

Definitions

  • the invention relates to a method for generating a blind signature for an electronic coin data record, eMD.
  • the invention also relates to a method for obtaining a blind signature in a subscriber.
  • the invention also relates to a method for deriving a partial monetary amount from an already blindly signed eMD by a subscriber.
  • the invention also relates to several methods for checking the blind signature generated / obtained.
  • the invention relates to a payment system for transmitting an electronic coin data record between at least two participants.
  • the "DigiCash” process is available for the anonymous exchange of electronic coin data records based on so-called blind signatures.
  • a principle that is similar to the "DigiCash” process with blind signatures is shown in Fig.l.
  • Blind digital signatures can be generated, for example, using an elliptic curve digital signature algorithm, ECDSA, a variant of the digital signature algorithm, DSA, in which elliptic curve cryptography is used.
  • ECDSA is shown for example in Fig.2.
  • None of the known concepts enables a duplication of the monetary amount (coin denomination) of the signed digital coin. This means that, for example, if a coin data record has a monetary amount of € 1, then for payment of a monetary amount of € 100, one is forced to send and have one hundred generated electronic coin data records verified. This makes verification more difficult and increases the amount of data for transferring large amounts of money.
  • the known concepts are non-transparent for an inspection body and only the authenticity of a signature can be checked without being sure whether a participant has manipulated the eMD. In fact, blind signatures are not accepted in many sales outlets due to this lack of transparency.
  • the monetary amount (coin value) of a signed eMD should be easily divisible without a blind signature losing its invalidity.
  • the aim is to create a direct exchange between participants and the corresponding end devices, which is uncomplicated and fast.
  • a participant should also be able to return appropriate change (change) in the form of an eMD shared by the received eMD.
  • the procedure is intended to remain non-transparent for a third party in order to guarantee anonymous payment.
  • the object is achieved in particular by a method for generating a blind signature for an electronic coin data record, eMD.
  • the method comprises the following steps: Receiving an unsigned, blinded eMD from a subscriber at a signature publisher; Expanding the unsigned, blinded eMD with a publisher information by the signature publisher to obtain an expanded unsigned eMD; Signing the expanded unsigned eMD using a publisher-generated random number 35 and a secret key of the signature publisher to obtain an expanded signed veneered eMD; and sending the expanded signed hidden eMD and the publisher information to the subscriber, the sent publisher information being part of the blind signature.
  • the publisher adds information to the signature, also referred to as a release message.
  • this publisher information becomes an invariable part of the blind signature of the eMD.
  • This publisher information - as well as the signed, blinded eMD - is made available to the participant, for example in plain text. Any unmanipulable information from a publisher is regarded as publisher information.
  • the publisher information is independent and therefore not dependent on the eMD or the participant. Independent information is therefore independent information that is not dependent on other entities.
  • the blind signature generated with this method enables every participant in the payment system to verify the authorship of the signature via a blinded eMD.
  • the publisher information thus serves in a checking step to verify the part of the signature that was formed by the publisher information more thoroughly.
  • the publisher information is not secret and can be transmitted as plain text information in the sending step, for example.
  • the publisher information is preferably provided as independent information, regardless of the signed hidden eMD. This independent provision ensures that the publisher information and the eMD are completely separate information and were originally generated by different instances. While the eMD can be generated by the subscriber himself, the publisher information is from the (trustworthy) signal. tur publisher has been generated. In this way, anonymity in the payment system is preserved, on the one hand, and additional information independent of eMD is also signed by this publisher information. It is also conceivable that the publisher information is made available directly to a test body in an examination procedure.
  • the publisher information used to expand the unsigned, blinded eMD is preferably the result of a scatter value function (hash function) with a publisher value, the publisher value being sent as the publisher information.
  • a scatter value function is a mapping that maps a large input quantity (for example the publisher value or secret key) to a smaller target quantity (the hash values, for example the publisher information).
  • a hash function is therefore generally not injective.
  • the input quantity can contain elements of different lengths, whereas the elements of the target quantity usually have a fixed length. In this way, the signature can be reduced in size without reducing the level of security.
  • the scatter value function is preferably a scatter value function that is fundamentally agreed in the signing method, for example when using an ECDSA, in which, in addition to the curve parameters, the scatter value function to be selected is also specified.
  • the publisher value can be at least one of the following values: a time value, for example a time stamp or a date; identification of the publisher, for example an ID, serial number, contract number; and / or an identifier of the publisher in the signing process; and / or a value generated by the publisher, for example a random number or an otherwise generated date.
  • the publisher's value is preferably transmitted in plain text and placed as a hash value in the blind signature. If you are in possession of the publisher's information, you can check whether the blind signature is correct and verify the authenticity of the blind signature in an improved way by calculating the value again.
  • the generation of the blind signature is preferably based on a standard for digital signatures, for example the digital signature algorithm, or DSA for short.
  • the DSA is based on the discrete logarithm in finite fields. As with all signature methods that are based on the discrete logarithm, in particular for methods based on elliptic curves, security depends essentially on the properties of the random number used by the signature issuer.
  • a random value must be generated by the signature publisher for each signature. This must have sufficient entropy, be kept secret and may only be used once in the system. These requirements are critical, because if the random number is known, the signature issuer's key can be calculated from the signature. If the random number has a low entropy, an attacker can calculate a secret key for every possible random number and then use the public verification key to test which one is the right one.
  • the eMD is preferably the result of a scatter value function from a subscriber-generated serial number and a subscriber-calculated point of an elliptic curve.
  • the transmission of the DSA on elliptic curves is standardized in ANSI X9.62. This enables a high level of security with a minimal key length.
  • the principle of the ECDSA is explained in Fig.2.
  • the DSA is an exemplary standard for digital signatures.
  • Other algorithms for example an asymmetric cryptographic method, RSA, can also be used for digital signing.
  • RSA uses a key pair consisting of a private key (the secret), which is used to decrypt or sign data, and a public key, which is used to encrypt or check signatures.
  • the private key is kept secret and can only be calculated from the public key with a great deal of computing effort.
  • the eMD is preferably the result of a scatter value function consisting of a subscriber-generated public key and a subscriber-calculated point of an elliptic curve, the subscriber-generated public key being derived from the subscriber-generated serial number.
  • the parties involved have checked the respective curve parameters prior to the signing process. agrees.
  • the subscriber-generated serial number remains with the subscriber as a secret (i.e. a private key) and the signature issuer is provided with a public key derived from the serial number.
  • this public key is generated on the subscriber side by linking the serial number to a base point of the elliptic curve, for example a logical link or a simple mathematical operation, for example multiplication.
  • parts of a monetary amount of an eMD can also be transferred from one subscriber to another subscriber, which will be explained later.
  • the signature is created over the entire monetary amount of the eMD; a second participant does not automatically have the right to own the entire amount after transmitting the eMD, since knowledge of the participant-generated serial number remains hidden if only partial amounts are to be transferred.
  • a method for checking a blind signature of an eMD is now also provided, the blind signature being generated in accordance with the previous method.
  • the unsigned, unblended (unblended) eMD and a serial number used to generate the eMD and a signed unblanked (unblended) eMD and the publisher information are obtained.
  • the eMD is now calculated using the received serial number, the signed unblended eMD, the publisher information and a public key of the signature publisher.
  • the blind signature can now be checked for correctness of the publisher information by receiving the (plain text) publisher information.
  • the calculated eMD is compared with the received eMD and the authenticity of the blind signature is verified if the calculated eMD matches the received eMD.
  • the eMD obtained is preferably the result of a scatter value function from a combination of a subscriber-generated serial number with a base point and a subscriber-calculated point of an elliptical curve, a subscriber-generated public key being derived from the subscriber-generated serial number before the eMD is calculated.
  • the blind signature of the eMD with the participant-generated public key instead of the participant-generated serial number.
  • this public key is generated on the subscriber side in that the serial number is linked to a base point of the elliptic curve, for example by a logical link or a simple mathematical operation, for example by multiplication.
  • parts of a monetary amount of an eMD can also be transferred from one subscriber to another subscriber, which will be explained later.
  • the blind signature is nevertheless created over the entire monetary amount of the eMD.
  • the subscriber-generated public key must then be provided to verify the authenticity of the eMD.
  • the verification also transmits the serial number (the secret) of the eMD and if it is successfully verified, the secret is vented and the monetary amount can be redeemed - similar to DigiCash. Now it is often desirable to share the eMD and only hand over partial amounts of the signed eMD.
  • a method for checking a blind signature of an eMD is now provided for this purpose, the blind signature likewise being generated according to the previously described method.
  • the eMD is received; a subscriber-generated public key used to generate the eMD; a signed unblended eMD; a monetary portion of the eMD; a (real) signature via a link between the monetary component and another participant-generated public key; the subscriber-generated secret; and the publisher information.
  • the monetary amount is a fraction of the total monetary amount associated with the eMD. This monetary partial amount can take on any value, it can be out of round and / or it can be the change in a payment process.
  • the subscriber-generated serial number (the secret) is now intentionally not transmitted for checking in order to prevent the entire amount of the eMD from being redeemed.
  • a new (further) secret is generated on the subscriber side, which is based on the subscriber generated serial number is different. This subscriber-generated secret is transmitted for checking instead of the subscriber-generated serial number.
  • another public key on the subscriber side is derived from this secret. This derivation is, for example, a mathematical operation or a logical combination of the subscriber-generated secret with a base point (generator point) or an alternative agreed value.
  • the further public key is calculated from the subscriber-generated secret received.
  • the agreed value for example a base point, is used for this.
  • the signature is calculated from the combination of the monetary partial amount and the calculated further public key.
  • the (real) Sig can be calculated naturally and can be compared with the (real) signature received.
  • the partial amount is authentically signed here, that is, without additional blinding, since otherwise a recipient of the partial amount cannot verify the authenticity and the correct derivation.
  • the eMD is calculated using the subscriber-generated public key, the signed uncovered eMD, the publisher information and a public key of the signature publisher. Finally, the calculated eMD is compared with the received eMD and the authenticity of the blind signature is verified if the calculated eMD matches the received eMD. During this calculation and verification, the participant-generated serial number of the eMD cannot be concluded, so that the blind signature can be checked, but the full monetary amount of the eMD cannot be decrypted. Only the partial amount confirmed with the real signature can be transferred in this way and used by the recipient (participant, inspection body). The verification is preferably carried out by the signature publisher or by a test body different from the signature issuer. This can be seen as a major advantage of the method, because the participant is now not forced to have his eMD checked by the signature issuer, which means less conclusions can be drawn about the payment behavior of a participant and anonymity is increased.
  • the publisher information is preferably also verified during the checking. In this way it can be determined whether the publisher information in the eMD has been changed and a manipulation attempt has been made.
  • the blind signature was preferably generated with an ECDSA, with the curve parameters of the elliptical curve agreed in the ECDSA being provided for checking the blind signature.
  • a payment system for transmitting an electronic coin data record between at least two participants comprises a first participant for generating an unsigned, blinded eMD; a signature issuer for generating a blind signature according to the previously described method and a second subscriber for receiving the generated eMD, a signed unblended eMD and a serial number used for generating the eMD.
  • the second participant checks the received generated eMD, the signed unblended eMD and the serial number used to generate the eMD using the previously described checking method.
  • the eMD is preferably the result of a scatter value function from a link between a subscriber-generated public key and a subscriber-calculated point.
  • the subscriber-generated public key is derived from the subscriber-generated serial number. In this way, the participant-generated serial number is not sent, but a public key derived from it, which enables an eMD to be split.
  • the object is achieved by a method for obtaining a blind signature for an electronic coin data record, eMD, in a subscriber.
  • This process comprises the process steps: gene of a public key from a subscriber-generated serial number by the subscriber; Generating an eMD using the generated public key by the subscriber; Blending the generated eMD to obtain a blended unsigned eMD by the participant; Sending the blinded unsigned eMD from the subscriber to a signature publisher; The subscriber receiving a signed, blinded eMD from the signature publisher; and removing the bezel to obtain a signed unblanked eMD by the subscriber.
  • the subscriber-side generation of the public key from a subscriber-generated serial number by the subscriber has already been explained several times.
  • a value already agreed in the procedure between the participants, the signature issuer and / or the testing authority is used.
  • the value is a base point of the elliptic curve.
  • This agreed value is logically linked to the subscriber-generated serial number, for example via a logical link, such as AND; OR; XOR; NAND; NOR, or via a simple mathematical operation, for example a multiplication or an addition.
  • the step of generating the eMD preferably comprises the steps of: calculating a point of an elliptical curve using agreed curve parameters; Linking the calculated point with the generated public key; Calculate a scatter value function from the combination of the calculated point and the generated public key, the result of the scatter value function being the eMD.
  • the derived public key is now used to obtain the blind signature instead of the subscriber-generated serial number.
  • This subscriber-generated serial number is therefore secret for the signature publisher and remains secret.
  • This method makes it possible that the eMD does not have to be transferred between participants with its full monetary amount (maximum amount of the eMD), but that any partial amounts can also be derived and transferred from the full monetary amount.
  • the signed, blinded eMD obtained is a signed, blinded eMD that is expanded with a publisher's information.
  • the publisher information used to expand the unsigned, blinded eMD is the result of a scatter value function with a publisher, the publisher value being sent as the publisher information and being part of the blind signature.
  • the publisher value is preferably a time value, an identification of the publisher and / or a publisher-generated value.
  • the publisher information is obtained together with the expanded, signed, blinded eMD, with the publisher information preferably being provided as independent information, independently of the signed, blinded eMD.
  • the publisher information thus serves to make the blind signing more transparent by (non-manipulable, non-manipulable, non-secret publisher information from the participant) becoming part of the blinking signature and can be checked.
  • a method for deriving a monetary partial amount of a signed, blinded eMD in a subscriber.
  • the eMD is preserved according to the procedure described above.
  • This deriving method comprises the steps: generation by the subscriber of a subscriber-generated secret and a further public key from the subscriber-generated secret; Determination of a partial monetary amount of the eMD; and calculating a signature via a link from the monetary partial amount and the further public key.
  • the partial amount can be determined arbitrarily. It can be the change in a payment transaction or it can be any value.
  • the subscriber-generated secret is different from the subscriber-generated serial number and is used instead of the serial number to transfer monetary amounts between subscribers. In this case, only a partial amount can advantageously be transferred instead of the full monetary amount of the eMD. With this derivation, an already blindly signed eMD is set up for the transfer of monetary partial amounts.
  • the generation of the subscriber-generated secret can be done by a first subscriber if he wants to divide a partial amount from the total amount. This generation is preferably carried out by a further subscriber who has not generated the subscriber-generated serial number. This means that a partial amount can also be divided by any other participant who has acquired the eMD legit.
  • eMDs can be shared, but the blind signature of the eMD remains valid.
  • payment processes using eMD can now be enabled, in which the eMD recipient (paid) can send back a compartmentalized eMD, for example comparable to change or change in cash transactions or as part of a discount campaign.
  • the further public key is preferably a link between a base point of the elliptic curve and the subscriber-generated secret.
  • This linkage is, for example, a logical linkage or a simple mathematical operation, as a result of which the computation effort is minimized without endangering the security and manipulation resistance of the method.
  • the base point another agreed value can be used.
  • the derivation further comprises generating a second subscriber-generated secret and a second further public key from the second subscriber-generated secret by the subscriber or another subscriber; Determination of a second monetary partial amount of the eMD, the second monetary partial amount being smaller than the monetary partial amount and calculation of a second signature by linking the monetary partial amount and the second further public key.
  • the second subscriber-generated secret can be generated by the first subscriber if he would like to further split a partial amount. This generation is preferably carried out by a subscriber who has not generated the (first) subscriber-generated secret. This means that the partial amount can also be shared by any other participant. In this way, eMDs can be shared several times, although the blind signature remains valid. In addition, payment processes using eMD can now be enabled, in which the eMD recipient (paid) can send back a shared eMD, for example comparable to change or change in cash transactions or as part of a discount campaign.
  • the second partial amount can be set as desired, i.e. it can be any value less than the (first) partial amount.
  • the second further public key is preferably a link between a base point of the elliptic curve and the second subscriber-generated secret.
  • This link is, for example, a logical link or a simple mathematical operation, as a result of which the computation effort is minimized without endangering the security and manipulation resistance of the method.
  • another agreed value can be used as an alternative to the base point.
  • a method for checking a blind signature of an eMD is provided, the blind signature being obtained in accordance with the method described above. Verification includes the following steps: Obtaining the eMD, a serial number used to generate the eMD, and a signed uncovered eMD. Since the serial number and not the public key derived from it is received, the entire monetary amount of the eMD can now be checked, decrypted and transmitted. The transfer of the serial number generally enables the disposal of the entire monetary amount.
  • the public key is calculated from the subscriber-generated serial number.
  • the eMD is calculated using the calculated public key, the signed uncovered eMD and a public key of the signature issuer.
  • the calculated public key is used for verification instead of the serial number, because in this aspect of the invention the serial number remains hidden from the signature issuer and the blind signature is created via the public key. The calculated public key must then be used to check the signature. Finally, the calculated eMD is compared with the received eMD and the authenticity of the blind signature is verified if the calculated eMD matches the received eMD.
  • a further method for checking a blind signature of an eMD in which the blind signature was also generated / obtained according to a previously described method.
  • the further method comprises: obtaining the eMD, the subscriber-generated public key, a signed unblended eMD, a monetary partial amount of the eMD, a signature via a link from the monetary partial amount and another subscriber-generated public key; and a participant-generated secret.
  • the partial amount is preferably the above-mentioned (first) partial amount of the total monetary amount.
  • the further public key is calculated from the subscriber-generated secret; a calculating the Signature using the link between the monetary partial amount and the calculated further subscriber-generated public key; comparing the calculated signature with the received signature and verifying the authenticity of the monetary partial amount; and the calculation of the eMD already described above using the received public key, the signed unblended eMD and a public key of the signature issuer, so that - as already mentioned - the calculated eMD can be compared with the received eMD and the authenticity of the blind Signature is compared when the calculated eMD matches the received eMD.
  • the further method thus enables the authenticity of the eMD to be verified on the basis of the total amount of money, as it was signed (blindly) by the signature issuer.
  • the partial amount can also be verified and used for other payment transactions.
  • the subscriber-generated secret need not have been generated by the subscriber who generated the serial number, as a result of which a transmitted eMD can be further divided without having to be re-signed.
  • a further method for checking a blind signature of an eMD in which the blind signature was also generated / obtained according to a previously described method.
  • the still further method comprises the procedural steps: obtaining the eMD, the subscriber-generated public key, a signed unblended eMD, a monetary partial amount of the eMD, a signature via a link from the monetary partial amount and another subscriber-generated public key, the further subscriber-generated public key ; a second partial monetary amount of the eMD; a second signature via a combination of the second monetary partial amount and a second further subscriber-generated public key; and a second subscriber-generated secret.
  • the second partial amount is preferably the above-mentioned second partial amount of the total monetary amount, which is smaller than the (first) partial amount.
  • the second further public key is calculated from the second subscriber-generated secret; calculating the second signature via the linkage from the monetary partial amount and the calculated second additional one subscriber generated public key; comparing the calculated second signature with the received second signature and verifying the authenticity of the second monetary partial amount.
  • the aforementioned calculation of the signature takes place via the link from the monetary partial amount and the calculated further subscriber-generated public key; comparing the calculated signature with the received signature and verifying the authenticity of the monetary partial amount; calculating the eMD using the received public key, the signed uncovered eMD and a public key of the signature issuer; comparing the calculated eMD with the received eMD and verifying the authenticity of the blind signature if the calculated eMD matches the received eMD.
  • the (first) monetary partial amount and the (first) signature are created by a subscriber by linking the monetary partial amount and a further subscriber-generated public key in accordance with the derivation method described above.
  • the participant does not have to be the participant who generated the serial number. This enables the eMD to be shared with the blind signature fully valid.
  • the second monetary partial amount and the second signature are preferably created by a subscriber by linking the second monetary partial amount and a second further subscriber-generated public key in accordance with the derivation method described above.
  • the publisher information is preferably also obtained in the receive step and this is also used in the calculate step for calculating the eMD.
  • the verification is preferably carried out by the signature issuer or a testing entity other than the signature issuer, for example also another participant.
  • the publisher information is preferably also verified during the checking.
  • the blind signature is preferably generated with an elliptical curve signing algorithm, ECDSA, and agreed curve parameters of the elliptical curve are provided for checking the blind signature.
  • a payment system for transmitting an electronic coin data record, eMD is provided between at least two participants.
  • the payment system comprises a first participant for obtaining a blind signature for an eMD according to the described receiving method; a signature issuer for generating the blind signature and a second participant for receiving the generated eMD, a signed unblended eMD and a serial number used for generating the eMD.
  • the payment system also includes the second participant checking the received generated eMD, the signed unblended eMD and the serial number used to generate the eMD. It is provided that the second participant generates the secret and derives the partial amount and the one belonging to the partial amount. This partial amount is used in a payment process where the blind signature via the eMD remains valid.
  • An eMD is in particular an electronic data record that represents a monetary amount and is also colloquially referred to as a “digital coin” or “electronic coin”. The right to this monetary amount changes in the process from a first account to another account.
  • a monetary amount is understood to be a digital amount that can be credited to an account of a financial institution.
  • the eMD therefore represents cash in electronic form.
  • the eMD differ significantly from electronic data records for data exchange or data transfer because, for example, a classic data transaction takes place on the basis of a question-answer principle or on intercommunication between the data transfer partners.
  • EMD are characterized by uniqueness, uniqueness and security features (signatures, encryption).
  • an eMD contains all the data required for a receiving entity with regard to verification, authentication and forwarding to other entities. Intercommunication is therefore generally not necessary with this type of data record. Exceptions are the change payment transactions.
  • a security element can be provided in a subscriber's terminal for transmission.
  • a security element is preferably a special software, in particular in the form of a secure runtime environment within an operating system of a terminal device, English Trusted Execution Environments, TEE.
  • the security element is designed, for example, as special hardware, in particular in the form of a secured hardware platform module, English Trusted Platform Module, TPM or as an embedded security module, cUICC, eSIM.
  • TPM English Trusted Platform Module
  • cUICC embedded security module
  • eSIM embedded security module
  • the security element provides a trustworthy environment and, for example, also secures a machine-2-machine, M2M application.
  • the communication between two end devices or security element can take place contactlessly or with contacts and can be designed as a secure channel.
  • This is the exchange of the eMD with cryptographic keys, for example a session key negotiated for an exchange of coin data sets or a symmetrical or asymmetrical pair of keys.
  • Any terminal processing a program code with user input output is disregarded as a terminal, for example a PC, a smartphone, a tablet.
  • the terminal can also be part of an M2M environment, for example a machine, tool, machine or container and vehicle understood.
  • a terminal device according to the invention is thus either stationary or mobile.
  • M2M stands for the (fully) automated exchange of information between these end devices, for example using the Internet and the corresponding access networks, such as the mobile network.
  • Fig.l principle of the Digi-Cash method with blind signatures 2 shows a known example for creating and checking a signature using ECDSA;
  • FIG. 3 shows an exemplary embodiment of a process flow diagram of a signature generating method according to the invention
  • FIG. 4 shows an exemplary embodiment of a method sequence for generating and checking a blind signature for an eMD according to the invention
  • 5 shows an embodiment of a process flow diagram of a method according to the invention
  • FIG. 6 shows an exemplary embodiment of a method sequence for generating and checking a blind signature for an eMD with an entire monetary amount and monetary partial amounts divided therefrom according to the invention.
  • FIG. 7 shows an exemplary embodiment of a method sequence for generating and checking a blind signature for an eMD with an entire monetary amount and monetary partial amounts divided therefrom according to the invention.
  • Fig. 1 shows the principle of the "DigiCash" method with blind signatures.
  • a first participant (buyer) TI, a second participant (seller) T2 transmits a coin signed by the signature issuer H.
  • the first participant TI exchanges a monetary amount with a digital coin, the unique identifier, for example a serial number, of which he generates himself in step 1.
  • the unique identifier is encrypted in step 2 and transmitted to the signature issuer H together with the value of the digital coin in step 3.
  • the signature publisher H confirms the validity of the digital coin by signing the encrypted unique identifier in step 4 and sends the digital coin thus signed back to the first subscriber TI in step 5.
  • step 6 the first participant TI decrypts the signature and in step 7 transmits (pays) the digital coin consisting of the unique identifier and the decrypted signature to the second participant T2.
  • the second subscriber T2 requests the signature issuer H to redeem the digital coin in step 8.
  • the signature issuer H verifies the authenticity of the digital coin using the signature in step 9 and thus enables the monetary amount of the digital coin to be redeemed in step 10.
  • 2 shows a method sequence 100 consisting of a method S for providing a signature between a first subscriber TI or its first end device M1 and a publisher H and a method P for checking the created signature between a first subscriber TI and a PI is shown.
  • step 101 all involved instances TI, H and P agree on the curve parameters, f, p, a, b, G, n, h of an elliptical curve.
  • These curve parameters describe a curve used, where f is the order of the body on which the curve is defined; p is the specification of the basis used; a, b two body elements that describe the equation of the curve; G is the generator point (generator point, base point) of the curve; n, is the order of point G; and h is the cofactor.
  • H () to be used, also referred to as a hash function, for example a SHA-2 algorithm.
  • step 102 the publisher H generates a cryptographic key pair d, D based on the base point G and communicates the public part D to the first participant TI and the testing entity PI in steps 103, 103 '.
  • the public key part D is also referred to as a verification key D.
  • the private key part d is not given out as a secret.
  • step 104 the first subscriber TI generates a serial number m and links it to a monetary amount for the electronic coin data record, eMD.
  • the first subscriber TI generates two integer random numbers g, i.
  • step 105 the publisher H generates a random number r and calculates a point R of the curve which is transmitted to the first subscriber TI.
  • step 106 the first participant TI calculates a point on the curve using equation (1):
  • Point A is represented by an x coordinate A x and a y coordinate A y .
  • the blind signature is regarded as confirmed and the eMD as genuine.
  • FIG. 3 shows an exemplary embodiment of a process flow diagram of a signature-generating method 100 according to the invention.
  • FIG. 4 shows an exemplary embodiment of a process flow for generating and checking a blind signature for an eMD according to the invention. The method in Figure 3 is explained in conjunction with Figure 4.
  • the method 100 for creating a blind signature according to FIG. 3 and FIG. 4 is based on the creation of a blind signature with a corresponding check by a testing entity PI according to FIG. 2 and reflects a process sequence in an ECDSA method.
  • the checking with steps 111 and 112 can also be carried out by another subscriber T2, T3, for example in order to verify the monetary amount or partial amount.
  • checking PR with steps 111 and 112 can also take place between two participants T2, T3 who have not generated the serial number m of the eMD c. These participants then want to verify and transmit, for example, a total monetary amount or a partial amount derived therefrom or a second partial amount derived therefrom.
  • ECDSA is only exemplary and any method for generating a blind signature, for example DAS or RSA based, can be operated with the basic idea of the invention, namely the addition of issuer information, possibly in conjunction with the derivation of monetary partial amounts.
  • This is indicated by the dashed lines of steps 101 to 105 in FIG. 4, which are therefore to be regarded as optional steps.
  • the repetition of the explanation of these steps 101 to 105 of FIG. 2 is therefore dispensed with, even though they are part of the inventive method when using an ECDSA method.
  • step 107 the unsigned, blinded eMD c 'described with equation (3) is sent to the publisher H.
  • a publisher value w is generated there in step 113.
  • the publisher value w is, for example, a time stamp or a random value.
  • This publisher value w is converted into publisher information u by means of a scatter value function H ().
  • This scatter value function H () is preferably the scatter value function that was agreed in step 101. This simplifies the procedure with regard to compatibility and agreement of the cryptographic functions to be used.
  • step 109 the extended, signed, blinded eMD s “is transmitted to the first subscriber TI together with the editor value w.
  • the subscriber TI generates the eMD c and blinds it in c 'with the random number g, so that the eMD c is not known to the publisher H.
  • the eMD c is also assigned a monetary maximum amount.
  • the publisher H signs the blinded unsigned eMD c 'without knowing the eMD c or the serial number m. This is called blind signing.
  • the publisher H adds a publisher-generated value w in the form of publisher information u.
  • This publisher information u becomes an unchangeable part of the signed, blinded eMD s ”and, according to equation (13) as the publisher value w, also part of the signed, unblended eMD s.
  • step 111 the unsigned unblended eMD c, the signed unblended eMD s, the subscriber-generated serial number m and the publisher value w are transmitted from the subscriber TI to the testing entity PI, T2, T3.
  • the blind signature is considered to be genuine.
  • FIG. 5 shows an embodiment of a process flow diagram of a signature-obtaining method according to the invention.
  • FIG. 6 shows an exemplary embodiment of a method sequence for obtaining S a blind signature and also for checking PR for a blind signature for an eMD according to the invention.
  • the checking method PR has three different scenarios PR1, PR2, PR3.
  • the method in Figure 5 is explained in connection with Figure 6.
  • the method for obtaining a blind signature according to FIG. 5 and FIG. 6 is based on the creation of a blind signature with a corresponding check by a testing body PI, T2, T3 according to FIG. 2 and reflects a procedure in an ECDSA method.
  • checking PR1, PR2, PR3 with steps 111, 111 ', 111 "and 112, 112% 112" can also be carried out by another participant T2, T3, for example to verify the monetary amount or partial amount .
  • checking PR1, PR2, PR3 with steps 111, 111% 111 "and 112, 112% 112" can also take place between two participants T2, T3 who have not generated the serial number m of the eMD c, for example, to verify and transfer a monetary total amount or a partial amount u derived therefrom or a second partial amount e derived therefrom. Subsequently, the testing entity PI is equated to another participant T2, T3.
  • ECDSA is only an example, and any method for generating / receiving a blind signature, for example DAS or RSA-based, can be carried out with the basic idea of the invention, namely the derivation of partial monetary amounts, possibly using publisher information from the signature publisher H done. Repetition of steps 101 to 105 of FIG. 2 is therefore dispensed with, although when using an ECDSA method they are part of the method according to the invention.
  • the method steps 101 to 105 of FIG. 5 and FIG. 6 are the same as the method steps 101 to 105 of FIG. 2 and reference is made to this FIG. 2 for further explanations.
  • step 114 a public key M described in equation (18) is generated in the subscriber TI:
  • the subscriber-generated serial number m is to be regarded as a secret and the public key G is derived using the (agreed) base point G of the elliptical curve. Alternatively, other agreed values can be used to generate the public key M.
  • the first subscriber TI calculates a point on the curve using equation (1).
  • the point A is represented by an x coordinate A x and a y coordinate A y .
  • step 107 the unsigned, blinded eMD c ′ (M) described with equation (20) is sent to the publisher H.
  • step 110 the signed, blinded eMD s' is obtained by means of equation (5).
  • the subscriber TI generates the eMD c using a public key M instead of the serial number m.
  • This serial number m is secret to the signature publisher H.
  • FIG. 6 now shows three scenarios with which an eMD which can be divided using the signature method S obtained in FIG. 6 can be transmitted, the blind signature nevertheless remaining valid.
  • non-circular amounts can now be transferred very precisely or corresponding change (change) can be generated.
  • the maximum monetary amount of an eMD c could be sent from a first participant TI to a second participant T2 in the test procedure PR1.
  • a partial amount u is then returned as change to the first participant TI by the second participant T2.
  • the first participant TI can now further split the partial amount u and transfer the second partial amount e to the third participant T3 in the test procedure PR3: In the test procedure PR1 in FIG a second participant T2, T3 is to be redeemed.
  • step 111 the unsigned, unblended eMD c, the signed, unblended eMD s and the subscriber-generated serial number m are transmitted from the subscriber TI to the testing entity PI. There, the blind signature is verified in step 112.
  • the subscriber-generated public key M is first calculated using equation (23).
  • the blind signature is valid and the eMD c can be used by the testing body PI, or also by the other participants T2, T3, for further payment processes.
  • the eMD c obtained in equation (24) corresponds to the eMD c sent in step 111, the blind signature is considered confirmed and the eMD is genuine.
  • the derivation of a partial amount u from the monetary total amount is shown first with step 115.
  • the subscriber TI or another subscriber who is in possession of the eMD c
  • the subscriber TI generates a secret p and a further public key P using the subscriber-generated secret p.
  • the secret p is different from the serial number m.
  • the further subscriber-generated key P is different from the subscriber-generated public key M.
  • the subscriber-generated public key P can be obtained by multiplying it by the base point G, see equation (25):
  • U is the partial amount to be derived, which is smaller than the total monetary amount of the eMD c.
  • the real signature s hi is a logical OR combination of the public key P and the partial amount u. Other logical links or mathematical operations are also conceivable for creating the real signature s hi .
  • step 111 the following variables are now exchanged between two participants TI, T2, T3:
  • step 112 ' the authenticity of the blind signature and the authenticity of the real signature s hi can now be checked, as a result of which the partial amount u is considered to be - transmitted between the participants TI, T2, T3.
  • the further public key P is first calculated using the participant-generated secret p and the agreed base point G, see equation (25).
  • the blind signature is checked according to equations (7) to (9) and (24).
  • the real signature is hi the calculated further subscriber-generated public key P and the partial amount u obtained, and if equation (27) matches
  • the partial amount u is considered to be verified and is also transmitted by transmitting the secret p.
  • the test body PI, T2, T3 is not in possession of the subscriber-generated serial number m and can therefore verify the blind signature (using the key M) but does not have the total monetary value.
  • the derivation of a second partial amount e from the partial amount u is shown in step 116.
  • the subscriber TI or another subscriber who is in possession of the eMD c
  • the second secret q is different from the serial number m and from the secret p.
  • the second further subscriber-generated key Q is different from the subscriber-generated public key M and the further ren subscriber-generated key P.
  • the second further subscriber-generated public key Q can be obtained by multiplication by the base point G, see equation (28):
  • Equation (28) also creates a second real signature s r for derivation 116:
  • e is the second partial amount to be derived, which is smaller than the total monetary amount and which is also smaller than the partial amount u of the eMD c.
  • the real signature s r here is a logical OR combination of the public key Q and the partial amount e. Other logical links or mathematical operations are also conceivable for creating the real signature s r .
  • step 111 “the following variables are now exchanged between two participants TI, T2, T3:
  • step 112 “ the authenticity of the blind signature, the authenticity of the real signature s hi and also the authenticity of the second real signature s r can now be checked, as a result of which the second partial amount e is considered to be - between the participants TI, T2, T3 .
  • the second further subscriber-generated public key Q is first calculated using the second subscriber-generated secret q and the agreed base point G, see equation (28).
  • the blind signature is checked in accordance with equations (7) to (9) and (24).
  • the test body PI, T2, T3 does not have the subscriber-generated serial number m or the subscriber-generated secret p.
  • the blind signature and the real signature s hi can be verified (by the subscriber-generated public keys M and P), but the test body PI, T2, T3 does not get the monetary total amount or the (first) partial amount u.
  • any monetary (partial) amounts u, e can now be transferred between any participants, whereby the authenticity of the blind signature and that with the respective partial amounts u, e e connected real signatures s hi and s r can be checked.
  • the receiving entity PI, T2, T3 receives full access rights to the respective partial amounts, whereby the eMD is considered to be transmitted.
  • 7 shows a further exemplary embodiment of a method sequence for generating and checking a blind signature for an eMD with an entire monetary amount and monetary partial amounts divided therefrom according to the invention.
  • the process sequences in FIGS. 4 and 6 were combined with one another.
  • the sharing of monetary amounts according to the invention is now also possible.
  • the checking process PR has three different scenarios PR1, PR2, PR3.
  • the method for obtaining a blind signature according to FIG. 7 is based on the creation of a blind signature with a corresponding check by a testing entity PI according to FIG. 2 and reflects a process sequence in an ECDSA method. It should be noted that checking PR1, PR2, PR3 with steps 111, 111 ', 111 "and 112, 112% 112" can also be carried out by another participant T2, T3, for example by adding the monetary amount or partial amount to verify.
  • checking PR1, PR2, PR3 with steps 111, 111% 111 "and 112, 112% 112" can also take place between two participants T2, T3 who have not generated the serial number m of the eMD c, for example to verify a monetary total amount or a portion derived therefrom or a second portion e derived therefrom and to receive it. Subsequently, the testing entity PI is equated to another participant T2, T3.
  • ECDSA is only exemplary and any method for generating / obtaining a blind signature, for example DAS or RSA-based, can be carried out with the basic idea of the invention, namely the derivation of monetary partial amounts using publisher information u, w of the signature publisher H done.
  • Repetition of steps 101 to 105 in FIG. 2 is dispensed with, although they are part of the method according to the invention when using an ECDSA method.
  • the method steps 101 to 105 of FIG. 7 are the same as method steps 101 to 105 of FIG. 2 and reference is made to this FIG. 2 for further explanations.
  • step 114 the generation of a public key M described in equation (18) in the subscriber TI is described.
  • the first subscriber TI calculates a point on the curve using equation (1).
  • the point A is represented by an x coordinate A x and a y coordinate A y .
  • the x coordinate A x is used with the public key M as the input parameter of the hash function H () in equation (19) in order to obtain an unsigned, unblended eMD c.
  • the unsigned, unblended eMD c is converted into an unsigned, blended eMD c '(M) using equation (20).
  • step 107 the unsigned, blinded eMD c ′ (M) obtained with equation (20) is sent to the publisher H.
  • a publisher worth w is generated there in step 113.
  • the publisher value w is, for example, a time stamp or a random value.
  • This publisher value w is converted into publisher information u by means of a scatter value function H ().
  • This scatter value function H () is preferably the scatter value function that was agreed in step 101. This simplifies the procedure with regard to compatibility and agreement of cryptographic functions to be used.
  • the unsigned, blinded eMD c ' is then expanded in accordance with equation (11) with this publisher information u in step 113.
  • step 109 the extended, signed, blinded eMD s “is transmitted to the first subscriber TI together with the editor value w.
  • step 110 the signed, blinded eMD s “is not blinded using equation (13).
  • the subscriber TI generates the eMD c using a public key M instead of the serial number m.
  • This serial number m is secret to the signature publisher H.
  • the signature publisher also generates H the publisher information u, w and adds this as an integral part of the blind signature.
  • eMD c simplifies the administrative work for the signature issuer H and enables a payment system with eMD c for which change can be paid or in which non-circular amounts of money can be electronically transferred.
  • Fig. 7 three scenarios are now shown, by means of which a divisible eMD obtained with the signing method S shown in Fig. 7 is transmitted and the blind signature nevertheless remains valid.
  • non-circular amounts can now be transferred very precisely or corresponding change (change) can be generated.
  • the maximum monetary amount of an eMD c could be sent from a first participant TI to a second participant T2 in the test procedure PR1.
  • a partial amount u is then returned as change to the first participant TI by the second participant T2.
  • the first participant TI can now further split the partial amount u and transfer the second partial amount e to the third participant T3 in the test procedure PR3:
  • test procedure PR1 of FIG. 7 it is initially shown that the entire monetary amount of an eMD c is to be checked and, if necessary, to be redeemed by a second subscriber T2, T3.
  • Curve parameters and the verification key D is to check the blind signature of the eMD c, which is done, for example, by means of a test entity PI, which is not necessarily the publisher H.
  • step 111 the unsigned, unblended eMD c, the signed, unblended eMD s, the subscriber-generated serial number m and the publisher information w are transmitted from the subscriber TI to the testing entity PI.
  • Ren PR1 of Figure 7 is then checked whether the public key M has been changed and whether w has been changed, which is described below.
  • step 112 the blind signature is verified.
  • the subscriber-generated public key M is first calculated using equation (23).
  • the publisher information u is obtained with equation (15) and with equation (33)
  • A s G + (c ’(M) + u) D (33) it is checked whether the condition of equations (24) is fulfilled. If the calculated eMD c matches the received eMD c, the blind signature is valid and the eMD c can be used by the testing body PI, or for example also by the other participants T2, T3, for further payment processes.
  • step 115 the participant TI (or another participant T2, T3 who is in possession of the eMD c) generates a secret p and a further public key P using the participant-generated secret p.
  • the secret p is different from the serial number m.
  • the further subscriber-generated key P is different from the subscriber-generated public key M.
  • the further public key P generated by the subscriber can be obtained by multiplying by the base point G, see equation (25).
  • a real signature s hi is also created using equation (26).
  • U is the partial amount to be derived, which is smaller than the total monetary amount of the eMD c.
  • the real signature s hi is a logical OR combination of the public key P and the partial amount u. Other logical links or mathematical operations for creating the real signature s hi are also conceivable.
  • step 111 ' the following variables are now exchanged between two participants TI, T2, T3:
  • step 112 ' the authenticity of the blind signature and the authenticity of the real signature s hi can now be checked, as a result of which the partial amount u is considered to be - transferred between the participants PI, TI, T2, T3.
  • the further public key P is first calculated using the subscriber generated secret p and the agreed base point G, see equation (25).
  • the blind signature is checked according to equations (15), (33) and (24).
  • the real signature G m is calculated from the calculated further subscriber-generated public key P and the partial amount u obtained, and if equation (26) matches, the partial amount u is considered to be verified and is transmitted by the secret p.
  • test body PI, T2, T3 is not in possession of the subscriber-generated serial number m and can therefore verify the blind signature (using the key M) but does not have the total monetary amount of the eMD c.
  • a check is therefore carried out to determine whether the public key M has been changed, whether w has been changed and whether the real signature G m has been changed.
  • step 116 the derivation of a second partial amount e from the partial amount u is shown in step 116.
  • the subscriber TI (or another subscriber who is in possession of the eMD c) generates a second secret q and a second further public key Q using the second subscriber-generated secret q.
  • the second secret q is different from the serial number m and from the secret p.
  • the second further subscriber-generated key Q is different from the subscriber-generated public key M and the further subscriber-generated key P.
  • the second further subscriber-generated public key Q can be obtained by multiplication by the base point G, see equation (28). Equation (29) also creates a second real signature s r for derivation 116.
  • e is the second partial amount to be derived, which is smaller than the total monetary amount and which is also smaller than the partial amount u of the eMD c.
  • the real signature s r here is a logical OR combination of the public key Q and the partial amount e. Other logical links or mathematical operations are also conceivable for creating the real signature s r .
  • step 111 “the following variables are now exchanged between two participants TI, T2, T3: the eMD c
  • step 112 “ the authenticity of the blind signature, the authenticity of the real signature s hi and also the authenticity of the second real signature s r can now be checked, as a result of which the second partial amount e is considered to be - between the participants TI, T2, T3 .
  • the second further public key Q is first calculated using the second subscriber-generated secret q and the agreed base point G, see equation (28).
  • the blind signature is checked according to equations (15), (33) and (24).
  • the second real signature s r is calculated from the calculated second further subscriber-generated public key Q and the received second partial amount e and, if equation (30) matches, the partial amount e is verified and is also transmitted by the transmission of the second secret q .
  • test body PI, T2, T3 does not have the participant-generated serial number m or the participant-generated secret p.
  • the blind signature and the real signature s hi can be verified (by the subscriber-generated public keys M and P), but the verifier does not get the total monetary amount or the (first) partial amount u.

Abstract

Die Erfindung betrifft ein Verfahren zum Erzeugen einer blinden Signatur für einen elektronischen Münzdatensatz, eMD, mit den Verfahrensschritten: Erhalten eines unsignierten verblendeten eMD von einem Teilnehmer bei einem Signatur-Herausgeber; Erweitern des unsignierten verblendeten eMD mit einer Herausgeberinformation durch den Signatur-Herausgeber zum Erhalten eines erweiterten unsignierten eMD; Signieren des erweiterten unsignierten eMD unter Verwendung einer herausgebergenerierten Zufallszahl und eines geheimen Schlüssels des Signatur-Herausgebers zum Erhalten eines erweiterten signierten verblendeten eMD; und Senden des erweiterten signierten verblendeten eMD und der Herausgeberinformation an den Teilnehmer. Die Erfindung betrifft auch Verfahren zum Überprüfen der erzeugten und/oder erhaltenen blinden Signatur. Weiterhin betrifft die Erfindung ein Bezahlsystem zum Übertragen eines elektronischen Münzdatensatzes zwischen zumindest zwei Teilnehmern.

Description

VERFAHR EN ZUM RR TRUGEN EINER BLINDEN SIGNATUR
TECHNISCHES GEBIET DER ERFINDUNG
Die Erfindung betrifft ein Verfahren zum Erzeugen einer blinden Signatur für einen elektronischen Münzdatensatz, eMD. Die Erfindung betrifft auch ein Verfahren zum Erhalten einer blinden Signatur in einem Teilnehmer. Die Erfindung betrifft auch ein Verfahren zum Ableiten eines geldwerten Teilbetrags von einer bereits blind signier ten eMD durch einen Teilnehmer. Die Erfindung betrifft auch mehrere Verfahren zum Überprüfen der erzeugten/erhaltenen blinden Signatur. Weiterhin betrifft die Erfindung ein Bezahlsystem zum Übertragen eines elektronischen Münzdatensatzes zwischen zumindest zwei Teilnehmern.
TECHNISCHER HINTERGRUND DER ERFINDUNG
Zum anonymisierten Austauschen elektronischer Münzdatensätze auf Basis von so- genannten blinden Signaturen gibt es das Verfahren„DigiCash“. Ein Prinzip, dass dem„DigiCash“ Verfahren mit blinden Signaturen ähnelt, ist in Fig.l dargestellt.
Blinde digitale Signaturen können beispielsweise über einen Elliptic Curve Digital Signature Algorithm, ECDSA, erzeugt werden, einer Variante des Digitalen Signatur Algorithmus, DSA, in welcher eine Elliptische-Kurven-Kryptographie angewendet wird. Ein ECDSA ist beispielsweise in Fig.2 dargestellt.
Keines der bekannten Konzepte ermöglicht eine Vervielfältigung des geldwerten Betrags (Münznominal) der signierten digitalen Münze. Das bedeutet, wenn ein Münzdatensatz beispielsweise einen geldwerten Betrag von 1€ aufweist, so ist man für ein Bezahlen eines geldwerten Betrags von 100€ gezwungen, einhundert gene rierte elektronische Münzdatensätze zu versenden und verifizieren zu lassen. Dies erschwert das Verifizieren und erhöht die Datenmenge zum Übertragen hoher geld werter Beträge enorm.
Keines der bekannten Konzepte ermöglicht eine Teilung des geldwerten Betrags (=Münznominal) der signierten digitalen Münze. Das bedeutet, wenn ein Münzda tensatz einen geldwerten Betrag von 1€ aufweist, so ist das Bezahlen eines Bruch teils dieses geldwerten Betrags, beispielsweise 0,50€ oder eines gemischten Bruch- teils, beispielsweise 1,50€ nicht möglich. Mitunter verhindern diese Konzepte dann ein passendes Bezahlen. Diese bekannten Konzepte sehen zudem keine Rückgeldzahlung vor, beispielsweise wenn ein Teilnehmer einen zu zahlenden Betrag mit einem größeren Münzwert be gleicht, kann der Bezahlte keinen geldwerten Betrag in Form von Rückgeld bzw. Wechselgeld auf Basis der erhaltenen eMD generieren und versenden. Dies macht 5 die bisherigen Konzepte unattraktiv und unflexibel.
Zudem sind die bekannten Konzepte intransparent für eine Prüfinstanz und lediglich die Echtheit einer Signatur kann überprüft werden, ohne dabei sicher zu sein, ob ein Teilnehmer den eMD manipuliert hat. Tatsächlich werden blinde Signaturen in vie lt) len Verkaufsstellen aufgrund dieser Intransparenz nicht akzeptiert.
Es ist somit Aufgabe der vorliegenden Erfindung, ein Verfahren und ein System zu schaffen, bei welchem transparent überprüfbar ist, ob ein Signatur-Herausgeber einer blinden Signatur tatsächlich einen eMD signiert hat. Zudem soll der geldwerte Be- 15 trag (Münzwert) eines signierten eMD einfach teilbar sein, ohne dass eine blinde Signatur ihre Ungültigkeit verliert. Dabei soll ein direkter Austausch zwischen Teil nehmern bzw. den entsprechenden Endgeräten geschaffen werden, der unkompliziert und schnell ist. Ein Teilnehmer soll ebenfalls dazu in der Lage sein, passendes Rückgeld (Wechselgeld) in Form eines vom erhaltenen eMD geteilten eMD zurück- 20 zugeben. Das Verfahren soll für einen Dritten intransparent bleiben, um ein anony mes Bezahlen zu gewährleisten.
ZUSAMMENFASSUNG DER ERFINDUNG
Die gestellte Aufgabe wird mit den Merkmalen der unabhängigen Patentansprüche 25 gelöst. Weitere vorteilhafte Ausgestaltungen sind in den jeweils abhängigen Pa tentansprüchen beschrieben.
Die Aufgabe wird insbesondere durch ein Verfahren zum Erzeugen einer blinden Signatur für einen elektronischen Münzdatensatz, eMD, gelöst. Das Verfahren um- 30 fasst dabei die folgenden Schritte: Erhalten eines unsignierten verblendeten eMD von einem Teilnehmer bei einem Signatur-Herausgeber; Erweitern des unsignierten verblendeten eMD mit einer Herausgeberinformation durch den Signatur- Herausgeber zum Erhalten eines erweiterten unsignierten eMD; Signieren des erwei terten unsignierten eMD unter Verwendung einer herausgebergenerierten Zufallszahl 35 und eines geheimen Schlüssels des Signatur-Herausgebers zum Erhalten eines erwei terten signierten verblendeten eMD; und Senden des erweiterten signierten verblen deten eMD und der Herausgeberinformation an den Teilnehmer, wobei die gesendete Herausgeberinformation ein Teil der blinden Signatur ist. Beim (digitalen) blinden Signaturverfahren ist es möglich, als Besitzer einer eMD anonym zu bleiben, sodass Bezahlvorgänge, die ein Teilnehmer tätigt, nicht von dem Signatur-Herausgeber oder einer Prüfinstanz nachgeprüft werden können. Der Signa- tur-Herausgeber kennt demnach die eMD nicht, da er nur eine verblendete eMD empfängt. Als Verblendung wird beispielsweise eine Addition oder Subtraktion der eMD mit einer ganzzahligen teilnehmergenerierten Zufallszahl verstanden. Ein Rückschluss auf den Teilnehmer bei Besitz der verblendeten unsignierten eMD ist somit nicht möglich.
Erfindungsgemäß wird nun der Signatur eine Herausgeberinformation, auch als Her- ausgebemachricht bezeichnet, durch den Herausgeber hinzugefügt. Durch das erfin dungsgemäße Erweitern wird diese Herausgeberinformation unveränderlicher Teil der blinden Signatur des eMD. Diese Herausgeberinformation wird - ebenso wie der signierte verblendete eMD - dem Teilnehmer, beispielsweise im Klartext, zur Verfü gung gestellt. Als Herausgeberinformation wird jegliche unmanipulierbare Informa tion eines Herausgebers angesehen. Die Herausgeberinformation ist eigenständig und somit nicht vom eMD oder dem Teilnehmer abhängig. Eine eigenständige In formation ist daher eine unabhängige, nicht von anderen Instanzen bedingte Informa- tion.
Auf diese Weise kann bei einem späteren Prüfen der Signatur festgestellt werden, ob diese gesendete Herausgeberinformation mit der, in der Signatur befindlichen Her ausgeberinformation übereinstimmt oder im Rahmen eines Manipulationsversuchs verändert wurde. Die mit diesem Verfahren erzeugte blinde Signatur ermöglicht es jedem Teilnehmer am Bezahlsystem, eine Urheberschaft der Signatur über eine ver blendete eMD verbessert nachzuprüfen. Die Herausgeberinformation dient in einem Überprüfen-Schritt also dazu, den Teil der Signatur, der von der Herausgeberinfor mation gebildet wurde, gründlicher zu verifizieren. Die Herausgeberinformation ist nicht geheim und kann beispielsweise im Senden-Schritt als Klartext-Information übertragen werden.
Bevorzugt wird die Herausgeberinformation unabhängig von der signierten verblen deten eMD als eigenständige Information bereitgestellt wird. Mit dieser unabhängi- gen Bereitstellung ist gewährleistet, dass die Herausgeberinformation und die eMD vollkommen getrennte Informationen sind und ursprünglich von unterschiedlichen Instanzen generiert wurden. Während die eMD vom Teilnehmer selbst generiert werden kann, ist die Herausgeberinformation von dem (vertrauenswürdigen) Signa- tur-Herausgeber generiert worden. Auf diese Weise wird einerseits die Anonymität im Bezahlsystem gewahrt, andererseits wird durch diese Herausgeberinformation eine zusätzliche eMD unabhängige Information mitsigniert. Es ist darüber hinaus auch denkbar, dass die Herausgeberinformation in einem Prüfungsverfahren direkt einer Prüfinstanz zur Verfügung gestellt wird.
Bevorzugt ist die zum Erweitern der unsignierten verblendeten eMD verwendete Herausgeberinformation das Ergebnis einer Streu wertfunktion (Hashfunktion) mit einem Herausgeberwert, wobei der Herausgeberwert als die Herausgeberinformation gesendet wird.
Eine Streu wertfunktion (auch Hashfunktion) ist eine Abbildung, die eine große Ein gabemenge (beispielsweise die Herausgeberwert oder geheime Schlüssel) auf eine kleinere Zielmenge (die Hashwerte, beispielsweise die Herausgeberinformation) abbildet. Eine Hashfunktion ist daher im Allgemeinen nicht injektiv. Die Eingabe menge kann Elemente unterschiedlicher Längen enthalten, die Elemente der Ziel menge haben dagegen meist eine feste Länge. Auf diese Weise kann die Signatur in ihrer Größe reduziert werden, ohne jedoch das Sicherheitsniveau zu verringern. Die Streu wertfunktion ist bevorzugt eine, im Signier-Verfahren grundsätzlich ver einbarte, Streuwertfunktion, beispielsweise bei Verwendung eines ECDSA, bei dem neben den Kurvenparametem auch die zu wählende Streu wertfunktion festgelegt wird. Durch Verwenden eines Hashwertes als Herausgeberinformation anstelle des Herausgeberwertes selbst, wird die Sicherheit weiter erhöht und die Manipulation weiter erschwert. Zudem wird die zu sendende Datenmenge bestehend aus Heraus geberinformation und signiertem verblendeten eMD minimiert. Dies ist beispiels weise bei M2M-Anwendungen vorteilhaft.
Der Herausgeberwert kann dabei mindestens einer der folgenden Werte sein: ein Zeitwert, beispielsweise ein Zeitstempel oder eine Datumsangabe; eine Identifikation des Herausgebers, beispielsweise eine ID, Seriennummer, Vertragsnummer; und/oder eine Kennung des Herausgebers im Signierverfahren; und/oder ein heraus gebergenerierter Wert, beispielsweise eine Zufallszahl oder eine sonst wie erzeugtes Datum. Der Herausgeberwert wird bevorzugt im Klartext übertragen und als Hash- wert in der blinden Signatur unterbracht. Ist man im Besitz der Herausgeberinforma tion kann man durch erneute Streu Wertberechnung prüfen, ob die blinde Signatur korrekt ist und so, die Echtheit der blinden Signatur verbessert verifizieren. Das Erzeugen der blinden Signatur basiert bevorzugt auf einem Standard für digitale Signaturen, beispielsweise dem Digitalen Signatur Algorithmus, kurz DSA. Der DSA basiert auf dem diskreten Logarithmus in endlichen Körpern. Wie bei allen Signaturverfahren, die auf dem diskreten Logarithmus basieren, insbesondere für Verfahren, die auf elliptischen Kurven beruhen, hängt die Sicherheit ganz wesentlich von den Eigenschaften der verwendeten Zufallszahl des Signatur-Herausgebers ab.
Lür jede Signatur muss ein Zufallswert von dem Signatur-Herausgeber generiert werden. Dieser muss ausreichend Entropie besitzen, geheim gehalten werden und darf nur einmal im System verwendet werden. Diese Anforderungen sind kritisch, denn wird die Zufallszahl bekannt, so kann aus der Signatur der geheime Signatur schlüssel des Signatur-Herausgebers berechnet werden. Falls die Zufallszahl eine geringe Entropie hat, kann ein Angreifer für jede mögliche Zufallszahl einen gehei men Schlüssel berechnen und dann mit Hilfe des öffentlichen Verifikationsschlüssels testen, welcher davon der Richtige ist.
Bevorzugt ist der eMD das Ergebnis einer Streuwertfunktion aus einer teilnehmer generierten Seriennummer und einem teilnehmerberechneten Punkt einer elliptischen Kurve. Damit wird eine Variante eines Digitalen Signatur Algorithmus, kurz DSA, nämlich ein Elliptische-Kurven-Kryptographie, ECDSA verwendet. Die Übertra gung des DSA auf elliptischen Kurven ist in ANSI X9.62 standardisiert. Somit ist ein hohes Maß an Sicherheit bei minimaler Schlüssellänge möglich. Das Prinzip des ECDSA ist in Fig.2 erläutert. Der DSA ist ein beispielhafter Standard für digitale Signaturen. Andere Algorith men, beispielsweise kann auch ein asymmetrisches kryptographisches Verfahren, RSA, zum digitalen Signieren verwendet werden. RSA verwendet ein Schlüsselpaar, bestehend aus einem privaten Schlüssel (das Geheimnis), der zum Entschlüsseln oder Signieren von Daten verwendet wird, und einem öffentlichen Schlüssel, mit dem man verschlüsselt oder Signaturen prüft. Der private Schlüssel wird geheim gehalten und kann nur mit hohem Rechenaufwand aus dem öffentlichen Schlüssel berechnet werden.
Bevorzugt ist der eMD das Ergebnis einer Streu wertfunktion aus einem teilnehmer- generierten öffentlichen Schlüssel und einem teilnehmerberechneten Punkt einer elliptischen Kurve, wobei der teilnehmergenerierte öffentliche Schlüssel von der teilnehmergenerierten Seriennummer abgeleitet ist. Über die jeweiligen Kurvenpa rameter haben sich die beteiligten Instanzen im Vorfeld des Signier-Verfahrens ge- einigt. In dieser Ausgestaltung verbleibt die teilnehmergenerierte Seriennummer beim Teilnehmer als ein Geheimnis (also ein privater Schlüssel) und dem Signatur- Herausgeber wird ein von der Seriennummer abgeleiteter öffentlicher Schlüssel be reitgestellt. Beispielsweise wird dieser öffentliche Schlüssel teilnehmerseitig dadurch generiert, dass die Seriennummer mit einem Basispunkt der elliptischen Kurve verknüpft wird, beispielsweise eine logische Verknüpfung oder eine einfache mathematische Operation, beispielsweise eine Multiplikation. Auf diese Weise kön nen erfindungsgemäß auch Teile eines geldwerten Betrags einer eMD von einem Teilnehmer auf einen anderen Teilnehmer übertragen werden, was später noch erläu- tert wird. Die Signatur wird dabei über den gesamten geldwerten Betrag der eMD erstellt, einen zweiten Teilnehmer berechtigt dies nach Übertragen der eMD noch nicht automatisch zum Besitzen des gesamten Betrags, da ihm die Kenntnis über der teilnehmergenerierten Seriennummer verborgen bleibt, wenn nur Teilbeträge über tragen werden sollen.
Erfindungsgemäß ist nun zudem ein Verfahren zum Überprüfen einer blinden Signa tur eines eMD vorgesehen, wobei die blinde Signatur gemäß dem vorhergehenden Verfahren erzeugt wurde. Zum Überprüfen der Signatur wird der unsignierte, nicht verblendete (unverblendete) eMD und eine zum Erzeugen des eMD verwendete Se- riennummer und eine signierte nicht verblendete (unverblendete) eMD und die Her ausgeberinformation erhalten. Damit kann der vollständige geldwerte Betrag der eMD geprüft werden und bei erfolgreichem Überprüfen aufgrund der Kenntnis der (geheimen) Seriennummer den Besitzer wechseln. Im Unterschied zum bisherigen Überprüfen von blind signierten eMD, wird nun der eMD unter Verwendung der erhaltenen Seriennummer, des signierten unverblendeten eMD, der Herausgeberin formation und einem öffentlichen Schlüssel des Signatur-Herausgebers berechnet. Da die Herausgeberinformation auch unveränderlicher Teil der blinden Signatur ist, kann durch das Erhalten der (Klartext) Herausgeberinformation nun auch die blinde Signatur auf Korrektheit der Herausgeberinformation geprüft werden. Dabei erfolgt ein Vergleichen des berechneten eMD mit dem erhaltenen eMD und ein Verifizieren der Echtheit der blinden Signatur, wenn der berechnete eMD mit dem erhaltenen eMD übereinstimmt.
Bevorzugt ist der erhaltene eMD das Ergebnis einer Streuwertfunktion aus einer Verknüpfung einer teilnehmergenerierten Seriennummer mit einem Basispunkt und einem teilnehmerberechneten Punkt einer elliptischen Kurve, wobei vor dem Be rechnen der eMD ein teilnehmergenerierter öffentlicher Schlüssel von der teilneh mergenerierten Seriennummer abgeleitet wird. In dieser Ausgestaltung wurde die blinde Signatur der eMD mit dem teilnehmergenerierten öffentlichen Schlüssel an stelle der teilnehmergenerierten Seriennummer erstellt. Beispielsweise wird dieser öffentliche Schlüssel teilnehmerseitig dadurch generiert, dass die Seriennummer mit einem Basispunkt der elliptischen Kurve verknüpft wird, beispielsweise durch eine logische Verknüpfung oder eine einfache mathematische Operation, beispielsweise durch eine Multiplikation. Auf diese Weise können erfindungsgemäß auch Teile eines geldwerten Betrags einer eMD von einem Teilnehmer auf einen anderen Teil nehmer übertragen werden, was später noch erläutert wird. Die blinde Signatur wird dabei dennoch über den gesamten geldwerten Betrag der eMD erstellt. Zum Verifi- zieren der Echtheit der eMD muss dann der teilnehmergenerierte öffentliche Schlüs sel bereitgestellt werden.
Beim bisher beschriebenen eMD ist ein geldwerter Betrag (=Maximalbetrag des eMD) mit der teilnehmergenerierten Seriennummer gekoppelt, das heißt die blinde Signatur des Herausgebers ist für den Gesamtbetrag des geldwerten Betrags gültig. Dies verhindert bislang das Senden von Teilen des geldwerten Gesamtbetrags von eMD, da die Signaturprüfung für Teilbeträge ungültig ist. Zudem wird mit der Über prüfung auch die Seriennummer (das Geheimnis) des eMD übertragen und bei er folgreichem Verifizieren ist das Geheimnis entlüftet und der geldwerte Betrag kann - ähnlich wie bei DigiCash - eingelöst werden. Nun ist es oft wünschenswert, die eMD zu teilen und nur Teilbeträge der signierten eMD zu übergeben.
Erfindungsgemäß ist dazu nun ein Verfahren zum Überprüfen einer blinden Signatur eines eMD vorgesehen, wobei die blinde Signatur ebenfalls nach dem zuvor be- schriebenen Verfahren erzeugt wurde. Erhalten wird dabei der eMD; ein zum Erzeu gen des eMD verwendeter teilnehmergenerierter öffentlicher Schlüssel; ein signierter unverblendeter eMD; ein geldwerter Teilbetrag der eMD; eine (echte) Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und einem weiteren teilnehmerge nerierten öffentlichen Schlüssel; das teilnehmergenerierte Geheimnis; und die Her- ausgeberinformation.
Der geldwerte Teilbetrag ist ein Bruchteil des mit dem eMD verbundenen geldwer ten Gesamtbetrags. Dieser geldwerte Teilbetrag kann einen beliebigen Wert anneh men, er kann unrund sein und/oder er kann das Rückgeld in einem Bezahlvorgang sein. In dem Verfahren wird nun absichtlich die teilnehmergenerierte Seriennummer (das Geheimnis) nicht zum Überprüfen übertragen, um das Einlösen des Gesamtbe trages des eMD zu verhindern. Dementgegen wird ein neues (weiteres) Geheimnis teilnehmerseitig generiert, welches von der teilnehmergenerierten Seriennummer verschieden ist. Dieses teilnehmergenerierte Geheimnis wird zum Prüfen anstelle der teilnehmergenerierten Seriennummer übertragen. Zudem wird ein weiterer öffentli cher Schlüssel teilnehmerseitig von diesem Geheimnis abgeleitet. Dieses Ableiten ist beispielsweise eine mathematische Operation oder eine logische Verknüpfung des teilnehmergenerierten Geheimnisses mit einem Basispunkt (Generatorpunkt) oder einem alternativen vereinbarten Wert.
Im Überprüfen- Verfahren erfolgt nach dem Erhalten- Schritt das Berechnen des wei teren öffentlichen Schlüssels aus dem erhaltenen teilnehmergenerierten Geheimnis. Dazu wird der vereinbarte Wert, beispielsweise ein Basispunkt, verwendet. Zudem erfolgt das Berechnen der Signatur aus der Verknüpfung aus dem geldwerten Teilbe trag und dem berechneten weiteren öffentlichen Schlüssel. Somit ist die (echte) Sig natur errechenbar und kann mit der erhaltenen (echten) Signatur verglichen werden. Hier wird der Teilbetrag echt signiert, das heißt ohne zusätzliche Verblendung, da sonst ein Empfänger des Teilbetrags die Echtheit und die korrekte Ableitung nicht verifizieren kann.
Im darauffolgenden Überprüfen- Verfahren erfolgt sodann ein Vergleichen der be- rechneten echten Signatur mit der erhaltenen echten Signatur und so ein Verifizieren des Besitzes des geldwerten Teilbetrags. Auf diese Weise kann die Echtheit der er haltenen echten Signatur geprüft werden und es wird sichergestellt, dass das teil nehmergenerierte Geheimnis tatsächlich von dem Teilnehmer generiert wurde. Somit ist der Teilbetrag gültig.
Schließlich wird der eMD berechnet unter Verwendung des teilnehmergenerierten öffentlichen Schlüssels, dem signierten unverblendeten eMD, der Herausgeberin formation und einem öffentlichen Schlüssel des Signatur-Herausgebers. Schließlich erfolgt ein Vergleichen des berechneten eMD mit dem erhaltenen eMD und ein Veri- fizieren der Echtheit der blinden Signatur, wenn der berechnete eMD mit dem erhal tenen eMD übereinstimmt. Während dieses Berechnens und Verifizierens kann nicht auf die teilnehmergenerierte Seriennummer des eMD geschlossen werden, sodass zwar die blinde Signatur geprüft werden kann, allerdings der volle geldwerte Betrag der eMD nicht entschlüsselt werden kann. Lediglich der mit der echten Signatur be- stätigte Teilbetrag kann so übertragen werden und vom Empfänger (Teilnehmer, Prüfinstanz) weiterverwendet werden. Bevorzugt erfolgt das Überprüfen durch den Signatur-Herausgeber oder einer, von dem Signatur-Herausgeber verschiedenen, Prüfinstanz. Darin kann ein wesentlicher Vorteil des Verfahrens gesehen werden, denn der Teilnehmer ist nun nicht gezwun gen, seinen eMD bei dem Signatur-Herausgeber überprüfen zu lassen, wodurch we- niger Rückschlüsse auf das Bezahlverhalten eines Teilnehmers gezogen werden können und die Anonymität erhöht wird.
Bevorzugt wird beim Überprüfen auch die Herausgeberinformation verifiziert. So kann festgestellt werden, ob die Herausgeberinformation in der eMD verändert wur- de und ein Manipulationsversuch unternommen wurde.
Bevorzugt wurde die blinde Signatur mit einem ECDSA erzeugt, wobei zum Über prüfen der blinden Signatur die im ECDSA vereinbarte Kurvenparameter der ellipti schen Kurve bereitgestellt werden.
In einem anderen Aspekt der Erfindung umfasst ein Bezahlsystem zum Übertragen eines elektronischen Münzdatensatzes zwischen zumindest zwei Teilnehmern einen ersten Teilnehmer zum Erzeugen eines unsignierten verblendeten eMD; einen Signa turherausgeber zum Erzeugen einer blinden Signatur gemäß dem vorhergehend be- schriebenen Verfahren und einen zweiten Teilnehmer zum Erhalten des erzeugten eMD, eines signierten unverblendeten eMD und einer zum Erzeugen des eMD ver wendeten Seriennummer.
In einer bevorzugten Ausgestaltung überprüft der zweite Teilnehmer den erhaltenen erzeugten eMD, den signierten unverblendeten eMD und die zum Erzeugen des eMD verwendeten Seriennummer mittels dem zuvor beschrieben Überprüfen- Verfahren.
Bevorzugt ist der eMD das Ergebnis einer Streuwertfunktion aus einer Verknüpfung eines teilnehmergenerierten öffentlichen Schlüssels mit einem teilnehmerberechne ten Punkt. Dabei ist der teilnehmergenerierte öffentliche Schlüssel von der teilneh mergenerierten Seriennummer abgeleitet. Auf diese Weise wird nicht die teilneh mergenerierte Seriennummer versendet, sondern ein davon abgeleiteter öffentlicher Schlüssel, wodurch eine Teilbarkeit eines eMD ermöglicht wird.
In einem Aspekt der Erfindung wird die gestellte Aufgabe durch ein Verfahren zum Erhalten einer blinden Signatur für einen elektronischen Münzdatensatz, eMD in einem Teilnehmer gelöst. Dieses Verfahren umfasst die Verfahrensschritte: Erzeu- gen eines öffentlichen Schlüssels aus einer teilnehmergenerierten Seriennummer durch den Teilnehmer; Erzeugen eines eMD unter Verwendung des erzeugten öf fentlichen Schlüssels durch den Teilnehmer; Verblenden des erzeugten eMD zum Erhalten eines verblendeten unsignierten eMD durch den Teilnehmer; Senden des verblendeten unsignierten eMD von dem Teilnehmer zu einem Signatur- Herausgeber; Erhalten eines signierten verblendeten eMD von dem Signatur- Herausgeber durch den Teilnehmer; und Entfernen der Verblendung zum Erhalten eines signierten unverblendeten eMD durch den Teilnehmer. Das teilnehmerseitige Erzeugen des öffentlichen Schlüssels aus einer teilnehmerge nerierten Seriennummer durch den Teilnehmer wurde bereits mehrfach erläutert. Dabei wird ein im Verfahren zwischen den Teilnehmern, dem Signatur-Herausgeber und/oder der Prüfinstanz bereits vereinbarter Wert verwendet. Der Wert ist bei spielsweise ein Basispunkt der elliptischen Kurve. Dieser vereinbarte Wert wird lo- gisch mit der teilnehmergenerierten Seriennummer verknüpft, beispielsweise über eine logische Verknüpfung, wie AND; OR; XOR; NAND; NOR, oder über eine ein fache mathematische Operation, beispielsweise eine Multiplikation oder eine Additi on. Bevorzugt umfasst der Schritt des Erzeugens des eMD die Schritte: Errechnen eines Punktes einer elliptischen Kurve unter Verwendung von vereinbarten Kurvenpara metern; Verknüpfen des errechneten Punktes mit dem erzeugten öffentlichen Schlüs sel; Berechnen einer Streu wertfunktion aus der Verknüpfung aus errechne tem Punkt und dem erzeugten öffentlichen Schlüssel, wobei das Ergebnis der Streu wertfunktion der eMD ist.
Zum Erhalten der blinden Signatur wird nun der abgeleitete öffentliche Schlüssel verwendet anstelle der teilnehmergenerierten Seriennummer. Diese teilnehmergene rierte Seriennummer ist demnach für den Signatur-Herausgeber geheim und bleibt geheim.
Dieses Verfahren ermöglicht es, dass der eMD nicht mit seinem vollen geldwerten Betrag (Maximalbetrag des eMD) zwischen Teilnehmern übertragen werden muss, sondern, dass auch beliebige Teilbeträge von dem vollen geldwerten Betrag abgelei- tet und übertragen werden können.
In einer bevorzugten Ausgestaltung ist der erhaltene signierte verblendete eMD ein, mit einer Herausgeberinformation erweiterter signierter verblendeter eMD. Dabei ist insbesondere die zum Erweitern des unsignierten verblendeten eMD verwendete Herausgeberinformation das Ergebnis einer Streuwertfunktion mit einem Herausge berwert, wobei der Herausgeberwert als die Herausgeberinformation gesendet wird und der Teil der blinden Signatur ist. Der Herausgeberwert ist bevorzugt ein Zeit- wert, eine Identifikation des Herausgebers und/oder ein herausgebergenerierter Wert.
In einer bevorzugten Ausgestaltung wird zusammen mit dem erweiterten signierten verblendeten eMD die Herausgeberinformation erhalten, wobei bevorzugt die Her ausgeberinformation unabhängig von der signierten verblendeten eMD als eigen- ständige Information bereitgestellt wird.
Diese Herausgeberinformation und das entsprechende Erweitern des signierten ver blendeten eMD sind bereits oben ausführlich beschrieben worden. Auf diese Be schreibung wird ausdrücklich Bezug genommen. Die Herausgeberinformation dient also dazu, das blinde Signieren transparenter auszugestalten, indem (vom Teilneh mer) nicht manipulierbare, nicht-geheime Herausgeberinformationen Teil der blin den Signatur werden und geprüft werden können.
In einer bevorzugten Ausgestaltung ist ein Verfahren zum Ableiten eines geldwerten Teilbetrags eines signierten verblendeten eMD in einem Teilnehmer vorgesehen. Der eMD ist dabei gemäß dem vorherig beschriebenen Verfahren erhalten. Dieses Ablei- ten-Verfahren umfasst die Schritte: Erzeugen eines teilnehmergenerierten Geheim nisses und eines weiteren öffentlichen Schlüssels aus dem teilnehmergenerierten Geheimnis durch den Teilnehmer; Festlegen eines geldwerten Teilbetrags des eMD; und Errechnen einer Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und dem weiteren öffentlichen Schlüssel.
Der Teilbetrag kann beliebig festgelegt werden. Er kann das Rückgeld in einer Be zahltransaktion sein oder ein x-beliebiger Wert sein.
Das teilnehmergenerierte Geheimnis ist von der teilnehmergenerierten Seriennum mer verschieden und wird anstelle der Seriennummer verwendet, um zwischen Teil nehmern geldwerte Beträge zu übertragen. Dabei kann in vorteilhafter Weise anstelle des vollen geldwerten Betrages des eMD lediglich ein Teilbetrag übertragen werden. Mit diesem Ableiten wird also eine bereits blind signierte eMD für das Übertragen von geldwerten Teilbeträgen eingerichtet. Das Erzeugen des teilnehmergenerierten Geheimnisses kann sowohl von einem ers ten Teilnehmer erfolgen, wenn er einen Teilbetrag von dem Gesamtbetrag abteilen möchte. Bevorzugt erfolgt dieses Erzeugen durch einen weiteren Teilnehmer, der die teilnehmergenerierte Seriennummer nicht generiert hat. Somit kann ein Teilbetrag auch von einem beliebigen weiteren Teilnehmer abgeteilt werden, der die eMD legi tim erworben hat. Auf diese Weise können eMDs geteilt werden, wobei dennoch die blinde Signatur des eMD gültig bleibt. Zudem können nun Bezahlvorgänge mittels eMD ermöglicht werden, bei denen der eMD Empfänger (Bezahlte) einen abgeteil ten eMD zurücksenden kann, beispielsweise vergleichbar zu Rückgeld oder Wech- selgeld im Bargeldverkehr oder im Rahmen einer Rabattaktion.
Bevorzugt ist der weitere öffentliche Schlüssel eine Verknüpfung eines Basispunkts der elliptischen Kurve mit dem teilnehmergenerierten Geheimnis. Diese Verknüp fung ist beispielsweise eine logische Verknüpfung oder eine einfache mathematische Operation, wodurch der Rechenaufwand minimiert wird, ohne die Sicherheit und Manipulationsfestigkeit des Verfahrens zu gefährden. Alternativ zum Basispunkt kann auch ein anderer vereinbarter Wert verwendet werden.
In einer bevorzugten Ausgestaltung umfasst das Ableiten weiter das Erzeugen eines zweiten teilnehmergenerierten Geheimnisses und eines zweiten weiteren öffentlichen Schlüssels aus dem zweiten teilnehmergenerierten Geheimnis durch den Teilnehmer oder einen anderen Teilnehmer; Festlegen eines zweiten geldwerten Teilbetrags des eMD, wobei der zweite geldwerte Teilbetrag kleiner ist als der geldwerte Teilbetrag und Errechnen einer zweiten Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und dem zweiten weiteren öffentlichen Schlüssel.
Das Erzeugen des zweiten teilnehmergenerierten Geheimnisses kann sowohl von dem ersten Teilnehmer erfolgen, wenn er einen Teilbetrag weiter aufteilen möchte. Bevorzugt erfolgt dieses Erzeugen durch einen Teilnehmer, der das (erste) teilneh- mergenerierte Geheimnis nicht generiert hat. Somit kann der Teilbetrag auch von einem beliebigen weiteren Teilnehmer weiter geteilt werden. Auf diese Weise kön nen eMDs mehrfach geteilt werden, wobei dennoch die blinde Signatur gültig bleibt. Zudem können nun Bezahlvorgänge mittels eMD ermöglicht werden, bei denen der eMD Empfänger (Bezahlte) einen geteilten eMD zurücksenden kann, beispielsweise vergleichbar zu Rückgeld oder Wechselgeld im Bargeldverkehr oder im Rahmen einer Rabattaktion. Der zweite Teilbetrag kann beliebig festgelegt werden, also ein x-beliebiger Wert kleiner dem (ersten) Teilbetrag sein. Bevorzugt ist der zweite weitere öffentliche Schlüssel eine Verknüpfung eines Ba sispunkts der elliptischen Kurve mit dem zweiten teilnehmergenerierten Geheimnis. Diese Verknüpfung ist beispielsweise eine logische Verknüpfung oder eine einfache mathematische Operation, wodurch der Rechenaufwand minimiert wird, ohne die Sicherheit und Manipulationsfestigkeit des Verfahrens zu gefährden. Alternativ zum Basispunkt kann auch ein anderer vereinbarter Wert verwendet werden.
In einer bevorzugten Ausgestaltung ist ein Verfahren zum Überprüfen einer blinden Signatur eines eMD vorgesehen, wobei die blinde Signatur gemäß dem oben be schriebenen Verfahren erhalten wurde. Das Überprüfen umfasst die folgenden Schritte: Erhalten des eMD, einer zum Erzeugen des eMD verwendeten Seriennum mer und eines signierten unverblendeten eMD. Da die Seriennummer und nicht der davon abgeleitete öffentliche Schlüssel erhalten wird, kann nun der gesamte geld- werte Betrag der eMD geprüft, entschlüsselt und übertragen werden. Das Übertragen der Seriennummer ermöglicht generell die Verfügung über den gesamten geldwerten Betrag. Zum Überprüfen wird der öffentliche Schlüssel aus der teilnehmergenerier ten Seriennummer berechnet. Zudem wird der eMD unter Verwendung des berech neten öffentlichen Schlüssels, des signierten unverblendeten eMD und einem öffent lichen Schlüssel des Signatur-Herausgebers berechnet. Es gilt zu beachten, dass der berechnete öffentliche Schlüssel zum Verifizieren verwendet wird anstelle der Se- riennummer, denn in diesem Aspekt der Erfindung bleibt die Seriennummer dem Signatur-Herausgeber verborgen und die blinde Signatur wird über den öffentlichen Schlüssel erstellt. Zum Prüfen der Signatur ist dann der berechnete öffentliche Schlüssel zu verwenden. Schließlich wird der berechnete eMD mit dem erhaltenen eMD verglichen und die Echtheit der blinden Signatur verifiziert, wenn der berechnete eMD mit dem erhalte nen eMD übereinstimmt.
In einer bevorzugten Ausgestaltung ist ein weiteres Verfahren zum Überprüfen einer blinden Signatur eines eMD vorgesehen, bei dem ebenfalls die blinde Signatur nach einem vorhergehend beschriebenen Verfahren erzeugt/erhalten wurde. Das weitere Verfahren umfasst: Erhalten des eMD, des teilnehmergenerierten öffentlichen Schlüssel, eines signierten unverblendeten eMD, eines geldwerten Teilbetrag der eMD, einer Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und ei- nes weiteren teilnehmergenerierten öffentlichen Schlüssel; und eines teilnehmerge nerierten Geheimnisses. Der Teilbetrag ist bevorzugt der oben erwähnte (erste) Teil betrag des geldwerten Gesamtbetrags. Nun erfolgt ein Berechnen des weiteren öf fentlichen Schlüssels aus dem teilnehmergenerierten Geheimnis; ein Berechnen der Signatur über die Verknüpfung aus dem geldwerten Teilbetrag und dem berechneten weiteren teilnehmergenerierten öffentlichen Schlüssel; ein Vergleichen der berech neten Signatur mit der erhaltenen Signatur und ein Verifizieren der Echtheit des geldwerten Teilbetrags; und das bereits oben beschriebene Berechnen des eMD unter Verwendung des erhaltenen öffentlichen Schlüssels, des signierten unverblendeten eMD und einem öffentlichen Schlüssel des Signatur-Herausgebers, sodass - wie be reits erwähnt - der berechneten eMD mit dem erhaltenen eMD verglichen werden kann und die Echtheit der blinden Signatur verglichen wird, wenn der berechnete eMD mit dem erhaltenen eMD übereinstimmt.
Das weitere Verfahren ermöglicht somit das Verifizieren der Echtheit des eMD an hand des gesamten Geldbetrags, so wie sie von dem Signatur-Herausgeber (blind) signiert wurde. Zudem kann der Teilbetrag verifiziert werden und für weitere Be zahlvorgänge verwendet werden. Dabei muss das teilnehmergenerierte Geheimnis nicht von dem Teilnehmer generiert worden sein, der die Seriennummer generiert hat, wodurch eine übertragene eMD weiter teilbar ist ohne neu signiert werden zu müssen.
In einer bevorzugten Ausgestaltung ist noch ein weiteres Verfahren zum Überprüfen einer blinden Signatur eines eMD vorgesehen, bei dem ebenfalls die blinde Signatur nach einem vorhergehend beschriebenen Verfahren erzeugt/erhalten wurde. Das noch weitere Verfahren umfasst die Verfahrensschritten: Erhalten des eMD, des teil nehmergenerierten öffentlichen Schlüssels, eines signierten unverblendeten eMD, eines geldwerten Teilbetrags der eMD, einer Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und einem weiteren teilnehmergenerierten öffentlichen Schlüssels, des weiteren teilnehmergenerierten öffentlichen Schlüssels; eines zwei ten geldwerten Teilbetrag der eMD; einer zweiten Signatur über eine Verknüpfung aus dem zweiten geldwerten Teilbetrag und einem zweiten weiteren teilnehmergene rierten öffentlichen Schlüssel; und eines zweiten teilnehmergenerierten Geheimnis- ses. Zu beachten ist, dass das (erste) teilnehmergenerierte Geheimnis und auch die Seriennummer nicht erhalten werden, da deren Weitergabe auch den Besitz des (ers ten) geldwerten Teilbetrags oder des geldwerten Gesamtbetrags ermöglichen wür den. Der zweite Teilbetrag ist bevorzugt der oben erwähnte zweite Teilbetrag des geldwerten Gesamtbetrags, der kleiner ist als der (erste) Teilbetrag.
Es erfolgt ein Berechnen des zweiten weiteren öffentlichen Schlüssels aus dem zwei ten teilnehmergenerierten Geheimnis; ein Berechnen der zweiten Signatur über die Verknüpfung aus dem geldwerten Teilbetrag und dem berechneten zweiten weiteren teilnehmergenerierten öffentlichen Schlüssel; ein Vergleichen der berechneten zwei ten Signatur mit der erhaltenen zweiten Signatur und Verifizieren der Echtheit des zweiten geldwerten Teilbetrags. Zudem erfolgt das bereits erwähnte Berechnen der Signatur über die Verknüpfung aus dem geldwerten Teilbetrag und dem berechneten weiteren teilnehmergenerierten öffentlichen Schlüssel; das Vergleichen der berechneten Signatur mit der erhaltenen Signatur und das Verifizieren der Echtheit des geldwerten Teilbetrags; das Berech nen der eMD unter Verwendung des erhaltenen öffentlichen Schlüssels, der signier- ten unverblendeten eMD und einem öffentlichen Schlüssel des Signatur- Herausgebers; das Vergleichen der berechneten eMD mit dem erhaltenen eMD und Verifizieren der Echtheit der blinden Signatur, wenn der berechnete eMD mit dem erhaltenen eMD übereinstimmt. Bevorzugt werden der (erste) geldwerte Teilbetrag und die (erste) Signatur über eine Verknüpfung aus dem geldwerten Teilbetrag und einem weiteren teilnehmergene rierten öffentlichen Schlüssel gemäß dem oben beschriebenen Ableiten- Verfahren von einem Teilnehmer erstellt. Der Teilnehmer muss nicht der Teilnehmer sein, der die Seriennummer generiert hat. Dies ermöglicht ein Teilen des eMD unter voller Gültigkeit der blinden Signatur.
Bevorzugt werden der zweite geldwerte Teilbetrag und die zweite Signatur über eine Verknüpfung aus dem zweiten geldwerten Teilbetrag und einem zweiten weiteren teilnehmergenerierten öffentlichen Schlüssel gemäß dem oben beschriebenen Ablei- ten- Verfahren von einem Teilnehmer erstellt.
Bevorzugt wird im Erhalten-Schritt zudem die Herausgeberinformation erhalten und diese wird im Berechnen- Schritt zum Berechnen des eMD ebenfalls verwendet wer den.
Bevorzugt wird das Überprüfen durch den Signatur-Herausgeber oder einer, von dem Signatur-Herausgeber verschiedene, Prüfinstanz, beispielsweise auch einem weiteren Teilnehmer durchgeführt.
Bevorzugt wird beim Überprüfen auch die Herausgeberinformation verifiziert. Die blinde Signatur wird bevorzugt mit einem Elliptische-Kurven- Signieralgorithmus, ECDSA, erzeugt und zum Prüfen der blinden Signatur werden vereinbarte Kurvenparameter der elliptischen Kurve bereitgestellt. In einem weiteren Aspekt der Erfindung ist ein Bezahlsystem zum Übertragen eines elektronischen Münzdatensatzes, eMD zwischen zumindest zwei Teilnehmern vor gesehen. Das Bezahlsystem umfasst einen ersten Teilnehmer zum Erhalten einer blinden Signatur für einen eMD gemäß dem beschrieben Erhalten-Verfahren; einen Signatur-Herausgeber zum Erzeugen der blinden Signatur und einem zweiten Teil- nehmer zum Erhalten des erzeugten eMD, eines signierten unverblendeten eMD und einer zum Erzeugen des eMD verwendeten Seriennummer.
Das Bezahlsystem umfasst zudem, dass der zweite Teilnehmer den erhaltenen er zeugten eMD, den signierten unverblendeten eMD und die zum Erzeugen des eMD verwendeten Seriennummer überprüft. Dabei ist vorgesehen, dass der zweite Teil nehmer das Geheimnis generiert und den Teilbetrag sowie die zu dem Teilbetrag gehörige ableitet. Dieser Teilbetrag wird in einem Bezahlverfahren verwendet, wo bei die blinde Signatur über den eMD gültig bleibt. Ein eMD ist insbesondere ein elektronischer Datensatz, der einen geldwerten Betrag repräsentiert und umgangssprachlich auch als„digitale Münze” oder„elektronische Münze” bezeichnet wird. Das Recht an diesem geldwerten Betrag wechselt bei dem Verfahren von einem ersten Konto zu einem anderen Konto. Als ein geldwerter Be trag wird im Folgenden ein digitaler Betrag verstanden, der auf einem Konto eines Geldinstituts gutgeschrieben werden kann. Der eMD repräsentiert also Bargeld in elektronischer Form.
Die eMD unterscheiden sich wesentlich von elektronischen Datensätzen zum Daten austausch oder Datentransfer, da beispielsweise eine klassische Datentransaktion auf Basis eines Frage-Antwort-Prinzips bzw. auf einer Interkommunikation zwischen den Datentransferpartnern stattfindet. EMD kennzeichnen sich dementgegen durch Einmaligkeit, Eindeutigkeit und Sicherheitsmerkmale (Signaturen, Verschlüsselun gen) aus. In einem eMD sind prinzipiell alle Daten enthalten, die für eine empfan gende Instanz bezüglich Verifikation, Authentisierung und Weitergeben an andere Instanzen benötigt werden. Eine Interkommunikation ist daher bei dieser Art Da tensätze grundsätzlich nicht erforderlich. Ausnahmen bilden die Wechselgeld- Bezahltransaktionen. Zur Übertragung kann ein Sicherheitselement in einem Endgerät eines Teilnehmers vorgesehen sein. Ein Sicherheitselement ist bevorzugt eine spezielle Software, insbe sondere in Form einer abgesicherten Laufzeitumgebung innerhalb eines Betriebssys tems eines Endgeräts, englisch Trusted Execution Environments, TEE. Alternativ ist das Sicherheitselement beispielsweise als spezielle Hardware, insbesondere in Form eines gesicherten Hardware-Plattform-Moduls, englisch Trusted Platform Module, TPM oder als ein eingebettetes Sicherheitsmodul, cUICC, eSIM, ausgebildet. Das Sicherheitselement stellt eine vertrauenswürdige Umgebung bereit und sichert bei spielsweise auch eine Machine-2-Machine, M2M Anwendung ab.
Die Kommunikation zwischen zwei Endgeräten bzw. Sicherheitselement kann kon taktlos oder kontaktbehaftet erfolgen und kann als ein gesicherter Kanal ausgebildet sein. Somit ist der Austausch des eMD durch kryptografische Schlüssel, beispiels weise einem für einen Münzdatensatz-Austausch ausgehandelten Sitzungsschlüssel oder einem symmetrischen oder asymmetrischen Schlüsselpaar.
Als ein Endgerät wird jegliches ein Programmcode verarbeitendes Endgerät mit Be- nutzer-Ein-Ausgabe abgesehen, beispielsweise ein PC, ein Smartphone, ein Tablet. Zudem kann das Endgerät auch Teil einer M2M-Umgebung sein, beispielsweise eine Maschine, Werkzeug, Automat oder auch Behälter und Fahrzeug verstanden. Ein erfindungsgemäßes Endgerät ist somit entweder stationär oder mobil. M2M steht dabei für den (voll-) automatisierten Informationsaustausch zwischen diesen Endge räten, beispielsweise unter Nutzung des Internets und den entsprechenden Zugangs netzen, wie dem Mobilfunknetz.
KURZE ZUSAMMENFASSUNG DER FIGUREN
Nachfolgend wird anhand von Figuren die Erfindung bzw. weitere Ausführungsfor men und Vorteile der Erfindung näher erläutert, wobei die Figuren lediglich Ausfüh- rungsbeispiele der Erfindung beschreiben. Gleiche Bestandteile in den Figuren wer den mit gleichen Bezugszeichen versehen. Die Figuren sind nicht als maßstabsgetreu anzusehen, es können einzelne Elemente der Figuren übertrieben groß bzw. übertrie ben vereinfacht dargestellt sein.
Es zeigen:
Fig.l Prinzip des Digi-Cash Verfahrens mit blinden Signaturen; Fig.2 ein bekanntes Beispiel zum Erstellen und Prüfen einer Signatur mit tels ECDSA;
Fig.3 ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines er- findungsgemäßen Signatur-Erzeugen Verfahrens;
Fig.4 ein Ausführungsbeispiel eines Verfahrensablaufs zum Erzeugen und Überprüfen einer blinden Signatur für einen eMD gemäß der Erfindung; Fig.5 ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines er findungsgemäßen Verfahrens;
Fig.6 ein Ausführungsbeispiel eines Verfahrensablaufs zum Erzeugen und Überprüfen einer blinden Signatur für einen eMD mit ganzem geldwerten Betrag und davon abgeteilten geldwerten Teilbeträgen gemäß der Erfindung; und
Fig.7 ein Ausführungsbeispiel eines Verfahrensablaufs zum Erzeugen und Überprüfen einer blinden Signatur für einen eMD mit ganzem geldwerten Betrag und davon abgeteilten geldwerten Teilbeträgen gemäß der Erfindung.
FIGURENBESCHREIBUNG
Fig. l zeigt das Prinzip des„DigiCash“ Verfahrens mit blinden Signaturen. Hierbei überträgt ein erster Teilnehmer (Käufer) TI, einem zweiten Teilnehmer (Verkäufer) T2 eine vom Signatur-Herausgeber H signierte Münze. Dazu tauscht der erste Teil nehmer TI einen geldwerten Betrag durch eine digitale Münze, deren eindeutige Kennung, beispielsweise eine Seriennummer, er selbst im Schritt 1 generiert. Die eindeutige Kennung wird im Schritt 2 verschlüsselt und im Schritt 3 dem Signatur- Herausgeber H zusammen mit dem Wert der digitalen Münze übertragen. Der Signa tur-Herausgeber H bestätigt die Gültigkeit der digitalen Münze durch Signieren der verschlüsselten eindeutigen Kennung im Schritt 4 und sendet die so signierte digitale Münze im Schritt 5 zurück an den ersten Teilnehmer TI. Im Schritt 6 entschlüsselt der ersten Teilnehmer TI die Signatur und überträgt (bezahlt) im Schritt 7 die digita le Münze bestehend aus der eindeutigen Kennung und der entschlüsselten Signatur an den zweiten Teilnehmer T2. Der zweite Teilnehmer T2 fordert den Signatur- Herausgeber H im Schritt 8 zum Einlösen der digitalen Münze auf. Der Signatur- Herausgeber H verifiziert die Echtheit der digitalen Münze anhand der Signatur im Schritt 9 und ermöglicht so das Einlösen des geldwerten Betrags der digitalen Münze im Schritt 10. In Fig.2 wird ein Verfahrensablauf 100 bestehend aus einem Verfahren S zum Er stellen einer Signatur zwischen einem ersten Teilnehmer TI bzw. dessen ersten End gerät Ml und einem Herausgeber H und einem Verfahren P zum Überprüfen der erstellten Signatur zwischen einen ersten Teilnehmer TI und einer Prüfinstanz PI dargestellt.
Im Signierverfahren S einigen sich im Schritt 101 alle beteiligten Instanzen TI, H und P über die Kurvenparameter, f, p, a, b, G, n, h einer elliptischen Kurve. Diese Kurvenparameter beschreiben eine verwendete Kurve, wobei f die Ordnung des Körpers ist, auf dem die Kurve definiert ist; p die Angabe der verwendeten Basis ist; a, b zwei Körperelemente, die die Gleichung der Kurve beschreiben sind; G der Er zeugerpunkt (Generatorpunkt, Basispunkt) der Kurve ist; n, die Ordnung des Punktes G ist; und h der Kofaktor ist. Zudem einigt man sich über eine zu verwendende kryp- tografische Streu wertfunktion H(), auch als Hashfunktion bezeichnet, beispielsweise ein SHA-2 Algorithmus.
Im Schritt 102 generiert der Herausgeber H ein kryptografisches Schlüsselpaar d, D basierend auf dem Basispunkt G und teilt den öffentlichen Teil D dem ersten Teil nehmer TI und der Prüfinstanz PI im Schritt 103, 103‘ mit. Der öffentliche Schlüs selteil D wird auch als Verifizierschlüssel D bezeichnet. Der private Schlüsselteil d wird als Geheimnis nicht ausgegeben.
Im Schritt 104 erzeugt der erste Teilnehmer TI eine Seriennummer m und verknüpft diese mit einem geldwerten Betrag zum elektronischen Münzdatensatz, eMD. Zu dem erzeugt der erste Teilnehmer TI zwei ganzzahlige Zufallszahlen g, d. Im Schritt 105 erzeugt der Herausgeber H eine Zufallszahl r, und errechnet einen Punkt R der Kurve, der an den ersten Teilnehmer TI übertragen wird.
Im Schritt 106 errechnet der erste Teilnehmer TI einen Punkt der Kurve mit der Gleichung (1):
A = R + g G + d D (1)
Der Punkt A wird durch eine x-Koordinate Ax und eine y-Koordinate Ay repräsen- tiert. Die x-Koordinate Ax wird mit der Seriennummer m als Eingangsparameter der Hashfunktion H() in Gleichung (2) verwendet, um einen unsignierten unverblende ten eMD c zu erhalten: c = H(m || Ax) (2)
Der unsignierte unverblendete eMD c wird mit Gleichung (3) in einen unsignierte verblendeten eMD c‘ umgesetzt: c‘ = c - d (3)
Im Schritt 107 wird dieser unsignierte verblendete eMD c‘ an den Herausgeber H gesendet und dort im Schritt 108 mittels Gleichung (4) wird der signierte verblendete eMD s‘ erhalten und im Schritt 109 an den ersten Teilnehmer TI übertragen: s‘ = r— c‘d (4)
Im Schritte 110 wird der signierte, verblendete eMD s‘ mittels Gleichung (5) in ei nen unverblendeten signierten eMD s umgesetzt: s = s‘ + g (5)
Im Ergebnis des Signierverfahrens S ist ein eMD c erhalten, dessen teilnehmergene rierte Seriennummer m die Signatur (s, c) aufweist, siehe Gleichung (6): sig(m) = (s, c) (6)
Im Prüfverfahren PR kann nun jeder, der in Kenntnis der o.g. Kurvenparameter und des Verifizier-Schlüssels D (öffentlicher Schlüssel des Herausgebers H) ist, die blin de Signatur des eMD c prüfen, was beispielsweise mittels einer Prüfinstanz PI oder eines beliebigen Teilnehmers T1,T2, T3, die alle nicht der Herausgeber H sein müs sen, erfolgt. Dazu wird im Schritt 111 der unsignierte unverblendete eMD c, der sig nierte unverblendete eMD s und die teilnehmergenerierte Seriennummer m vom Teilnehmer TI and die Prüfinstanz PI übertragen. Dort wird im Schritt 112 die blin de Signatur über folgende Gleichungen (7) bis (10) verifiziert:
(c D)+(s G) (7)
= (c d G) + (r G) - (c d G) + (d· d G) + (g G) (8)
= R + Ö D + y G) = A (9) c == H(m | | Ax) (10)
Wenn der in Gleichung (10) errechnete eMD c dem in Schritt 111 gesendeten (erhal tenen) eMD c entspricht, so gilt die blinde Signatur als bestätigt und der eMD als echt.
Fig.3 zeigt ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfin dungsgemäßen Signatur-Erzeugen Verfahrens 100. In Fig.4 ist ein Ausführungsbei spiel eines Verfahrensablaufs zum Erzeugen und Überprüfen einer blinden Signatur für einen eMD gemäß der Erfindung gezeigt. Das Verfahren in Fig.3 wird in Verbin dung mit Fig.4 erläutert.
Das Verfahren 100 zum Erstellen einer blinden Signatur gemäß Fig.3 und Fig.4 ist an das Erstellen einer blinden Signatur mit entsprechender Überprüfung durch eine Prüfinstanz PI gemäß der Fig.2 angelehnt und spiegelt einen Verfahrensablauf in einem ECDSA Verfahren wieder. Zu beachten ist, dass das Prüfen mit den Schritten 111 und 112 auch von einem anderen Teilnehmer T2, T3 vorgenommen werden kann, beispielsweise um den geldwerten Betrag oder Teilbetrag zu verifizieren. Zu beachten ist weiter, dass das Prüfen PR mit den Schritten 111 und 112 auch zwi schen zwei Teilnehmern T2, T3 stattfinden kann, die nicht die Seriennummer m des eMD c generiert haben. Diese Teilnehmer wollen dann beispielsweise einen geld- werten Gesamtbetrag oder einen davon abgeleiteten Teilbetrag oder einen davon abgeleiteten zweiten Teilbetrag verifizieren und übertragen.
Die Verwendung des ECDSA ist dabei lediglich beispielhaft und jegliches Verfahren zum Erzeugen einer blinden Signatur, beispielsweise DAS oder RSA basiert, kann mit dem erfindungsgemäßen Grundgedanken, nämlich dem Hinzufügen einer Her ausgeberinformation ggf. in Verbindung mit dem Ableiten von geldwerten Teilbe trägen betrieben werden. Dies wird durch die gestrichelten Linien der Schritte 101 bis 105 in der Fig.4 angedeutet, die somit als optionale Schritte anzusehen sind. Auf die Wiederholung der Erläuterung dieser Schritte 101 bis 105 der Fig.2 wird somit verzichtet, obwohl Sie bei Verwendung eines ECDSA Verfahrens Bestandteil des erfindungsgemäßen Verfahrens sind.
Die Verfahrens schritte 101 bis 107 der Fig.3 und Fig.4 gleichen den Verfahrens schritten 101 bis 107 der Fig.2 und für weitere Erläuterungen wird auf diese Fig.2 verwiesen. Im Schritt 107 wird der mit Gleichung (3) beschriebene unsignierte verblendete eMD c‘ an den Herausgeber H gesendet. Dort wird im Schritt 113 ein Herausgeberwert w generiert. Der Herausgeberwert w ist beispielsweise ein Zeitstempel oder ein Zufallswert. Dieser Herausgeberwert w wird mittels einer Streu wertfunktion H() in eine Herausgeberinformation u umge setzt. Diese Streu wertfunktion H() ist bevorzugt die Streuwertfunktion, die im Schritt 101 vereinbart wurde. Dies vereinfacht das Verfahren bezüglich Kompatibili- tat und Vereinbarung von zu verwendenden kryptografischen Funktionen.
Mit dieser Herausgeberinformation u wird in Gleichung (11) der unsignierte ver blendete eMD c‘ gemäß Schritt 113 erweitert: c‘+ u (11)
Im Schritt 108 wird mittels Gleichung (12) der erweiterte signierte verblendeten eMD s“ erhalten: s“ = r - (c‘+ u)-d (12)
Im Schritt 109 wird der erweiterte signierte verblendete eMD s“ zusammen mit dem Herausgeberwert w an den ersten Teilnehmer TI übertragen.
Im Schritte 110 wird der signierte verblendete eMD s“ mittels Gleichung (13) un verblendet: s = s“ + g (13)
Im Ergebnis des Signierverfahrens S hat ein eMD c mit der teilnehmergenerierten Seriennummer m die Signatur (s, c, w), siehe Gleichung (14): sig(m) = (s, c, w) (14)
Erfindungsgemäß generiert der Teilnehmer TI den eMD c und verblendet diesen in c‘ mit der Zufallszahl g, sodass der eMD c nicht beim Herausgeber H bekannt wird. Dem eMD c ist neben der eindeutigen Seriennummer m auch ein geldwerter Maxi malbetrag zugeordnet.
Der Herausgeber H signiert den verblendeten unsignierten eMD c‘, ohne dass er den eMD c oder die Seriennummer m kennt. Das wird als blindes Signieren bezeichnet. Der Herausgeber H fügt erfindungsgemäß einen herausgebergenerierten Wert w in Form einer Herausgeberinformation u an. Diese Herausgeberinformation u wird un- veränderbarer Teil der signierten verblendeten eMD s“ und nach Gleichung (13) als Herausgeberwert w auch Teil der signierten unverblendeten eMD s.
Im Prüfverfahren PR kann nun jeder, der in Kenntnis der o.g. Kurvenparameter und des Verifizierschlüssels D ist, die Signatur (s, c, w) des eMD c mit der Seriennum mer m und dem Herausgeberwert w prüfen, was beispielsweise mittels einer Prüfinstanz PI, T2, T3, die nicht zwangsläufig der Herausgeber H ist, erfolgt. Beim Überprüfen im Verfahren PR der Fig.4 erfolgt sodann ein Überprüfen, ob m verän dert wurde und ob w verändert wurde, was nachfolgend beschrieben ist.
Dazu wird im Schritt 111 der unsignierte unverblendete eMD c, der signierte unver blendete eMD s, die teilnehmergenerierte Seriennummer m und der Herausgeberwert w vom Teilnehmer TI and die Prüfinstanz PI, T2, T3 übertragen. Dort wird im Schritt 112 die Signatur über folgende Gleichungen (15) bis (17) verifiziert: u=H(w) (15)
A=s G + (c+u) D (16) c == H(m || Ax) (17)
Wird mit Gleichung (17) festgestellt, dass der im Schritt 111 erhaltene unsignierte unverblendete eMD c dem errechneten eMD entspricht, so gilt die blinde Signatur als echt.
Fig.5 zeigt ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfin dungsgemäßen Signatur-Erhalten Verfahrens. In Fig.6 ist ein Ausführungsbeispiel eines Verfahrensablaufs zum Erhalten S einer blinden Signatur und auch zum Über prüfen PR einer blinden Signatur für einen eMD gemäß der Erfindung gezeigt. Das Überprüfen- Verfahren PR weist dabei drei unterschiedliche Szenarien PR1, PR2, PR3 auf. Das Verfahren in Fig.5 wird in Verbindung mit Fig.6 erläutert. Das Verfahren zum Erhalten einer blinden Signatur gemäß Fig.5 und Fig.6 ist an das Erstellen einer blinden Signatur mit entsprechender Überprüfung durch eine Prüfinstanz PI, T2, T3 gemäß der Fig.2 angelehnt und spiegelt einen Verfahrensab lauf in einem ECDSA Verfahren wieder. Zu beachten ist, dass das Prüfen PR1, PR2, PR3 mit den Schritten 111, 111‘, 111“ und 112, 112% 112“ auch von einem anderen Teilnehmer T2, T3 vorgenommen werden kann, beispielsweise um den geldwerten Betrag oder Teilbetrag zu verifizieren. Zu beachten ist weiter, dass das Prüfen PR1, PR2, PR3 mit den Schritten 111, 111 % 111“ und 112, 112% 112“ auch zwischen zwei Teilnehmern T2, T3 stattfinden kann, die nicht die Seriennummer m des eMD c generiert haben, beispielsweise um einen geldwerten Gesamtbetrag oder einen davon abgeleiteten Teilbetrag u oder einen davon abgeleiteten zweiten Teilbetrag e zu veri fizieren und übertragen zu bekommen. Nachfolgend wird die Prüfinstanz PI einem anderen Teilnehmer T2, T3 gleichgesetzt.
Die Verwendung des ECDSA ist dabei lediglich beispielhaft und jegliches Verfahren zum Erzeugen/Erhalten einer blinden Signatur, beispielsweise DAS- oder RSA- basiert, kann mit dem erfindungsgemäßen Grundgedanken, nämlich dem Ableiten von geldwerten Teilbeträgen, ggf. unter Verwendung von Herausgeberinformationen des Signatur-Herausgebers H erfolgen. Auf die Wiederholung der Schritte 101 bis 105 der Fig.2 wird somit verzichtet, obwohl Sie bei Verwendung eines ECDSA Ver fahrens Bestandteil des erfindungsgemäßen Verfahrens sind.
Die Verfahrens schritte 101 bis 105 der Fig.5 und Fig.6 gleichen den Verfahrens schritten 101 bis 105 der Fig.2 und für weitere Erläuterungen wird auf diese Fig.2 verwresen.
Im Schritt 114 erfolgt ein mit Gleichung (18) beschriebenes Erzeugen eines öffentli chen Schlüssels M im Teilnehmer TI:
M = m G (18)
Dabei ist die teilnehmergenerierte Seriennummer m als ein Geheimnis anzusehen und der öffentliche Schlüssel G wird unter Verwendung des (vereinbarten) Basis punktes G der elliptischen Kurve abgeleitet. Alternativ können andere vereinbarte Werte zum Erzeugen des öffentlichen Schlüssels M verwendet werden. Im Schritt 106 errechnet der erste Teilnehmer TI einen Punkt der Kurve mit der Gleichung (1) Der Punkt A wird durch eine x-Koordinate Ax und eine y-Koordinate Ay repräsentiert. Die x-Koordinate Ax wird mit dem öffentlichen Schlüssel M als Eingangsparameter der Hashfunktion H() in Gleichung (19) verwendet, um einen unsignierten unverblendeten eMD c zu erhalten: c = H(M 11 Ax) (19)
Der unsignierte unverblendete eMD c wird mit Gleichung (20) in einen unsignierte verblendeten eMD c‘(M) umgesetzt: c‘(M) = c - d (20)
Im Schritt 107 wird der mit Gleichung (20) beschriebene unsignierte verblendete eMD c‘(M) an den Herausgeber H gesendet. Im Schritt 108 wird mittels Gleichung (21) der signierte verblendete eMD s‘ erhalten und im Schritt 109 an den ersten Teilnehmer TI übertragen: s‘ = r - c‘(M) d (21)
Im Schritte 110 wird der signierte, verblendete eMD s‘ mittels Gleichung (5) erhal ten. Im Ergebnis des Signierverfahrens S ist ein eMD c erhalten, dessen öffentlicher Schlüssel M die Signatur (s, c) aufweist, siehe Gleichung (22): sig(M) = (s, c) (22)
Gemäß Fig.5 und Fig.6 generiert der Teilnehmer TI den eMD c unter Verwendung eines öffentlichen Schlüssels M anstelle der Seriennummer m. Diese Seriennummer m ist dem Signatur-Herausgeber H geheim. Dies ermöglicht es, den geldwerten Be trag der eMD c zu teilen und Teilbeträge u oder zweite Teilbeträge e zwischen Teil nehmern TI, T2, T3 zu übertragen, ohne dass die blinde Signatur ungültig wird. Dies vereinfacht den Verwaltungsaufwand beim Signatur-Herausgeber H und ermöglicht ein Bezahlsystem mit eMD c bei dem auch Wechselgeld gezahlt werden kann oder bei dem unrunde Beträge übertragen werden können oder dessen geldwertere Betrag an verschiedene Instanzen gesendet werden kann. In Fig.6 sind nun drei Szenarien dargestellt, mit denen ein mit dem in Fig.6 erhaltenen Signierverfahren S teilbarer eMD übertragbar ist, wobei dennoch die blinde Signatur gültig bleibt. Mit den Prüfverfahren PR1, PR2, PR3 können nun unrunde Beträge sehr genau über tragen werden oder entsprechendes Rückgeld (Wechselgeld) generiert werden. Bei spielsweise könnte der maximale geldwerte Betrag einer eMD c im Prüfverfahren PR1 von einem ersten Teilnehmer TI an einen zweiten Teilnehmer T2 gesendet werden. Im Prüfverfahren PR2 wird dann vom zweiten Teilnehmer T2 ein Teilbetrag u als Wechselgeld an den ersten Teilnehmer TI zurückübertragen. Der erste Teil nehmer TI kann nun den Teilbetrag u weiter aufteilen und den zweiten Teilbetrag e an den dritten Teilnehmer T3 im Prüfverfahren PR3 übertragen: Im Prüfverfahren PR1 der Fig.6 ist zunächst dargestellt, dass der gesamte geldwerte Betrag eines eMD geprüft und ggf. bei einem zweiten Teilnehmer T2, T3 eingelöst werden soll.
Im Prüfverfahren PR1 der Fig.6 kann jede Instanz (PI, T2, T3), die in Kenntnis der o.g. Kurvenparameter und des Verifizier-Schlüssels D (öffentlicher Schlüssel des Herausgebers H) ist, die blinde Signatur des eMD c prüfen, was beispielsweise mit tels der Prüfinstanz PI, die nicht zwangsläufig der Herausgeber H ist, erfolgt.
Dazu wird im Schritt 111 der unsignierte unverblendete eMD c, der signierte unver- blendete eMD s und die teilnehmergenerierte Seriennummer m vom Teilnehmer TI an die Prüfinstanz PI übertragen. Dort wird im Schritt 112 die blinde Signatur verifi ziert. Mit Gleichung (23) wird zunächst der teilnehmergenerierte öffentliche Schlüs sel M errechnet.
M = m- G (23)
Gemäß den Gleichungen (7) bis (9) wird dann die eMD c errechnet und mit Glei chungen (24) wird dann geprüft, ob die errechnet eMD der erhaltenen eMD c ent spricht: c, s == b.sig(M); c == H(M \ \AX ) (24)
Stimmt die errechnete eMD c mit der erhaltenen eMD c überein, so ist die blinde Signatur gültig und die eMD c kann von der Prüfinstanz PI, oder auch den anderen Teilnehmern T2, T3, für weitere Bezahlvorgänge verwendet werden.
Wenn der in Gleichung (24) erhaltene eMD c dem in Schritt 111 gesendeten eMD c entspricht, so gilt die blinde Signatur als bestätigt und der eMD als echt. Im Prüfverfahren PR2 der Fig.6 ist nun zunächst mit Schritt 115 das Ableiten eines Teilbetrags u vom geldwerten Gesamtbetrag gezeigt. Dazu generiert der Teilnehmer TI (oder ein anderer Teilnehmer, der im Besitz der eMD c ist) ein Geheimnis p und einen weiteren öffentlichen Schlüssel P unter Verwendung des teilnehmergenerierten Geheimnisses p. Das Geheimnis p ist von der Seriennummer m verschieden. Der weitere teilnehmergenerierte Schlüssel P ist vom teilnehmergenerierten öffentlichen Schlüssel M verschieden. Beispielsweise kann der teilnehmergenerierte öffentliche Schlüssel P durch Multiplikation mit dem Basispunkt G erhalten werden, siehe Glei- chung (25):
P = p G (25)
Für das Ableiten 115 wird mit Gleichung (26) zudem eine echte Signatur om erstellt:
Om = Sigm (P || V) (26)
Dabei ist u der abzuleitende Teilbetrag, der kleiner ist als der geldwerte Gesamtbe trag der eMD c. Die echte Signatur shi ist hier eine logische ODER Verknüpfung aus dem öffentlichen Schlüssel P und dem Teilbetrag u. Andere logische Verknüpfungen oder mathematische Operationen sind für das Erstellen der echten Signatur shi eben falls denkbar. Im Schritt 111‘ werden nun folgende Variablen zwischen zwei Teil nehmern TI, T2, T3 ausgetauscht:
• der eMD c
• der teilnehmergenerierte öffentliche Schlüssel M
· der signierte unverblendete eMD s
• die echte Signatur shi
• der Teilbetrag u
• das teilnehmergenerierte Geheimnis p Im Schritt 112‘ kann nun die Echtheit der blinden Signatur und die Echtheit der ech ten Signatur shi überprüft werden, wodurch der Teilbetrag u als - zwischen den Teil nehmern TI, T2, T3 -übertragen gilt. Dazu wird zunächst mittels des teilnehmerge nerierten Geheimnisses p und dem vereinbarten Basispunkt G der weitere öffentliche Schlüssel P errechnet, siehe Gleichung (25). Zudem wird die blinde Signatur gemäß den Gleichungen (7) bis (9) und (24) geprüft. Zudem wird die echte Signatur shi aus dem errechneten weiteren teilnehmergenerierten öffentlichen Schlüssel P und dem erhaltenen Teilbetrag u errechnet und bei Übereinstimmung der Gleichung (27)
Om = = Sigm (P || Ό) (27) gilt der Teilbetrag u als verifiziert und ist durch das Übertragen des Geheimnisses p auch übertragen. Es gilt zu beachten, dass die Prüfinstanz PI, T2, T3 nicht im Besitz der teilnehmergenerierten Seriennummer m ist und somit zwar die blinde Signatur verifizieren kann (durch den Schlüssel M) aber nicht in den Besitz des geldwerten Gesamtbetrags gelangt. Im Prüfverfahren PR3 der Fig.6 ist nun zunächst mit Schritt 116 das Ableiten eines zweiten Teilbetrags e vom Teilbetrag u gezeigt. Dazu generiert der Teilnehmer TI (oder ein anderer Teilnehmer, der im Besitz der eMD c ist) ein zweites Geheimnis q und einen zweiten weiteren öffentlichen Schlüssel Q unter Verwendung des teilneh mergenerierten Geheimnisses q. Das zweite Geheimnis q ist von der Seriennummer m und vom Geheimnis p verschieden. Der zweite weitere teilnehmergenerierte Schlüssel Q ist vom teilnehmergenerierten öffentlichen Schlüssel M und dem weite ren teilnehmergenerierten Schlüssel P verschieden. Beispielsweise kann der zweite weitere teilnehmergenerierte öffentliche Schlüssel Q durch Multiplikation mit dem Basispunkt G erhalten werden, siehe Gleichung (28):
Q = q G (28)
Für das Ableiten 116 wird mit Gleichung (28) zudem eine zweite echte Signatur sr erstellt:
<P = sigP (Q \\ e) (29)
Dabei ist e der abzuleitende zweite Teilbetrag, der kleiner ist als der geldwerte Ge samtbetrag und der auch kleiner ist als der Teilbetrag u der eMD c. Die echte Signa tur sr ist hier eine logische ODER Verknüpfung aus dem öffentlichen Schlüssel Q und dem Teilbetrag e. Andere logische Verknüpfungen oder mathematische Operati- onen sind für das Erstellen der echten Signatur sr ebenfalls denkbar. Im Schritt 111“ werden nun folgende Variablen zwischen zwei Teilnehmern TI, T2, T3 ausge tauscht:
• der eMD c
· der teilnehmergenerierte öffentliche Schlüssel M • der signierte unverblendete eMD s
• die echte Signatur shi
• der Teilbetrag u
• der weitere teilnehmergenerierte öffentliche Schlüssel P
• die zweite echte Signatur sr
• der zweite Teilbetrag e
• das zweite teilnehmergenerierte Geheimnis q
Im Schritt 112“ kann nun die Echtheit der blinden Signatur, die Echtheit der echten Signatur shi und auch die Echtheit der zweiten echten Signatur sr überprüft werden, wodurch der zweite Teilbetrag e als - zwischen den Teilnehmern TI, T2, T3 - übertragen gilt. Dazu wird zunächst mittels des zweiten teilnehmergenerierten Ge heimnisses q und dem vereinbarten Basispunkt G der zweite weitere teilnehmergene rierte öffentliche Schlüssel Q errechnet, siehe Gleichung (28). Zudem wird die blin- de Signatur gemäß den Gleichungen (7) bis (9) und (24) geprüft. Zudem wird die zweite echte Signatur sr aus dem errechneten zweiten weiteren teilnehmergenerier ten öffentlichen Schlüssel Q und dem erhaltenen zweiten Teilbetrag e errechnet und bei Übereinstimmung der Gleichung (30) sR == sigP (Q \\ e) (30) gilt der Teilbetrag e als verifiziert und ist durch das Übertragen des zweiten Geheim nis q auch übertragen. Es gilt zu beachten, dass die Prüfinstanz PI, T2, T3 nicht im Besitz der teilnehmergenerierten Seriennummer m oder des teilnehmergenerierten Geheimnisses p ist. Somit kann zwar die blinde Signatur und die echte Signatur shi verifiziert werden (durch die teilnehmergenerierten öffentlichen Schlüssel M und P), aber die Prüfinstanz PI, T2, T3 gelangt nicht in den Besitz des geldwerten Gesamtbe trags oder des (ersten) Teilbetrags u.
Mit den Prüfverfahren PR1, PR2 und PR3 wurde demonstriert, dass zwischen belie- bigen Teilnehmern nunmehr beliebige geldwerte (Teil-)Beträge u, e übertragen wer den können, wobei zu jedem Zeitpunkt die Echtheit der blinden Signatur und die mit den jeweiligen Teilbeträgen u, e verbundenen echten Signaturen shi und sr geprüft werden können. Durch geeignete Wahl der zu übertragenden Variablen erhält die empfangende Instanz PI, T2, T3 dann die vollen Zugriffsrechte auf die jeweiligen Teilbeträge, wodurch der eMD als übertragen gilt. In Fig.7 ist ein weiteres Ausführungsbeispiel eines Verfahrensablaufs zum Erzeugen und Überprüfen einer blinden Signatur für einen eMD mit ganzem geldwerten Be trag und davon abgeteilten geldwerten Teilbeträgen gemäß der Erfindung dargestellt. Dabei wurden die Verfahrensabläufe der Fig. 4 und Fig.6 miteinander kombiniert. Damit wird neben dem erfindungsgemäßen Verwenden einer Herausgeberinformati on u, w nun auch das erfindungsgemäße Teilen von geldwerten Beträgen ermöglicht.
In Fig.7 ist ein Ausführungsbeispiel eines Verfahrensablaufs zum Erhalten S einer blinden Signatur und auch zum Überprüfen PR einer blinden Signatur für einen eMD gemäß der Erfindung gezeigt. Das Überprüfen- Verfahren PR weist dabei drei unter schiedliche Szenarien PR1, PR2, PR3 auf.
Das Verfahren zum Erhalten einer blinden Signatur gemäß Fig.7 ist an das Erstellen einer blinden Signatur mit entsprechender Überprüfung durch eine Prüfinstanz PI gemäß der Fig.2 angelehnt und spiegelt einen Verfahrensablauf in einem ECDSA Verfahren wieder. Zu beachten ist, dass das Prüfen PR1, PR2, PR3 mit den Schritten 111, 111‘, 111“ und 112, 112% 112“ auch von einem anderen Teilnehmer T2, T3 vorgenommen werden kann, beispielsweise um den geldwerten Betrag oder Teilbe trag zu verifizieren. Zu beachten ist weiter, dass das Prüfen PR1, PR2, PR3 mit den Schritten 111, 111 % 111“ und 112, 112% 112“ auch zwischen zwei Teilnehmern T2, T3 stattfinden kann, die nicht die Seriennummer m des eMD c generiert haben, bei spielsweise um einen geldwerten Gesamtbetrag oder einen davon abgeleiteten Teil betrag u oder einen davon abgeleiteten zweiten Teilbetrag e zu verifizieren und über tragen zu bekommen. Nachfolgend wird die Prüfinstanz PI einem anderen Teilneh- mer T2, T3 gleichgesetzt.
Die Verwendung des ECDSA ist dabei lediglich beispielhaft und jegliches Verfahren zum Erzeugen/Erhalten einer blinden Signatur, beispielsweise DAS- oder RSA- basiert, kann mit dem erfindungsgemäßen Grundgedanken, nämlich dem Ableiten von geldwerten Teilbeträgen unter Verwendung von Herausgeberinformationen u, w des Signatur-Herausgebers H erfolgen. Auf die Wiederholung der Schritte 101 bis 105 der Fig.2 wird verzichtet, obwohl Sie bei Verwendung eines ECDSA Verfahrens Bestandteil des erfindungsgemäßen Verfahrens sind. Die Verfahrens schritte 101 bis 105 der Fig.7 gleichen den Verfahrensschritten 101 bis 105 der Fig.2 und für weitere Erläuterungen wird auf diese Fig.2 verwiesen. Im Schritt 114 wird das mit Gleichung (18) beschriebene Erzeugen eines öffentli chen Schlüssels M im Teilnehmer TI beschrieben.
Im Schritt 106 errechnet der erste Teilnehmer TI einen Punkt der Kurve mit der Gleichung (1) Der Punkt A wird durch eine x-Koordinate Ax und eine y-Koordinate Ay repräsentiert. Die x-Koordinate Ax wird mit dem öffentlichen Schlüssel M als Eingangsparameter der Hashfunktion H() in Gleichung (19) verwendet, um einen unsignierten unverblendeten eMD c zu erhalten. Der unsignierte unverblendete eMD c wird mit Gleichung (20) in einen unsignierte verblendeten eMD c‘(M) umgesetzt.
Im Schritt 107 wird der mit Gleichung (20) erhaltene unsignierte verblendete eMD c‘(M) an den Herausgeber H gesendet. Dort wird im Schritt 113 ein Herausgeber wert w generiert. Der Herausgeberwert w ist beispielsweise ein Zeitstempel oder ein Zufallswert. Dieser Herausgeberwert w wird mittels einer Streu wertfunktion H() in eine Herausgeberinformation u umgesetzt. Diese Streu wertfunktion H() ist bevorzugt die Streuwertfunktion, die im Schritt 101 vereinbart wurde. Dies vereinfacht das Verfahren bezüglich Kompatibilität und Vereinbarung von zu verwendenden kryp- tografischen Funktionen. Der unsignierte verblendete eMD c‘ wird dann gemäß Gleichung (11) mit dieser Herausgeberinformation u im Schritt 113 erweitert.
Im Schritt 108 wird mittels Gleichung (31) der erweiterte signierte verblendeten eMD s“ erhalten: s“ = r - (c‘(M) + u)-d (31)
Im Schritt 109 wird der erweiterte signierte verblendete eMD s“ zusammen mit dem Herausgeberwert w an den ersten Teilnehmer TI übertragen. Im Schritte 110 wird der signierte verblendete eMD s“ mittels Gleichung (13) unverblendet.
Im Ergebnis des Signierverfahrens S ist ein eMD c erhalten, dessen öffentlicher Schlüssel M die Signatur (s, c, w) aufweist, siehe Gleichung (32): sig(M) = (s, c, w) (32)
Gemäß Fig.7 generiert der Teilnehmer TI den eMD c unter Verwendung eines öf fentlichen Schlüssels M anstelle der Seriennummer m. Diese Seriennummer m ist dem Signatur-Herausgeber H geheim. Zudem generiert der Signatur-Herausgeber H die Herausgeberinformation u, w und fügt diese als festen Bestandteil der blinden Signatur bei.
Dies ermöglicht es, den geldwerten Betrag der eMD c zu teilen und Teilbeträge u oder zweite Teilbeträge e zwischen Teilnehmern TI, T2, T3 zu übertragen, ohne dass die blinde Signatur ungültig wird. Dabei ist es jeder Prüfinstanz PI ermöglicht, auch die Herausgeberinformation u, w zu überprüfen. Speziell bei mehrfach geteilten eMD und den entsprechend mehrfach abgeleiteten geldwerten Teilbeträgen u, e wird die Vertrauenswürdigkeit und Sicherheit erheblich verbessert.
Die Möglichkeit, einen eMD c zu teilen, vereinfacht den Verwaltungsaufwand beim Signatur-Herausgeber H und ermöglicht ein Bezahlsystem mit eMD c bei denen Wechselgeld gezahlt werden kann oder bei dem unrunde geldwerte Beträge elektro nisch übertragen werden können. In Fig.7 sind nun drei Szenarien dargesteht, mit denen ein mit dem in Fig.7 gezeigten Signierverfahren S erhaltener teilbar eMD übertragen wird und dennoch die blinde Signatur gültig bleibt.
Mit den Prüfverfahren PR1, PR2, PR3 können nun unrunde Beträge sehr genau über tragen werden oder entsprechendes Rückgeld (Wechselgeld) generiert werden. Bei- spielsweise könnte der maximale geldwerte Betrag einer eMD c im Prüfverfahren PR1 von einem ersten Teilnehmer TI an einen zweiten Teilnehmer T2 gesendet werden. Im Prüfverfahren PR2 wird dann vom zweiten Teilnehmer T2 ein Teilbetrag u als Wechselgeld an den ersten Teilnehmer TI zurückübertragen. Der erste Teil nehmer TI kann nun den Teilbetrag u weiter aufteilen und den zweiten Teilbetrag e an den dritten Teilnehmer T3 im Prüfverfahren PR3 übertragen:
Im Prüfverfahren PR1 der Fig.7 ist zunächst dargesteht, dass der gesamte geldwerte Betrag einer eMD c geprüft und ggf. bei einem zweiten Teilnehmer T2, T3 eingelöst werden soll.
Im Prüfverfahren PR1 der Fig.7 kann jeder, der in Kenntnis der o.g. Kurvenparame ter und des Verifizier-Schlüssels D (öffentlicher Schlüssel des Herausgebers H) ist, die blinde Signatur des eMD c prüfen, was beispielsweise mittels einer Prüfinstanz PI, die nicht zwangsläufig der Herausgeber H ist, erfolgt.
Dazu wird im Schritt 111 der unsignierte unverblendete eMD c, der signierte unver blendete eMD s, die teilnehmergenerierte Seriennummer m und die Herausgeberin formation w vom Teilnehmer TI and die Prüfinstanz PI übertragen. Im Prüfverfah- ren PR1 der Fig.7 erfolgt sodann ein Überprüfen, ob der öffentliche Schlüssel M verändert wurde und ob w verändert wurde, was nachfolgend beschrieben ist.
Im Schritt 112 wird die blinde Signatur verifiziert. Mit Gleichung (23) wird zunächst der teilnehmergenerierte öffentliche Schlüssel M errechnet. Mit Gleichung (15) wird die Herausgeberinformation u erhalten und mit Gleichung (33)
A=s G + (c‘(M)+u) D (33) wird geprüft, ob die Bedingung der Gleichungen (24) erfüllt ist. Stimmt die errech- nete eMD c mit der erhaltenen eMD c überein, so ist die blinde Signatur gültig und die eMD c kann von der Prüfinstanz PI, oder beispielsweise auch den anderen Teil nehmern T2, T3 für weitere Bezahlvorgänge verwendet werden.
Im Prüfverfahren PR2 der Fig.7 ist nun zunächst mit Schritt 115 das Ableiten eines Teilbetrags u vom geldwerten Gesamtbetrag gezeigt. Dazu generiert der Teilnehmer TI (oder ein anderer Teilnehmer T2, T3, der im Besitz der eMD c ist) ein Geheimnis p und einen weiteren öffentlichen Schlüssel P unter Verwendung des teilnehmerge nerierten Geheimnisses p. Das Geheimnis p ist von der Seriennummer m verschie den. Der weitere teilnehmergenerierte Schlüssel P ist vom teilnehmergenerierten öffentlichen Schlüssel M verschieden. Beispielsweise kann der weitere teilnehmer generierte öffentliche Schlüssel P durch Multiplikation mit dem Basispunkt G erhal ten werden, siehe Gleichung (25). Für das Ableiten 115 wird mit Gleichung (26) zudem eine echte Signatur shi erstellt. Dabei ist u der abzuleitende Teilbetrag, der kleiner ist als der geldwerte Gesamtbe trag der eMD c. Die echte Signatur shi ist hier eine logische ODER Verknüpfung aus dem öffentlichen Schlüssel P und dem Teilbetrag u. Andere logische Verknüpfungen oder mathematische Operationen für das Erstellen der echten Signatur shi sind eben falls denkbar. Im Schritt 111‘ werden nun folgende Variablen zwischen zwei Teil- nehmern TI, T2, T3 ausgetauscht:
• der eMD c
• der teilnehmergenerierte öffentliche Schlüssel M
• der signierte unverblendete eMD s
· die echte Signatur shi
• der Teilbetrag u
• das teilnehmergenerierte Geheimnis p • die Herausgeberinformation w
Im Schritt 112‘ kann nun die Echtheit der blinden Signatur und die Echtheit der ech ten Signatur shi überprüft werden, wodurch der Teilbetrag u als - zwischen den Teil- nehmern PI, TI, T2, T3 -übertragen gilt. Dazu wird zunächst mittels des teilnehmer generierten Geheimnisses p und dem vereinbarten Basispunkt G der weitere öffentli che Schlüssel P errechnet, siehe Gleichung (25). Zudem wird die blinde Signatur gemäß den Gleichungen (15), (33) und (24) geprüft. Zudem wird die echte Signatur Gm aus dem errechneten weiteren teilnehmergenerierten öffentlichen Schlüssel P und dem erhaltenen Teilbetrag u errechnet und bei Übereinstimmung der Gleichung (26), gilt der Teilbetrag u als verifiziert und ist durch das Geheimnis p übertragen. Es gilt zu beachten, dass die Prüfinstanz PI, T2, T3 nicht im Besitz der teilnehmergenerier ten Seriennummer m ist und somit zwar die blinde Signatur verifizieren kann (durch den Schlüssel M) aber nicht in den Besitz des geldwerten Gesamtbetrags der eMD c gelangt. Beim Überprüfen im Verfahren PR2 der Fig.7 erfolgt also ein Überprüfen, ob der öffentliche Schlüssel M verändert wurde, ob w verändert wurde und ob die echte Signatur Gm verändert wurde.
Im Prüfverfahren PR3 der Fig.7 ist nun zunächst mit Schritt 116 das Ableiten eines zweiten Teilbetrags e vom Teilbetrag u gezeigt. Dazu generiert der Teilnehmer TI (oder ein anderer Teilnehmer, der im Besitz der eMD c ist) ein zweites Geheimnis q und einen zweiten weiteren öffentlichen Schlüssel Q unter Verwendung des zweiten teilnehmergenerierten Geheimnisses q. Das zweite Geheimnis q ist von der Serien nummer m und vom Geheimnis p verschieden. Der zweite weitere teilnehmergene- rierte Schlüssel Q ist vom teilnehmergenerierten öffentlichen Schlüssel M und dem weiteren teilnehmergenerierten Schlüssel P verschieden. Beispielsweise kann der zweite weitere teilnehmergenerierte öffentliche Schlüssel Q durch Multiplikation mit dem Basispunkt G erhalten werden, siehe Gleichung (28). Für das Ableiten 116 wird mit Gleichung (29) zudem eine zweite echte Signatur sr erstellt.
Dabei ist e der abzuleitende zweite Teilbetrag, der kleiner ist als der geldwerte Ge samtbetrag und der auch kleiner ist als der Teilbetrag u der eMD c. Die echte Signa tur sr ist hier eine logische ODER Verknüpfung aus dem öffentlichen Schlüssel Q und dem Teilbetrag e. Andere logische Verknüpfungen oder mathematische Operati- onen sind für das Erstellen der echten Signatur sr ebenfalls denkbar. Im Schritt 111“ werden nun folgende Variablen zwischen zwei Teilnehmern TI, T2, T3 ausge tauscht: der eMD c
der teilnehmergenerierte öffentliche Schlüssel M
der signierte unverblendete eMD s
die echte Signatur shi
der Teilbetrag u
der weitere teilnehmergenerierte öffentliche Schlüssel P
die zweite echte Signatur sr
der zweite Teilbetrag e
das zweite teilnehmergenerierte Geheimnis q
die Herausgeberinformation w
Im Schritt 112“ kann nun die Echtheit der blinden Signatur, die Echtheit der echten Signatur shi und auch die Echtheit der zweiten echten Signatur sr überprüft werden, wodurch der zweite Teilbetrag e als - zwischen den Teilnehmern TI, T2, T3 - übertragen gilt. Dazu wird zunächst mittels des zweiten teilnehmergenerierten Ge heimnisses q und dem vereinbarten Basispunkt G der zweite weitere öffentliche Schlüssel Q errechnet, siehe Gleichung (28). Zudem wird die blinde Signatur gemäß den Gleichungen (15), (33) und (24) geprüft. Zudem wird die zweite echte Signatur sr aus dem errechneten zweiten weiteren teilnehmergenerierten öffentlichen Schlüs sel Q und dem erhaltenen zweiten Teilbetrag e errechnet und bei Übereinstimmung der Gleichung (30) gilt der Teilbetrag e als verifiziert und ist durch das Übertragen des zweiten Geheimnisses q auch übertragen. Es gilt zu beachten, dass die Prüfinstanz PI, T2, T3 nicht im Besitz der teilnehmergenerierten Seriennummer m oder dem teilnehmergenerierten Geheimnis p ist. Somit kann zwar die blinde Signa tur und die echte Signatur shi verifiziert werden (durch die teilnehmergenerierten öffentlichen Schlüssel M und P), die Prüfinstanz gelangt dabei aber nicht in den Be sitz des geldwerten Gesamtbetrags oder des (ersten) Teilbetrags u.
Mit den Prüfverfahren PR1, PR2 und PR3 wurde demonstriert, dass zwischen belie bigen Teilnehmern nunmehr beliebige geldwerte Beträge u, e übertragen werden können, wobei zu jedem Zeitpunkt die Echtheit der blinden Signatur und der mit den jeweiligen Teilbeträgen u, e verbundenen echten Signaturen shi und sr geprüft wer den können. Durch geeignete Wahl der zu übertragenden Variablen erhält die emp fangende Instanz dann die vollen Zugriffsrechte auf die jeweiligen Teilbeträge, wodurch der eMD als übertragen gilt. Durch das Einbinden von teilnehmerunabhän giger Herausgeberinformation u, w beim Prüfverfahren PR1, PR2, PR3 wird festge stellt, ob die öffentlichen Schlüssel M, P, Q von einer Instanz manipuliert wurden und somit ein Betrugsversuch erkannt. Die Herausgeberinformation u, w ist dabei nicht geheim und kann von jeder Instanz unabhängig vom eMD c geprüft werden.
Im Rahmen der Erfindung können alle beschriebenen und/oder gezeichneten und/oder beanspruchten Elemente beliebig miteinander kombiniert werden.
BEZUGSZEICHENLISTE
1-10 Verfahrensschritte für klassische blinde Signatur
100- 116 Verfahrensschritte
Ml erstes Endgerät
M2 zweites Endgerät
M3 drittes Endgerät
TI erster Teilnehmer
T2 zweiter Teilnehmer
T3 weiterer Teilnehmer
H Herausgeber
PI Prüfinstanz
m teilnehmergenerierte Seriennummer des eMD
M teilnehmergenerierter öffentlicher Schlüssel aus m und G
p teilnehmergeneriertes Geheimnis
P teilnehmergenerierter weiterer öffentlicher Schlüssel aus p und G q zweites teilnehmergenerierte Geheimnis
Q zweiter teilnehmergenerierter weiterer öffentlicher Schlüssel aus q und G g, d teilnehmergenerierte Zufallszahlen (ganzzahlig)
f, a, b, G, n, h vereinbarte Kurvenparameter
H() kryptografische Streu wertfunktion
R herausgebergewählter Punkt
A teilnehmerberechneter Punkt
d geheimer Schlüssel des Herausgebers
D Verifizier-Schlüssel (öffentlicher Schlüssel des Herausgebers)
G Erzeugerpunkt (Generatorpunkt, Basispunkt) der elliptischen Kurve
S Signierverfahren
PR Überprüfungsverfahren
r herausgebergenerierte Zufallszahl
w Herausgeberinformation,
c elektronischer Münzdatensatz, eMD
c‘ unsignierter verblendeter eMD
c‘+u erweiterter unsignierter verblendeter eMD
s signierter unverblendeter eMD
s‘ signierter verblendeter eMD
s‘‘ erweiterter signierter verblendeter eMD
u geldwerter Teilbetrag
e zweiter geldwerter Teilbetrag
om Signatur über den Teilbetrag u und den öffentlichen Schlüssel P sr Signatur über den Teilbetrag e und den öffentlichen Schlüssel Q

Claims

PATENTANSPRÜCHE
1. Ein Verfahren (100) zum Erzeugen einer blinden Signatur für einen elektro nischen Münzdatensatz, eMD (c), mit den Verfahrensschritten:
- Erhalten (107) eines unsignierten verblendeten eMD (c‘) von einem Teil nehmer (TI) bei einem Signatur-Herausgeber (H);
- Erweitern (113) des unsignierten verblendeten eMD (c‘) mit einer Herausge berinformation (u, w) durch den Signatur-Herausgeber (H) zum Erhalten ei nes erweiterten unsignierten eMD (c‘+u; c‘+w);
- Signieren (108) des erweiterten unsignierten eMD (c‘+u; c‘+w) unter Ver wendung einer herausgebergenerierten Zufallszahl (r) und eines geheimen Schlüssels (d) des Signatur-Herausgebers (H) zum Erhalten eines erweiterten signierten verblendeten eMD (s‘‘); und
- Senden (109) des erweiterten signierten verblendeten eMD (s“) und der Her ausgeberinformation (u, w) an den Teilnehmer (TI), wobei die gesendete Herausgeberinformation (u, w) ein Teil der blinden Signatur ist.
2. Das Verfahren (100) nach Anspruch 1, wobei die Herausgeberinformation (u, w) unabhängig von der signierten verblendeten eMD (s“) als eigenständige Informa- tion bereitgestellt wird.
3. Das Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei die zum Erweitern (113) der unsignierten verblendeten eMD (c‘) verwendete Herausge berinformation (u) das Ergebnis einer Streuwertfunktion (H()) mit einem Herausge- berwert (w) ist, wobei der Herausgeberwert (w) als die Herausgeberinformation (u,w) gesendet wird und der Teil der blinden Signatur ist.
4. Das Verfahren (100) nach 3, wobei der Herausgeberwert (w) mindestens eine der folgenden Werte ist:
- ein Zeitwert;
- eine Identifikation des Herausgebers; und/oder
- ein herausgebergenerierter Wert.
5. Das Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei der eMD (c) das Ergebnis (106) einer Streu wertfunktion (H()) aus einer teilnehmergene rierten Seriennummer (m) und einem teilnehmerberechneten Punkt (A) einer ellipti schen Kurve ist.
6. Das Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei der eMD (c) das Ergebnis einer Streu wertfunktion (H()) aus einem teilnehmergenerier ten öffentlichen Schlüssel (M) und einem teilnehmerberechneten Punkt (A) einer elliptischen Kurve ist, wobei der teilnehmergenerierte öffentliche Schlüssel (M) von der teilnehmergenerierten Seriennummer (m) abgeleitet ist.
7. Ein Verfahren zum Überprüfen einer blinden Signatur eines elektronischen Münzdatensatzes, eMD (c), wobei die blinde Signatur gemäß dem Verfahren (100) der vorhergehenden Ansprüche 1 bis 6 erzeugt wurde, mit den Verfahrensschritten:
- Erhalten (111) von:
o dem eMD (c),
o einer zum Erzeugen des eMD (c) verwendeten Seriennummer (m), o einem signierten unverblendeten eMD (s), und
o der Herausgeberinformation (u, w);
- Berechnen (112) eines eMD unter Verwendung der erhaltenen Seriennummer
(m), dem signierten unverblendeten eMD (s), der Herausgeberinformation (w) und einem öffentlichen Schlüssel (D) des Signatur-Herausgebers (H); und
- Vergleichen des berechneten eMD mit dem erhaltenen eMD (c) und Verifi- zieren der Echtheit der blinden Signatur, wenn der berechnete eMD mit dem erhaltenen eMD (c) übereinstimmt.
8. Das Verfahren nach Anspruch 7, wobei der erhaltene eMD (c) das Ergebnis einer Streu wertfunktion (H()) aus einer Verknüpfung (M) einer teilnehmergenerier- ten Seriennummer (m) mit einem Basispunkt (G) und einem teilnehmerberechneten Punkt (A) einer elliptischen Kurve ist und wobei vor dem Berechnen der eMD (c) ein teilnehmergenerierter öffentlicher Schlüssel (M) von der teilnehmergenerierten Seriennummer (m) abgeleitet wird.
9. Ein Verfahren zum Überprüfen einer blinden Signatur eines elektronischen Münzdatensatzes, eMD (c), wobei die blinde Signatur nach einem Verfahren der Ansprüche 1 bis 6 erzeugt wurde, mit den Verfahrensschritten:
- Erhalten (111) von:
o dem eMD (c);
o einem zum Erzeugen des eMD (c) verwendeten teilnehmergenerierten öffentlichen Schlüssel (M);
o einem signierten unverblendeten eMD (s);
o einem geldwerten Teilbetrag der eMD (n); o einer Signatur (om) über eine Verknüpfung aus dem geldwerten Teil betrag (u) und einem weiteren teilnehmergenerierten öffentlichen Schlüssel (P);
o dem teilnehmergenerierten Geheimnis (p); und
o der Herausgeberinformation (w);
Berechnen des weiteren öffentlichen Schlüssels (P) aus dem erhaltenen teil nehmergenerierten Geheimnis (p);
Berechnen einer Signatur (shi) über die Verknüpfung aus dem geldwerten Teilbetrag (u) und dem berechneten weiteren öffentlichen Schlüssel (P); Vergleichen der berechneten Signatur (shi) mit der erhaltenen Signatur (shi) und Verifizieren der Echtheit des geldwerten Teilbetrags (n);
Berechnen eines eMD unter Verwendung des teilnehmergenerierten öffentli chen Schlüssels (M), der signierten unverblendeten eMD (s), der Herausge berinformation (w) und einem öffentlichen Schlüssel (D) des Signatur- Herausgebers (H);
Vergleichen des berechneten eMD mit dem erhaltenen eMD (c) und Verifi zieren der Echtheit der blinden Signatur, wenn der berechnete eMD mit dem erhaltenen eMD (c) übereinstimmt.
10. Das Verfahren nach einem der Ansprüche 7 bis 9, wobei das Überprüfen durch den Signatur-Herausgeber (H) oder einer, von dem Signatur-Herausgeber (H) verschiedenen, Prüfinstanz (PI) erfolgt.
11. Das Verfahren nach einem der Ansprüche 7 bis 10, wobei beim Überprüfen auch die Herausgeberinformation (u, w) verifiziert wird.
12. Das Verfahren nach einem der Ansprüche 7 bis 11, wobei die blinde Signatur mit einem Elliptische Kurven Signieralgorithmus, ECDSA, erzeugt wird und zum Prüfen der blinden Signatur vereinbarte Kurvenparameter (f, p, a, b, G, n, h, H()) der elliptischen Kurve bereitgestellt werden.
13. Ein Bezahlsystem zum Übertragen eines elektronischen Münzdatensatzes, eMD (c) zwischen zumindest zwei Teilnehmern (TI, T2, T3), wobei das Bezahlsys tem umfasst:
- einen ersten Teilnehmer (TI) zum Erzeugen eines unsignierten verblendeten eMD (c‘);
- einen Signaturherausgeber (H) zum Erzeugen einer blinden Signatur gemäß dem Verfahren (100) eines der vorhergehenden Ansprüche 1 bis 6; - und einem zweiten Teilnehmer (T2) zum Erhalten des erzeugten eMD (c), ei nes signierten unverblendeten eMD (s) und einer zum Erzeugen des eMD (c) verwendeten Seriennummer (m).
14. Das Bezahlsystem nach Anspruch 13, wobei der zweite Teilnehmer (T2) den erhaltenen erzeugten eMD (c), den signierten unverblendeten eMD (s) und die zum Erzeugen des eMD (c) verwendeten Seriennummer (m) mittels des Verfahrens der Ansprüche 7 bis 12 überprüft.
15. Das Bezahlsystem nach Anspruch 13 oder 14, wobei der erste Teilnehmer
(TI) zum Erzeugen (106) des eMD (c) das Ergebnis einer Streuwertfunktion (H()) aus einer Verknüpfung eines teilnehmergenerierten öffentlichen Schlüssels (M) mit einem teilnehmerberechneten Punkt (A) ist, wobei der teilnehmergenerierte öffentli che Schlüssel (M) von der teilnehmergenerierten Seriennummer (m) abgeleitet ist.
PCT/EP2019/025438 2018-12-18 2019-12-09 Verfahren zum erzeugen einer blinden signatur WO2020126078A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP19824235.6A EP3899844A1 (de) 2018-12-18 2019-12-09 Verfahren zum erzeugen einer blinden signatur

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102018009943.2A DE102018009943A1 (de) 2018-12-18 2018-12-18 Verfahren zum Erzeugen einer blinden Signatur
DE102018009943.2 2018-12-18

Publications (1)

Publication Number Publication Date
WO2020126078A1 true WO2020126078A1 (de) 2020-06-25

Family

ID=68987652

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2019/025438 WO2020126078A1 (de) 2018-12-18 2019-12-09 Verfahren zum erzeugen einer blinden signatur

Country Status (3)

Country Link
EP (1) EP3899844A1 (de)
DE (1) DE102018009943A1 (de)
WO (1) WO2020126078A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220284129A1 (en) * 2021-03-07 2022-09-08 Guardtime Sa Verifiable Splitting of Single-Instance Data Using Sharded Blockchain
US11651354B2 (en) * 2019-09-11 2023-05-16 Nxp B.V. Efficient partially spendable e-cash

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021000570A1 (de) 2021-02-04 2022-08-04 Giesecke+Devrient Advance52 Gmbh Verfahren zum bereitstellen eines nachweisdatensatzes; verfahren zum prüfen eines nachweisdatensatzes; ein münzregister; eine teilnehmereinheit und ein computerprogrammprodukt
DE102021000572A1 (de) 2021-02-04 2022-08-04 Giesecke+Devrient Advance52 Gmbh Verfahren zum erstellen einer münzdatensatz-zusammensetzung, teilnehmereinheit und bezahlsystem

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5901229A (en) * 1995-11-06 1999-05-04 Nippon Telegraph And Telephone Corp. Electronic cash implementing method using a trustee

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4977595A (en) * 1989-04-03 1990-12-11 Nippon Telegraph And Telephone Corporation Method and apparatus for implementing electronic cash
WO2006070682A1 (ja) * 2004-12-27 2006-07-06 Nec Corporation 制限付ブラインド署名システム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5901229A (en) * 1995-11-06 1999-05-04 Nippon Telegraph And Telephone Corp. Electronic cash implementing method using a trustee

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
KATZ J.: "Lecture Notes in Computer Science, Public-Key Cryptography -- PKC 2015", vol. 9020, 17 March 2015, SPRINGER, Berlin, Heidelberg, ISBN: 978-3-642-17318-9, article CANARD S., POINTCHEVAL D., SANDERS O., TRAORÉ J.: "Divisible E-Cash Made Practical", pages: 77 - 100, XP047310523, DOI: 10.1007/978-3-662-46447-2_4 *
YANG BO ET AL: "AEP-M: Practical Anonymous E-Payment for Mobile Devices Using ARM TrustZone and Divisible E-Cash", 26 August 2016, INTERNATIONAL CONFERENCE ON FINANCIAL CRYPTOGRAPHY AND DATA SECURITY; [LECTURE NOTES IN COMPUTER SCIENCE; LECT.NOTES COMPUTER], SPRINGER, BERLIN, HEIDELBERG, PAGE(S) 130 - 146, ISBN: 978-3-642-17318-9, XP047353310 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11651354B2 (en) * 2019-09-11 2023-05-16 Nxp B.V. Efficient partially spendable e-cash
US20220284129A1 (en) * 2021-03-07 2022-09-08 Guardtime Sa Verifiable Splitting of Single-Instance Data Using Sharded Blockchain

Also Published As

Publication number Publication date
EP3899844A1 (de) 2021-10-27
DE102018009943A1 (de) 2020-06-18

Similar Documents

Publication Publication Date Title
DE102017204536B3 (de) Ausstellen virtueller Dokumente in einer Blockchain
DE102012206341B4 (de) Gemeinsame Verschlüsselung von Daten
WO2020126078A1 (de) Verfahren zum erzeugen einer blinden signatur
DE112011100182B4 (de) Datensicherheitsvorrichtung, Rechenprogramm, Endgerät und System für Transaktionsprüfung
DE19804054B4 (de) System zur Verifizierung von Datenkarten
DE602005002652T2 (de) System und Verfahren für das Erneuern von Schlüsseln, welche in Public-Key Kryptographie genutzt werden
DE60104411T2 (de) Verfahren zur übertragung einer zahlungsinformation zwischen einem endgerät und einer dritten vorrichtung
DE60031304T3 (de) Verfahren zur authentifizierung von softwarebenutzern
DE19781841C2 (de) Verfahren zum automatischen Entscheiden der Gültigkeit eines digitalen Dokuments von einer entfernten Stelle aus
DE69838003T2 (de) Verfahren zum etablieren des vertrauenswürdigkeitgrades eines teilnehmers während einer kommunikationsverbindung
EP2962439B1 (de) Lesen eines attributs aus einem id-token
DE60209809T2 (de) Verfahren zur digitalen unterschrift
WO2020212337A1 (de) Verfahren zum direkten übertragen von elektronischen münzdatensätzen zwischen endgeräten sowie bezahlsystem
DE10143728A1 (de) Vorrichtung und Verfahren zum Berechnen eines Ergebnisses einer modularen Exponentiation
WO2021170645A1 (de) Verfahren zum direkten übertragen von elektronischen münzdatensätzen zwischen endgeräten, bezahlsystem, währungssystem und überwachungseinheit
DE60212248T2 (de) Informationssicherheitsvorrichtung, Vorrichtung und Verfahren zur Erzeugung einer Primzahl
DE60202149T2 (de) Verfahren zur kryptographischen authentifizierung
WO2020126079A1 (de) Verfahren zum erhalten einer blinden signatur
EP2893668A1 (de) Verfahren zur erstellung einer abgeleiteten instanz eines originaldatenträgers
DE102005008610A1 (de) Verfahren zum Bezahlen in Rechnernetzen
EP4111399B1 (de) Verfahren, endgerät, überwachungsinstanz sowie bezahlsystem zum verwalten von elektronischen münzdatensätzen
WO2023036458A1 (de) Verfahren und transaktionssystem zum übertragen von token in einem elektronischen transaktionssystems
DE102022000857B3 (de) Verfahren zur sicheren Identifizierung einer Person durch eine Verifikationsinstanz
DE102021000570A1 (de) Verfahren zum bereitstellen eines nachweisdatensatzes; verfahren zum prüfen eines nachweisdatensatzes; ein münzregister; eine teilnehmereinheit und ein computerprogrammprodukt
EP4334872A1 (de) Verfahren zum registrieren eines elektronischen münzdatensatzes in einem münzregister; ein münzregister; eine teilnehmereinheit und ein computerprogrammprodukt

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19824235

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2019824235

Country of ref document: EP

Effective date: 20210719