WO2024012624A1

WO2024012624A1 - Verfahren zur sicheren generierung eines herausgebbaren tokens, verfahren zur sicheren vernichtung eines tokens und tokenherausgeber

Info

Publication number: WO2024012624A1
Application number: PCT/DE2023/100452
Authority: WO
Inventors: Lucas DOHMEN; Matthias Fasching; Klaus ALFERT
Original assignee: Giesecke+Devrient Advance52 Gmbh
Priority date: 2022-07-11
Filing date: 2023-06-14
Publication date: 2024-01-18
Also published as: DE102022002518A1

Abstract

Die Erfindung betrifft ein Verfahren zur sicheren Generierung eines herausgebbaren Tokens durch einen Tokenherausgeber eines elektronischen Transaktionssystems mit Tokenreferenzregister. Die Erfindung betrifft auch ein Verfahren zur sicheren Vernichtung eines Tokens eines elektronischen Transaktionssystems mit Tokenreferenzregister. Die Erfindung betrifft auch einen Tokenherausgeber. In einer Tokenherausgebereinheit, welche eine sichere Tokengenerierungseinheit umfasst, werden folgende Schritte ausgeführt: Erzeugen eines tokenindividuellen Tokenelementpaares, welches ein geheimes Tokenelement und ein öffentliches Tokenreferenzelement umfasst; Erzeugen eines Hinzufügungs-Kommandos, welches das Tokenreferenzregister anweist, eine Tokenreferenz, die das erzeugte öffentliche Tokenreferenzelement umfasst, als zusätzliche Tokenreferenz in dem Tokenreferenzregister hinzuzufügen; und Senden des Hinzufügungs-Kommandos an das Tokenreferenzregister. Vorliegend ist das erzeugte Tokenelementpaar ein internes, temporäres Tokenelementpaar der Tokenerzeugungseinheit, wobei die Tokenerzeugungseinheit eine Tokenreferenz des herausgebbaren Tokens empfängt, und ein Ersetzungs-Kommando erzeugt, welches das Tokenreferenzregister anweist, anstelle der Tokenreferenz des temporären Tokenelementpaares die Tokenreferenz des herausgebbaren Tokens zu registrieren.

Description

VERFAHREN ZUR SICHEREN GENERIERUNG EINES HERAUSGEBBAREN TOKENS, VERFAHREN ZUR SICHEREN VERNICHTUNG EINES TOKENS UND TOKENHERAUSGEBER

Die Erfindung bezieht sich auf ein Verfahren zur sicheren Generierung eines herausgebbaren Tokens durch einen Tokenherausgeber eines elektronischen Transaktionssystems mit Tokenreferenzregister. Die Erfindung bezieht sich auch auf ein Verfahren zur sicheren Vernichtung eines Tokens eines elektronischen Transaktionssystems mit Tokenreferenzregister. Die Erfindung bezieht sich auch auf einen Tokenherausgeber.

Für tokenbasierte Transaktionssysteme ist es bekannt, ein Tokenreferenz-Register bereit zu stellen. Der Tokenherausgeber kann eine Tokenreferenz eines herausgebbaren Tokens initial im Tokenreferenz-Register registrieren oder eine bereits registrierte Tokenreferenz eines zurückzunehmenden Tokens löschen. Teilnehmer des Transaktionssystems dürfen dementgegen eine Tokenreferenz des Tokens beispielsweise nur im Austausch gegen eine bereits registrierte Tokenreferenz eines wertgleichen Tokens registrieren.

In digitalen Zentralbank-Währungs-Systemen (CBDC-Systeme) werden besonders hohe Sicher heitsanf or derungen an die zentralen Systemkomponenten, beispielsweise an den Tokenherausgeber, gestellt.

Die WO 2022/008319 Al beschreibt einen Tokenherausgeber, welcher eine isolierte Tokengenerierungseinheit und eine Tokenausgabeeinheit umfasst. Ein privater Schlüssel eines kryptografischen Schlüsselpaars des Tokenherausgebers kann in einem Hardware-Sicherheitsmodul der Tokengenerierungseinheit gespeichert sein. Auf Anforderung der Tokenausgabeeinheit generiert die Tokengenerierungseinheit einen neuen Token sowie einen signierten Registrierungsdatensatz, welcher die Registrierung des neuen Token mittels einer Tokenreferenz im Tokenreferenzregister ermöglicht. Die Tokenausgabeeinheit erhält den herauszugebenden Token und den Tokenregistrierungsdatensatz. Sie registriert den herauszugebenden Token mittels des Tokenregistrierungsdatensatz im Tokenreferenzregister, bevor sie den neuen Token an eine Teilnehmereinheit des Transaktionssystems ausgibt.

Der Erfindung liegt nun die Aufgabe zu Grunde, eine noch sichere Tokenherausgebereinheit und ein besonders sicheres Verfahren zur sicheren Generierung oder Vernichtung von Token des Transaktionssystems bereitzustellen. Vorzugsweise soll die Lösung flexibel sein, ohne die Sicherheit im Transaktionssystem zu gefährden.

Die gestellte Aufgabe wird gelöst durch den Gegenstand der unabhängigen Patentansprüche. Weitere vorteilhafte Ausgestaltungen sind in den jeweils abhängigen Patentansprüchen beschrieben.

In einem ersten Aspekt wird die Aufgabe insbesondere durch ein Verfahren zur sicheren Generierung eines herausgebbaren Tokens durch einen Tokenherausgeber eines elektronischen Transaktionssystems mit Tokenreferenzregister gelöst. In einer Tokenherausgebereinheit, welche eine sichere Tokengenerierungseinheit, umfasst, werden folgende Schritte ausgeführt: Erzeugen eines tokenindividuellen Tokenelementpaares, welches ein geheimes Tokenelement und ein öffentliches Tokenreferenzelement umfasst, in der sicheren Tokenerzeugungseinheit ; Erzeugen eines Hinzufügungs-Kommandos in der sicheren Tokenerzeugungseinheit, welches das Tokenreferenzregister anweist, eine Tokenreferenz, die das erzeugte öffentliche Tokenreferenzelement umfasst, als zusätzliche Tokenreferenz in dem Tokenreferenzregister hinzuzufügen; Senden des Hinzufügungs-Kommandos an das Tokenreferenzregister. Das erzeugte Tokenelementpaar ist ein internes, temporäres Tokenelementpaar der Tokenerzeugungseinheit. Die Tokenerzeugungseinheit empfängt eine Tokenreferenz des herausgebbaren Tokens. Die Tokenerzeugungseinheit erzeugt ein Ersetzungs-Kommando, welches das Tokenreferenzregister anweist, anstelle der Tokenreferenz des temporären Tokenelementpaares die Tokenreferenz des herausgebbaren Tokens zu registrieren.

Ein Token enthält einen Tokenwert als Tokenelement.

In einer Ausgestaltung umfasst die Tokenherausgebereinheit eine sichere Tokenspeichereinheit (nachfolgend auch Tokenherausgeber-Teilnehmereinheit), wobei diese sichere Tokenspeichereinheit ein tokenindividuelles Tokenelementpaar des herausgebbaren Token erzeugt.

In einer Ausgestaltung liegt das geheime Tokenelement des internen, temporären Tokenelementpaares nur in der Tokengenerierungseinheit vor und/ oder das geheime Tokenelement des herausgebbaren Token liegt nur in der Tokengenerierungseinheit vor. Ein Token enthält ein geheimes Tokenelement des Tokenelementpaares. Eine Tokenreferenz enthält ein öffentliches Tokenreferenzelement des Tokenelementpaars. Das öffentliche Tokenreferenzelement ist eindeutig einem Token zugeordnet und/oder aus dem geheimen Tokenelement des Tokenelementpaares abgeleitet. In einer Ausgestaltung ist das geheime Tokenelement eine Zufallszahl und das öffentliche Tokenreferenzelement das Ergebnis einer kryptografischen Funktion auf das geheime Tokenelement. In einer Ausgestaltung ist das geheime Tokenelement ein privater Schlüssel eines kryptografischen Schlüsselpaars und das öffentliche Tokenreferenzelement ist der öffentliche Schlüssel des kryptografischen Schlüsselpaars.

Der Tokenwert des internen temporären Tokens entspricht dem Tokenwert des herauszugebenden Tokens. Der Tokenwert kann als Information von einer Tokenherausgeberverwaltung, die eine Einheit der Tokenherausgebereinheit ist, an die Tokenerzeugungseinheit übermittelt werden. Alternativ werden Tokenwerte mit festen Denominationen erzeugt.

Durch dieses Verfahren wird der in der Tokengenerierungseinheit durch ein Erzeugen-Schritt erzeugte interne temporäre Token nicht direkt an die Tokenverwaltungseinheit übermittelt. Für den ersten Aspekt vorteilhaft ist, dass die Tokengenerierungseinheit nach dem Erzeugen des internen temporären Tokens ein Ersetzungskommando (insbesondere ein tokenwertneutrales Ersetzen, beispielsweise durch eine Umschalten-Modifikation, eine Verbinden-Modifikation (mit einem Token vom Wert „0" oder eine Aufteilen-Mo difikation (Erhalt eines Tokens mit Wert „0")), erzeugt, um auf einen herauszugebenden (neuen) Token zu referenzieren. Das für das Ersetzen benötigte öffentliche Tokenreferenzelement (R) des Tokenelementpaares (r, R) wird dazu beispielsweise von der Tokenherausgeberverwaltungseinheit (einer Einheit der Tokenherausgebereinheit) oder einer Bankenteilnehmereinheit oder einer Zentralbank-Teilnehmereinheit bereitgestellt.

Mit dem Registrieren der Tokenreferenz des herauszugebenden neuen Tokens beim Tokenreferenzregister ist der neue Token im Transaktionssystem gültig und kann verwendet werden.

In einer Ausgestaltung hält der Tokenherausgeber in einem sicheren Speicherbereich (beispielsweise in der Tokenherausgeber-Teilnehmereinheit) neu herausgebbare (aber noch nicht herausgegebene) Token vor. Auf Anfrage von einer Teilnehmereinheit, beispielsweise einer Bankenteilnehmereinheit des Transaktionssystems, kann dann sofort (ohne das sichere Generierungs-Verfahren dann erst durchführen zu müssen) der herausgebbare Token an die anfragende Teilnehmereinheit im Transaktionssystem ausgegeben werden.

In einer alternativen Ausgestaltung kann vor dem Erzeugen des tokenindividuellen Tokenelementpaares eine Tokengenerierungsanfrage, bevorzugt in einer sicheren Tokenherausgeberverwaltung der Tokenherausgebereinheit, empfangen werden.

Diese Tokengenerierungsanfrage kann von einer Teilnehmereinheit, beispielsweise einer Bankenteilnehmereinheit des Transaktionssystems, gesendet worden sein. Alternativ kann diese Tokengenerierungsanfrage von einer Zentralbankinstanz gesendet worden sein.

Es können CDBC-Wallets (=Geldbörsen) in den Teilnehmereinheiten, beispielsweise einer Bankenteilnehmereinheit des Transaktionssystems, vorhanden sein, die mit der Tokenherausgebereinheit interagieren für eine Bestellung (Anfrage, Generierung) oder Rückgabe (Einlösung, Vernichtung) von CDBC.

Bevorzugt wird im Erzeugen-Schritt der herausgebbare Token mit einem privaten Schlüssel der Tokenherausgebereinheit, beispielsweise mit einem privaten Schlüssel der Tokengenerierungseinheit signiert. Durch die Signatur mit dem privaten Schlüsselteil kann nun jede Teilnehmereinheit des Transaktionssystems mit dem dazugehörigen öffentlichen Schlüsselteil prüfen, ob der Token vertrauenswürdig erzeugt wurde. So wird sichergestellt, dass der Token von einem Tokenherausgeber und nicht von einem Angreifer ausgestellt wurde. Durch das erfindungsgemäße Verfahren verlassen weder der Schlüsselteil des kryptographischen Schlüsselpaares der Tokenherausgebereinheit noch das geheime Tokenelement die Tokengenerierungseinheit. Es ist damit möglich, den Tokenherausgeber modular in eine Tokenherausgeber-Verwaltungseinheitund eine Tokengenerierungseinheit zu zerlegen. Beide Einheiten der Tokenherausgebereinheit können nun örtlich voneinander entfernt angeordnet sein, ohne dass die Sicherheit verschlechtert wird. Mit der räumlichen Entferntheit kann die Tokenherausgebereinheit flexibler und modularer aufgebaut werden. Bevorzugt wird im Ersetzungs-Kommando-Erzeugenschritt der neue Token mit dem privaten Teil des temporären tokenindividuellen kryptografischen Schlüsselpaars signiert. Damit zeigt die Tokengenerierungseinheit an, dass sie in Kenntnis von dem temporären Token und dem neuen Token war. Diese Signatur kann eine Pflichtangabe für das Ersetzungs-Kommando sein.

Bevorzugt wird zum Registrieren des herausgebbaren Tokens das Ersetzungskommando im Tokenreferenzregister auf Gültigkeit geprüft, indem eine Signatur der Tokenherausgebereinheit mittels eines öffentlichen Schlüsselteils der Tokenherausgebereinheit geprüft wird.

Bevorzugt wird die Registrieranfrage im Tokenreferenzregister zudem auf Gültigkeit geprüft, indem eine Signatur mittels dem öffentlichen Tokenreferenzelements des Tokenelementpaars geprüft wird.

Das Hinzufügungs-Kommando und das Ersetzungs-Kommando werden bevorzugt zusammen in einem gemeinsamen Sendeschritt an das Tokenreferenzregister gesendet. In Folge des gemeinsamen Sendens wird eine Hinzufügungs-Bestätigung (erzeugt vom Tokenreferenzregister) und/ oder eine Ersetzungs-Bestätigung (erzeugt vom Tokenreferenzregister) in der Tokenherausgebereinheit empfangen.

Bevorzugt sendet das Tokenreferenzregister eine Registrierbestätigung (= Ersetzungsbestätigung), wenn das Ersetzungs-Kommando gültig ist.

Bevorzugt überträgt die Tokenherausgeber -Verwaltungseinheit der Tokenherausgebereinheit nach Erhalten der Registrierbestätigung (= Ersetzungsbestätigung), den neu herauszugebenden Token aufweisend den Tokenwert und das geheime Tokenelement des Tokenelementepaars an eine Teilnehmereinheit, bevorzugt eine Bank-Teilnehmereinheit.

In einem zweiten Aspekt ist ein Verfahren zur sicheren Vernichtung eines Tokens durch einen Tokenherausgeber eines elektronischen Transaktionssystems mit Tokenreferenzregister vorgesehen, wobei in einer Tokenherausgebereinheit, welche eine sichere Tokenvernichtungseinheit umfasst, die folgenden Schritte ausgeführt werden: Erzeugen eines Entfernen-Kommandos in der Tokenvernichtungseinheit, welches das Tokenreferenzregister anweist, eine Tokenreferenz eines registrierten Tokens aus dem Tokenreferenzregister zu entfernen; und Senden des Entfernen- Kommandos an das Tokenreferenzregister. Die Tokenvernichtungseinheit erzeugt vor dem Erzeugen des Entfernen-Kommandos einen internen, temporärer Token und erzeugt das Entfernen-Kommando für die Tokenreferenz des internen, temporären Tokens. Zudem erfolgt das Erzeugen eines Ersetzungs-Kommandos, welches das Tokenreferenzregister anweist, anstelle der Tokenreferenz des zurück zu nehmenden Tokens die Tokenreferenz des internen, temporären Tokens zu registrieren.

Der zweite Aspekt ist - in Analogie zum sicheren Generieren eines Tokens gemäß erstem Aspekt - nun auf das Vernichten (Löschen) eines Tokens im Transaktionssystem gerichtet. Vorteile und technische Aufgaben entsprechen denen des ersten Aspekts.

Insbesondere wird durch das Verfahren gemäß dem zweiten Aspekt der in der Tokenvernichtungseinheit durch ein Erzeugen-Schritt erzeugte interne temporäre Token nicht direkt an die Tokenverwaltungseinheit übermittelt. Für den zweiten Aspekt vorteilhaft ist, dass die Tokenvernichtungseinheit nach dem Erzeugen des internen temporären Tokens ein Ersetzungs-Kommando (insbesondere ein tokenwertneutrales Ersetzen, beispielsweise durch eine Umschalten-Modifikation, eine Verbinden-Modifikation (mit einem Token vom Wert „0" oder eine Aufteilen- Modifikation (Erhalt eines Tokens mit Wert „0")), erzeugt, um anstelle der Tokenreferenz des zurück zu nehmenden (zu vernichtenden) Tokens die Tokenreferenz des internen, temporären Tokens zu registrieren. Die für das Ersetzen benötigte Tokenreferenz des zurück zu nehmenden Tokens wird dazu beispielsweise von der Tokenherausgeberverwaltungseinheit (einer Einheit der Tokenherausgebereinheit) oder einer Bankenteilnehmereinheit oder einer Zentralbank-Teilnehmereinheit bereitgestellt.

Damit verhindert werden kann, dass der zu vernichtende (=zu löschende) Token während der Übergabe an die Tokenherausgeber-Vernichtungseinheit gestohlen wird, wird erfindungsgemäß ein Ersetzungs-Kommando mit dem Entfernen-Kommando kombiniert.

Die Tokenherausgebereinheit umfasst eine sichere Tokenspeichereinheit, wobei die sichere Tokenspeichereinheit den zurück zu nehmenden Token deaktiviert.

Das geheime Tokenelement des internen, temporären Tokens liegt bevorzugt nur in der Tokenvernichtungseinheit vor. Das Entfernen-Kommando und das Ersetzungs-Kommando können zusammen in einem gemeinsamen Sendeschritt an das Tokenreferenzregister gesendet werden. In Folge des Sendens kann eine Entfernungs-Bestätigung (erzeugt vom Tokenreferenzregister) und/ oder eine Ersetzungs-Bestätigung (erzeugt vom Tokenreferenzregister) in der Tokenherausgebereinheit empfangen werden.

Die Tokenherausgebereinheit kann eine sichere Tokenverwaltungseinheit umfassen, wobei in der Tokenverwaltungseinheit eine Tokenvernichtungsanfrage empfangen wird.

In einer Ausgestaltung wurde der zu vernichtende (zu löschende, zurückzunehmende) Token aus einem Löschverzeichnis der Tokenherausgeberverwaltung entnommen. Dieses Löschverzeichnis ist ein Speicherbereich in der Tokenherausgebereinheit, in den Teilnehmereinheiten des Transaktionssystems zu löschende (d.h. einzulösende) Token ablegen.

In einer stark bevorzugten Ausgestaltung wird zwischen Tokenerzeugungseinheit und Tokenherausgeberverwaltung eine Air-Gap-Schnittstelle realisiert. Als Air-Gap (englisch für „Luftspalt") oder Air-Wall (englisch für „Luftmauer", in Analogie zu einer Firewall)-Prozess wird hierbei ein Prozess bezeichnet, der die beiden Einheiten (Tokenerzeugungseinheit und Tokenherausgeberverwaltung) voneinander trennt, aber dennoch die Übertragung von Nutzdaten, hier Token, Tokenelementen, Tokenelementpaare, Schlüsselteilen etc., zulässt. Ein Air-Gap-Prozess wird hierbei eingesetzt, um die beiden unterschiedlich vertrauenswürdigen Einheiten voneinander zu isolieren, aber dennoch sicherzustellen, dass Daten der jeweils anderen Einheit verarbeitet werden können.

In einer bevorzugten Ausgestaltung ist die Air-Gap-Übermittlung dazu eingerichtet, die Tokenerzeugungseinheit von der Tokenherausgeberverwaltung physisch, logisch, elektrisch und/oder elektronisch zu trennen. Damit sind beide Einheiten elektrotechnisch voneinander in der Form isoliert. Mit anderen Worten: Eine Datenübertragung findet nicht ausschließlich elektrisch/ elektronisch statt. Somit hat ein Angreifer mit Netzwerkfernzugriff auf die Tokenherausgeberverwaltung keinen Zugriff auf die Tokenerzeugungseinheit. Dem Angreifer ist es deshalb nicht möglich, Daten in die Tokenerzeugungseinheit einzubringen und/oder Daten (beispielsweise den temporären Token oder den privaten Teil des Tokenherausgeber-Schlüsselpaars) von der Tokenerzeugungseinheit abzugreifen. Dazu fehlt eine (permanente, physische) Datenverbindung (OSI-Schicht 1) zwischen der Tokenerzeugungseinheit und der Tokenherausgeberverwaltung.

In einer bevorzugten Ausgestaltung erfolgt das Übertragen im Air-Gap-Prozess unter Verwendung von portablen elektronischen Datenspeichern, wie USB-Stick, Speicherkarte, CD, oder ähnlichem. Dafür sind an der Tokenerzeugungseinheit und der Tokenherausgeberverwaltung entsprechende elektronische Schnittstellen, wie USB- Anschluss, Speicherkarten-Lesegerät oder CD-Laufwerk vorgesehen

In einer bevorzugten Ausgestaltung ist zum Übermitteln im Air-Gap-Prozess die Tokenerzeugungseinheit ferner eingerichtet, einen, den Token repräsentierenden, Ausdruck (als physischen Repräsentanten eines Tokens) zu erzeugen. Die Tokenherausgeberverwaltung ist dazu eingerichtet, den von der Tokenerzeugungseinheit erzeugten Token-Ausdruck einzulesen. Dies stellt eine vergleichsweise einfache Form der Realisierung eines Air-Gap-Prozesses dar. Der Ausdruck kann beispielsweise über mechanische Fördermechanismen in einen Einlese-Bereich der Tokenherausgeberverwaltung transportiert werden. Auch hierzu können die bereits beschriebene Transportboxen verwendet werden, sodass beispielsweise ein Ausdruck automatisch von der Tokenerzeugungseinheit in einer Transportbox angeordnet wird, dann zur Tokenherausgeberverwaltung, insbesondere deren Lesebereich, transportiert wird, und dort eingelesen wird.

In einer bevorzugten Ausgestaltung erfolgt das Löschen aller, innerhalb eines vordefinierten Zeitabschnitts, zu löschenden Token als Stapelverarbeitung (=Batchverarbeitung) am Ende des vordefinierten Zeitabschnitts. Damit werden die Übermitteln-Schritte an nur einem bestimmten Zeitpunkt innerhalb einer reduziert, wodurch der Aufwand - insbesondere bei Air-Gap-Prozessen - stark minimiert wird.

Bevorzugt werden alle, innerhalb eines vordefinierten Zeitabschnitts, zu löschenden Token am Ende des vordefinierten Zeitabschnitts zu einem gemeinsamen Löschtoken vor dem Ausführen des Verfahrens gemäß dem zweiten Aspekt durch Anwenden von einem oder mehreren Verbinden-Kommandos verbunden. Damit reduziert sich die Anzahl der Übermitteln-Schritte enorm, woraufhin der Aufwand für Erzeugen und/ oder Löschen von Token Bevorzugt ist der vordefinierte Zeitabschnitt ein Monat, bevorzugt eine Woche, mehr bevorzugt ein Tag, weiter bevorzugt eine Stunde.

Bevorzugt sendet das Tokenreferenzregister eine Hinzufügungs-Bestätigung, wenn das Hinzufügungskommando gültig ist und die temporäre Tokenreferenz im Tokenreferenzregister hinzugefügt wurde. Damit erfährt die Tokenherausgebereinheit, insbesondere die sichere Tokenherausgeber- Verwaltungseinheit, dass die temporäre Tokenreferenz im Tokenreferenzregister vorhanden ist.

Ein elektronisches Transaktionssystem, beispielsweise ein digitales Währungssystem bzw. ein digitales Zentralbanksystem ist ein System in dem zumindest zwei, bevorzugt eine Vielzahl von Teilnehmereinheiten digitales Zentralbankgeld (CDBC) in Form von Token direkt untereinander austauschen (übertragen) können. Das Transaktionssystem ist damit beispielsweise ein Bezahltransaktionssystem zum Austausch von geldwerten Beträgen in Form von Bezahl-Token.

Ein Token ist ein zwischen Teilnehmereinheiten direkt austauschbarer Datensatz eines Transaktionssystems. Mit Registrieren einer Tokenreferenz im Tokenreferenz-Register gilt der Token als erzeugt und/oder gelöscht und/oder übertragen und ab diesem Zeitpunkt ist eine empfangende Teilnehmereinheit im Besitz des Tokenwerts, den der Token repräsentiert. Mit dem Übertragenvorgang wechselt der Token demnach automatisch den Besitzer (von Herausgeber an Teilnehmereinheit). Ein Token - ein Datensatz, der unabhängig von einer Transaktionstopologie, wie Blockchain- Topologien „Bitcoin", „Ethereum" oder „Neo", übertragbar ist - kann direkt zwischen Teilnehmereinheiten bzw. von dem Tokenherausgeber ohne dazwischengeschaltete Einheiten übertragen werden.

In einer Ausgestaltung ist der Token ein elektronischer Münzdatensatz oder Bezahl- Token, um geld werte Beträge zwischen Teilnehmer einheiten zu tauschen. Umgangssprachlich wird ein derartiger Bezahl-Token auch als „digitale Münze" oder „elektronische Münze", englisch „digital/ electronic coin" bezeichnet und repräsentiert Bargeld in elektronischer Form.

Jeder Token im Transaktionssystem ist ein Datensatz umfassend zumindest zwei T okenelemente. Ein erstes Tokenelement jedes Tokens des Transaktionssystems ist ein Tokenwert, bspw. ein Vermögenswert, ein Vermögens gegenstand, ein Wirtschafts gut und/oder ein geldwerter Betrag.

Ein zweites Tokenelement jedes Tokens des Transaktionssystems ist ein geheimes Tokenelement des Tokenelementepaars, beispielsweise der private Teil eines tokenindividuellen Schlüsselpaars. Dieser private Teil ist ein Geheimnis im Transaktionssystem und wird nicht veröffentlicht und darf nicht mehrfach verwendet werden. Die Erzeugung des privaten Teils darf nicht vorhersagbar sein. Dieser private Teil kann eine Zufallszahl sein. Bevorzugt ist die Zufallszahl das Ergebnis eines echten Zufallsgenerators.

Aus dem Tokenwert (erstes Tokenelement) und dem geheimen Tokenelement wird der Token gebildet. Dieses Bilden ist bevorzugt das Verketten (Konkatenation) dieser beiden Tokenelemente. Jede andere Art der Verknüpfung dieser beiden Tokenelemente ist erfindungsgemäß nicht ausgeschlossen und umfasst beispielsweise das Hintereinander- Anfügen, das Einbringen in eine TLV-Datenstruktur und/oder das logische Verknüpfen.

Der Token unterscheidet sich von einem Datensatz zum klassischen Datenaustausch oder Datentransfer, da beispielsweise ein klassischer Datenaustausch auf Basis eines Frage-Antwort-Prinzips bzw. auf einer Interkommunikation zwischen den Partnern des Datenaustauschs stattfindet. Ein Token ist dementgegen einmalig und eindeutig im Transaktionssystem. Der Token steht im Kontext eines Sicherheitskonzepts, welches beispielsweise Signaturen oder kryptografische Verschlüsselungen umfasst. In einem Token sind alle Datenelemente enthalten, die für eine empfangende Teilnehmereinheit bezüglich Verifikation, Authentisierung und Weitergeben des Tokens an eine andere Teilnehmereinheit benötigt werden. Eine Inter kommunikation zwischen den einen Token übertragenden Teilnehmereinheiten ist daher bei einem Token grundsätzlich nicht erforderlich.

Jeder, der im Besitz eines Tokens oder uneingeschränkten Zugriff auf den Token mit seinen Tokenelementen hat, kann diesen Token mit einer anderen Teilnehmereinheit austauschen (=übertragen). Der Besitz des Tokens mit seinen zumindest zwei Tokenelementen (Tokenwert und privater Teil des tokenindividuellen Schlüsselpaars) ist also gleichbedeutend mit dem Besitz des Wertes, den der Token repräsentiert. Hier kann der Token auch indirekt durch Registrieren einer Tokenreferenz übertragen werden.

Jedem Token im Transaktionssystem wird eine Tokenreferenz zugeordnet. Diese Zuordnung ist eineindeutig, das heißt, einem Token ist genau eine Tokenreferenz zugeordnet und jeder Tokenreferenz ist genau ein Token zugeordnet. Die Tokenreferenz ist ein öffentlicher Datensatz, der in einer Speichereinheit des Tokenreferenz-Registers des Transaktionssystems für jede Teilnehmereinheit überprüfbar abgespeichert ist.

Sowohl der Token als auch die Tokenreferenz sind einzigartig. Durch die eineindeutige Zuordnung herrscht eine 1-zu-l Beziehung zwischen dem Token und der Tokenreferenz.

Jede Tokenreferenz im Transaktionssystem ist ein Datensatz umfassend zumindest zwei Tokenreferenz-Elemente.

Ein erstes Tokenreferenz-Element jeder Tokenreferenz ist der Tokenwert des der Tokenreferenz eindeutig zugeordneten Tokens. Der Tokenwert des Tokens ist damit identisch zum Tokenwert der zugeordneten Tokenreferenz. Beispielsweise ist der Tokenwert der Tokenreferenz eine Kopie des Tokenwerts des zugeordneten Tokens.

Ein zweites Tokenelement jeder Tokenreferenz des Transaktionssystems ist ein öffentliches Tokenreferenzelement des Tokenelementpaars, beispielsweise ein öffentlicher Teil des tokenindividuellen Schlüsselpaars. Dieser öffentliche Teil der Tokenreferenz bildet zusammen mit dem privaten Teil des Tokens das tokenindividuelle Schlüsselpaar. Der öffentliche Teil wird durch Anwenden einer kryptografischen Funktion auf den privaten Teil erhalten. Anders: Das öffentliche Tokenreferenzelement und das private Tokenelement bilden das Tokenelementpaar.

Diese kryptografische Funktion ist eine Einwegfunktion. Diese kryptografische Funktion ist demnach eine mathematische Funktion, die komplexitätstheoretisch „leicht" berechenbar, aber „schwer" bis praktisch unmöglich umzukehren ist. Hierbei wird unter Einwegfunktion auch eine Funktion bezeichnet, zu der bislang keine in angemessener Zeit und mit vertretbarem Aufwand praktisch ausführbare Umkehrung bekannt ist. Vorzugsweise wird eine Einwegfunktion verwendet, die auf eine Gruppe operiert, in der das diskrete Logarithmusproblem schwer zu lösen ist, wie z. B. ein kryptographisches Verfahren analog einer elliptischer-Kurve-Verschlüsselung, kurz ECC, aus einem privaten Schlüssel eines entsprechenden Kry ptographie-Verf ährens. Die umgekehrte Funktion, also die Erzeugung eines Tokens (oder des Teils des elektronischen Münzdatensatzes) aus einer Tokenreferenz ist dabei sehr zeitintensiv.

Die (bloße) Kenntnis oder der Besitz einer Tokenreferenz berechtigt nicht dazu, den Tokenwert (Tokenreferenz-Element) zu verwenden/ übertragen/ auszugeben. Dies stellt einen wesentlichen Unterschied zwischen der Tokenreferenz und dem Token dar und ist ein Kern der hier vorliegenden Erfindung.

Nach dem Anwenden der kryptografischen Funktion auf den privaten Teil des tokenindividuellen Schlüsselpaars wird der öffentliche Teil des tokenindividuellen Schlüsselpaars als zweites Tokenreferenz-Element erhalten.

Aus dem Tokenwert (erstes Tokenreferenz-Element) und dem öffentlichen Teil wird die Tokenreferenz gebildet. Dieses Bilden ist bevorzugt das Verketten (Konkatenation) dieser beiden Tokenreferenz-Elemente. Jede andere Art der Verknüpfung dieser beiden Tokenreferenz-Elemente ist erfindungsgemäß nicht ausgeschlossen und umfasst beispielsweise das Hintereinander- Anfügen, das Einbringen in eine TLV- Datenstruktur und/ oder das logische Verknüpfen.

Eine Tokenreferenz kann auch durch eine elektronische Geldbörse (= Wallet) erzeugt werden. Die Verwendung einer Tokenreferenz ist nicht mit der Verwendung von Adressen von Teilnehmereinheiten in einem Blockchain-basierten Transaktionssystem vergleichbar, da im erfindungsgemäßen Tokenreferenz-Register keine Adressen der Teilnehmereinheiten verwendet werden, um eine Verfolgbarkeit der Token zu verhindern.

Das Verfahren zum Registrieren sieht einen Empfangen-Schritt vor, um eine Tokenreferenz in einem Tokenreferenz-Register im Rahmen einer Registrieranfrage zu empfangen. Beispielsweise wird die Registrieranfrage von einer Teilnehmereinheit oder der Tokenherausgeberverwaltung (hier als Hinzufügungs-kommando und Ersetzungskommando) des Transaktionssystems gesendet.

Das Tokenreferenz-Register ist eine Einheit des Transaktionsregisters, in denen Tokenreferenzen abgelegt werden, wodurch die dazugehörigen Token registriert sind. Dieses Register kann eine zentrale Datenbank oder Speichereinheit sein. Dieses Register kann ein dezentraler Ledger, beispielsweise in einer Blockchain-Topologie sein. Das Tokenreferenz-Register kann eine Historie zu den Tokenreferenzen und/ oder den Registrieranfragen führen.

Die empfangene Registrieranfrage wird durch eine Verifiziereinheit im Tokenreferenz-Register verifiziert. Dabei wird verifiziert, ob die zumindest eine Tokenreferenz der empfangenen Registrieranfrage in dem Tokenreferenz-Register bereits gespeichert ist. Im Tokenreferenz-Register ist eine Tokenreferenz nur ein einziges Mal gespeichert. Da eine Tokenreferenz eines Tokens nur ein einziges Mal im Transaktionssystem vorhanden ist, kann durch einen Verifizieren-Schritt festgestellt werden, ob versucht wurde, einen Token mehrfach auszugeben. In einer Ausgestaltung wird im Verifizieren-Schritt festgestellt, ob Signatur (en) der Registrieranfrage korrekt ist.

Zum Ersetzen des Tokens kann eine Umschalte-Modifikation angewendet werden, Für eine Umschalte-Modifikation werden die folgenden Verfahrensschritte durchgeführt: Empfangen der Tokenreferenz von dem Tokenherausgeber für den zu erzeugenden (neuen) Token; Erzeugen einer Registrieranfrage umfassend die Tokenreferenz des temporären Tokens und die Tokenreferenz für den neuen (erzeugten) Token. Die Umschaltung des Tokens ist eine Modifikationsmöglichkeit zur Modifikation eines Tokens. Die in der Registrieranfrage enthaltenen Tokenreferenzen können durch Verkettung (Konkatenation) aneinandergefügt sein. Wird ein Token von einer Teilnehmereinheit direkt an eine andere Teilnehmereinheit übertragen, beispielsweise wenn im Rahmen einer Bezahltransaktion der geldwerte Betrag als Tokenwert übertragen werden soll, so kann die sendende Teilnehmereinheit nun den Tokenwert auf sich umregistrieren lassen. Damit wird im Tokenreferenz-Register die Umschaltung registriert.

Der Tokenwert des temporären Tokens entspricht dem Tokenwert des neuen Tokens. Beim Umschalten wird demnach ein Token mit gleichem Tokenwert aber neuem privaten Teil bei dem Tokenreferenz-Register registriert.

Das Tokenreferenz-Register hat Kenntnis über Tokenreferenzen von Token des Transaktionssystems und führt bevorzugt auch die Verarbeitungen bzw. Modifikationen an den Token (Token-Historie). Die Transaktionen mit den Token wird in dem Tokenreferenz-Register nicht registriert und findet in einer Direkttransaktionsschicht des Transaktionssystems direkt zwischen Teilnehmereinheiten des Transaktionssystems statt.

In einem weiteren Aspekt ist eine Tokenherausgebereinheit eines Transaktionssystems vorgesehen. DieTokenherausgebereinheit kann umfassen: eine Schnittstelle zu einem Tokenreferenzregister; und eine sichere Tokengenerierungseinheit zur sicheren Generierung eines herausgebbaren Tokens mittels eines Verfahrens gemäß dem ersten Aspekt; und/ oder eine sichere Tokenvernichtungseinheit zur sicheren Vernichtung eines Tokens mittels eines Verfahrens gemäß dem zweiten Aspekt.

Die Tokenherausgebereinheit kann weiter umfassen eine Tokenherausgeber- Teilnehmereinheit, eingerichtet zum Ablegen von Token und/ oder Tokenreferenzen; und eine Schnittstelle zu einer Bank-Teilnehmereinheit oder zu einer

Zentralbankeinheit, eingerichtet zum Empfangen einer Tokengenerierungsanfrage und/ oder zum Empfangen einer Tokenvernichtungsanfrage.

Die Tokenherausgebereinheit kann weiter umfassen eine Tokenverwaltungseinheit mit einer Schnittstelle zu einer Bank-Teilnehmereinheit oder zu einer Zentralbankeinheit oder einer Tokenherausgeber-Teilnehmereinheit eingerichtet zum Ausgeben des herausgebbaren Tokens und/ oder Speichern eines Abschlusses der sicheren Vernichtung des Tokens und/ oder Speichern eines Abschlusses der sicheren Generierung des herausgebbaren Tokens.

Die Tokenherausgebereinheit kann weiter umfassen eine Air-Gap-Schnittstelle zwischen der Tokenverwaltungseinheit und der sicheren Tokengenerierungseinheit und/ oder der sicher Tokenvernichtungseinheit.

Bevorzugt umfasst der Tokenherausgeber eine Air-Gap-Schnittstelle zwischen der Tokenherausgeberverwaltung und der Tokenerzeugungseinheit für zumindest einen der Übermitteln-Schritte des Verfahrens gemäß dem ersten und/ oder zweiten Aspekt.

Das Tokenreferenzregister kann eine Instanz eines Zentralwährungssystems sein und jeder Token kann ein digitales Zentralbankgeld sein. Ein digitales Währungs-System als das Transaktionssystem umfasst eine Vielzahl der beschriebenen Teilnehmereinheiten, das Tokenreferenzregister und einen Tokenherausgeber. Eine Teilnehmereinheit, beispielsweise eine Bank-Teilnehmereinheit oder eine Herausgeberteilnehmereinheit kann vorliegend ein sicheres Element (Secure Element) sein, das einen gesicherten Zugriff auf einen oder mehrere Token in einem Tokenspeicher hat. Das sichere Element ist beispielsweise betriebsbereit in einem Endgerät eingebracht. Das sichere Element und oder das Endgerät haben ein spezielles Computerprogrammprodukt (elektronische Geldbörse, Wallet), insbesondere in Form einer abgesicherten Laufzeitumgebung innerhalb eines Betriebssystems eines Endgeräts, englisch Trusted Execution Environments, TEE, gespeichert auf einem Datenspeicher, beispielsweise eines mobilen Endgeräts, einer Maschine oder eines Bankautomaten. Alternativ ist das sichere Element beispielsweise als spezielle Hardware, insbesondere in Form eines gesicherten Hardware-Plattform- Moduls, englisch Trusted Platform Module, TPM oder als ein eingebettetes Sicherheitsmodul, eUICC, eSIM, ausgebildet. Das sichere Element stellt eine vertrauenswürdige Umgebung bereit.

Nachfolgend wird anhand von Figuren die Erfindung bzw. weitere Ausführungsformen und Vorteile der Erfindung näher erläutert, wobei die Figuren lediglich Ausführungsbeispiele der Erfindung beschreiben. Gleiche Bestandteile in den Figuren werden mit gleichen Bezugszeichen versehen. Die Figuren sind nicht als maßstabsgetreu anzusehen, es können einzelne Elemente der Figuren übertrieben groß bzw. übertrieben vereinfacht dargestellt sein.

Fig. 1 zeigt ein Ausführungsbeispiel einer Tokenherausgebereinheit;

Fig. 2 zeigt ein Ausführungsbeispiel eines Ablaufs von Schritten eines Verfahrens gemäß dem ersten Aspekt in einer Tokenherausgebereinheit;

Fig. 3 zeigt ein Ausführungsbeispiel eines Ablaufs von Schritten eines Verfahrens gemäß dem zweiten Aspekt in einer Tokenherausgebereinheit;

Fig. 4 zeigt ein Ausführungsbeispiel eines Ablaufdiagrams eines Umschaltens eines Tokens;

Fig. 5 zeigt ein Ausführungsbeispiel eines Ablauf diagrams eines Verbindens eines Tokens; und

Fig. 6 zeigt ein Ausführungsbeispiel eines Transaktionssystems. Fig. 1 zeigt ein Ausführungsbeispiel eines Tokenherausgebers TH für ein Transaktionssystem TS. Das Transaktionssystem TS kann ein digitales Zentralbank- Währungs-System sein. Der Tokenherausgeber TH gibt Token T als digitale Münzdatensätze an eine Teilnehmereinheit TE, beispielsweise direkt an einen Bankkunden oder bevorzugt an eine Bank-Teilnehmereinheit B-TE heraus. Die Tokenherausgebereinheit TH stellt eine initiale Registrierung des neu-erzeugten (herauszugebenden) Tokens T in einem Tokenreferenzregister TRR des Transaktionssystems TS bereit.

Jeder Token T im Transaktionssystem TS wird initial (nur) von der Tokenherausgebereinheit TH sicher generiert (in der TH-TG) und auch von dem TH sicher vernichtet (gelöscht) (in der TH-TV). Ein Tokenherausgeber TH ist beispielsweise eine Instanz einer Zentralbank oder eine Instanz eines Drittanbieters, der mit einer Zentralbank kooperiert.

Auf Anfrage von einer Zentralbank oder einer Teilnehmereinheit TE oder einer Bank- Teilnehmereinheit (bspw. einer Geschäftsbank) wird das Erzeugen (Erstellen, Generieren) eines Tokens T in dem Tokenherausgeber TH veranlasst. Die Tokenherausgebereinheit TH des Tokenherausgebers hat dazu eine sichere Tokengenerierungseinheit TH-TG und eine sichere Tokenherausgeber- Verwaltungseinheit TH-TW und in einigen Ausgestaltungen auch eine Tokenherausgeber-Teilnehmereinheit TH-TE. Beide Einheiten TH-TG und TH-TW (TH-TE) können voneinander getrennt sein und weisen bevorzugt einen Air-Gap AG auf. Das Air-Gap AG dient dazu, dass die in der Tokenherausgebereinheit TH hochsensiblen sicherheitsrelevanten Daten und Einheiten, insbesondere ein privater Schlüssel pKeyiH und geheime Tokenelemente r (eines Tokenelementepaares) von herauszugebenden (neuen) Token T, beispielsweise private Teile von kryptografischen Schlüsselpaaren (die von einem Zufallsgenerator erzeugt werden) nicht über einen Netzwerkangriff auf den Tokenherausgeber TH ausgelesen und für Manipulationen am Transaktionssystem TS verwendet werden können. Die TH-TG kann dabei vollständig isoliert sein. Beispielsweise ist die TH-TG ohne Schnittstelle zu einem Netzwerk, wie TCP/IP, dem Internet, dem Mobilfunknetz, etc.

Auf Anfrage von einer Zentralbank oder einer Teilnehmereinheit TE oder einer Bank- Teilnehmereinheit (bspw. einer Geschäftsbank) wird das Vernichten (Löschen) eines Tokens T in dem Tokenherausgeber TH veranlasst. Die Tokenherausgebereinheit TH des Tokenherausgebers hat dazu eine sichere Tokenvernichtungseinheit TH-TV und eine sichere Tokenherausgeber-Verwaltungseinheit TH-TW und in einigen Ausgestaltungen auch eine Tokenherausgeber-Teilnehmereinheit TH-TE. Beide Einheiten TH-TV und TH-TW (TH-TE) können voneinander getrennt sein und weisen bevorzugt einen Air-Gap AG auf. Das Air-Gap AG dient dazu, dass die in der Tokenherausgebereinheit TH hochsensiblen sicherheitsrelevanten Daten und Einheiten, insbesondere ein privater Schlüssel pKeyiH und geheime Tokenelemente r (eines Tokenelementepaares) für zu löschende Token T, beispielsweise private Teile von kryptografischen Schlüsselpaaren (die von einem Zufallsgenerator erzeugt werden) nicht über einen Netzwerkangriff auf die Tokenherausgebereinheit TH ausgelesen und für Manipulationen am Transaktionssystem TS verwendet werden können. Die TH-TV kann dabei vollständig isoliert sein. Beispielsweise ist die TH-TV ohne Schnittstelle zu einem Netzwerk, wie TCP/IP, dem Internet, dem Mobilfunknetz, etc.

Eine Tokenherausgebereinheit TH kann sowohl eine TH-TG als auch eine TH-TV aufweisen. Es ist alternativ möglich, dass eine erste Tokenherausgebereinheit des TS nur eine TH-TG aber keine TH-TV aufweist und dass eine zweite Tokenherausgebereinheit des TS nur eine TH-TV aber keine TH-TG aufweist.

Ein Token T wird durch einen Tokenwert v und einen geheimes Tokenelement, beispielsweise eine Zufallszahl r eindeutig im Transaktionssystem TS repräsentiert. Der Tokenwert v kann in einem Wertebereich von 1 bis 2³¹-1 angegeben werden. Die Zufallszahl r kann eine Zahl im Bereich von 0 bis 2²⁵⁶ -1, also die Ordnung einer elliptischen Kurve, beispielsweise secp256rl, sein.

Die Zufallszahl r - als Beispiel für ein geheimes Tokenelement eines Tokens T - ist dabei ein privater Teil eines tokenindividuellen Schlüsselpaars r, R. Die Zufallszahl r ist im Transaktionssystem TS einmalig und geheim und darf nicht veröffentlicht oder wiederverwendet werden. Die Erzeugung der Zufallszahl r darf nichtvorhersehbar sein und wird mittels Echtzufallszahlengenerator erzeugt.

Beispielsweise ist der Tokenwert v ein 32 Bit großes Tokenelement vom Typ integer.

Beispielsweise ist die Zufallszahl r ein 32 Byte großes Tokenelement vom Typ integer. Ein Token kann als ein TLV kodierter Datensatz in einem Tokenspeicher, beispielsweise im CBS abgelegt sein und weist dann einen eindeutigen Tag und eine Längeninformation auf, beispielsweise in folgendem Format auf.

Ein Beispiel eines TLV-codierten Token in hexadezimaler Form ist nachfolgend dargestellt:

4224 00 0040 00 00 01 02 03 04 05 06 0708 09 0A OB 0C 0D 0E 0F 10 11 1213 14 15 16 17 18 191A 1B IC ID IE 1F und wird wie folgt interpretiert:

"42" ist der Tag zur Identifizierung des TLV-kodierten Tokens T;

"24" zeigt die Länge an, hier also, dass es sich um einen 36 Byte großen Datensatz handelt;

"00 0040 00" ist der Tokenwert (integer) v = 16384 und beträgt demnach € 163,84;

"00 01 02 03 04 05 06 0708 09 ... ID IE 1F" ist die Zufallszahl r als integer.

Zur sicheren Generierung eines herausgebbaren Tokens durch einen Tokenherausgeber eines elektronischen Transaktionssystems TS mit Tokenreferenzregister TRR werden auch unter Bezugnahme auf Fig. 2 die folgenden Schritte des Verfahrens gemäß dem ersten Aspekt der Erfindung durchgeführt.

Im Schritt 200 erfolgt optional das Empfangen einer Tokengenerierungsanfrage bei der TH-TM. Die Tokengenerierungsanfrage kann von einer Zentralbankinstanz gesendet werden. Diese Anfrage kann für einen einzelnen Token T oder eine Reihe von Token T sein, beispielsweise „Generiere 200 Token mit Wert 100". Die Anfrage kann einen Zeitraum betreffen, beispielsweise „Generiere 200 Token mit Wert 100 für heute" oder Generiere 200 Token mit Wert 100 in der nächsten Stunde". Im Schritt 201 erfolgt ein optionales Empfangen einer Anfrage für ein neues Tokenreferenzelement. Diese Anfrage kann in der TH-TM bzw. von der TH-TM an die TH-TE empfangen werden.

Im Schritt 202 erfolgt ein optionales Erzeugen eines neuen Tokenelementpaares R_new, r_new. Ein Tokenelementepaar r, R umfasst insbesondere ein geheimes Tokenelement r (ein Tokenelement des Tokens T) des Tokenelementpaares und ein öffentliches Tokenreferenzelement R (ein Tokenelement der Tokenreferenz TR) des Tokenelementpaares.

Im Schritt 203 erfolgt ein optionales Bereitstellen (Senden) des öffentlichen Tokenreferenzelement Rnew innerhalb der (bzw. an die) TH-TM.

Die optionalen Schritte 200-203 können dabei unterschiedlich ablaufen. Gemäß dem gezeigten Ablauf in der Fig. 2 kann im TH-TM eine allgemeine Anforderung 200 der Zentralbank „wir brauchen heute 200 Token mit Wert 100" oder eine Anforderung für eine Bank-Teilnehmereinheit B-TE „wir brauchen jetzt 20 Token mit Wert 50" empfangen werden.

Eine Anforderung einer Bank, beispielsweise einer B-TE, „bitte ein Token mit Wert 100 auf R_new" könnte jedoch auch - alternativ - bereits einen neues öffentliches Tokenreferenzelement Rnew umfassen, dann ist TH-TE nicht an der Generierung des neuen (herauszugebenden) Tokens beteiligt. In diesem Fall erzeugt die (von der TH externe) B-TE im Schritt 202 das neue Tokenelementpaares R new, Tnew. Im Schritt 203 sendet die B-TE die Anforderung an das TH-TM. In diesem Fall wäre in vorteilhafter Weise keine TH-TE im TH notwendig, die Architektur der TH wäre weniger aufwendig.

Im Schritt 211 erfolgt sodann ein Empfangen einer Tokenerzeugungsanfrage von der TH-TM an die TH-TG.

Im Schritt 212 erfolgt ein Erzeugen eines internen temporären Tokenelementpaares Rtemp, rtemp. Das geheime Tokenelement rtemp des internen, temporären Tokenelementpaares liegt bevorzugt nur in der Tokenerzeugungseinheit TH-TG vor.

Im Schritt 214 erfolgt ein Erzeugen eines Hinzufügungs-Kommandos in der TH-TG. Dazu kann eine Signatur der TH verwendet werden. Das Hinzufügungs-Kommando kann mit einem Schlüssel der TH signiert sein und lautet beispielsweise: SIG_Ttem_P = sig (sKeym ; CREATE | | TR_temp)

Im Schritt 215 erfolgt ein Senden des Hinzufügungs-Kommandos durch die sichere Tokenerzeugungseinheit TH-TG an die TH-TW. Das Kommando weist das Tokenreferenzregister TRR an, eine Tokenreferenz TR, die das erzeugte öffentliche Tokenreferenzelement umfasst, als zusätzliche Tokenreferenz TR in dem Tokenreferenzregister TRR hinzuzufügen.

Im Schritt 218 erfolgt ein Erzeugen eines Ersetzungs-Kommandos. Das Kommando weist das TRR an, anstelle der Tokenreferenz TRtemp des temporären Tokenelementpaares die Tokenreferenz TR_new des herausgebbaren Tokens T_new zu registrieren. Das Ersetzungs-Kommando kann mit dem geheimen Tokenelement signiert sein und lautet beispielsweise:

SIG_Tnew = sig (rtemp SWITCH I | TRtemp, TRnew)

Mit einem Ersetzen ist jedwedes betragsneutrales Modifizieren des Tokens gemeint, insbesondere ein Umschalten (Switch)-Kommando, aber auch ein Verbinden (Merge)- Kommando von dem Token T_new mit einem Token mit einem Tokenwert v = 0 oder auch ein Aufteilen des Tokens Ttemp zu einem Token T_new und einem Token mit Tokenwert v = 0.

Im Schritt 219 folgt ein Senden des Ersetzungs-Kommandos von der TH-TG an das TH-TM.

Im Schritt 221 erfolgt ein Senden des Hinzufügungs-Kommandos an das TRR. Daraufhin fügt das TRR im Schritt 222 die temporäre Tokenreferenz TRtemp zum Datenbestand hinzu. Das Hinzufügungs-Kommando lautet beispielsweise:

CREATE TRtemp

Im Schritt 224 wird optional durch das TRR eine Hinzufügungs-Bestätigung HB erzeugt. Die HB kann mit einem Schlüssel des TRR signiert sein und lautet beispielsweise:

HB = sig(sKeyTRR; TRtemp) Im Schritt 225 erfolgt dann optional ein Empfangen der Hinzufügungs-Bestätigung HB von dem TRR im TH-TM.

Im Schritt 231 erfolgt dann das Senden des Ersetzungs-Kommandos an das TRR. Das Ersetzungs-Kommando lautet beispielsweise:

SWITCH TRtemp, TRnew

Im Schritt 232 erfolgt dann das Ersetzen der Tokenreferenz TRtemp mit der Tokenreferenz TR_new.

Im Schritt 234 erfolgt dann optional das Erzeugen einer Ersetzungs-Bestätigung RB. Die RB kann mit einem Schlüssel des TRR signiert sein und lautet beispielsweise lautet beispielsweise:

RB = sig(sKeyTRR; TR_new)

Im Schritt 235 erfolgt das Empfangen der Ersetzungs-Bestätigung RB von dem TRR im TH-TM.

Im Schritt 237 erfolgt optional das Empfangen der Ersetzungsbestätigung EB in der TH-TE. Die RB kann lauten:

RB (TR new)/ Vnew

Im Schritt 238 erfolgt optional ein Speichern/ Aktivieren des neuen Token T_new.

Im Schritt 239 erfolgt optional ein Senden einer Bestätigung für herausgebbare neue Token T_new

Im Schritt 240 erfolgt optional das Speichern des Abschluss der Generierung in der TH-TM, eine Art Protokollierung des Generierens des neuen Token T_new. Das TH-TM merkt sich demnach den Abschluss der Generierung in Schritt 240.

Im Schritt 250 erfolgt optional das Ausgaben des neuen Token T_new an eine B-TE oder eine andere TE des TS. In einer Ausgestaltung der Fig. 2 ist der Schritt 215 optional, denn die Kommandos der Schritte 214 und 218 können gemeinsam übertragen werden. Dann wären die Schritte 221, 231 eine gemeinsame Übertragung der beiden Kommandos und es würde bei gemeinsamer Übertragung entweder nur Bestätigungsschritt 225 oder nur Bestätigungsschritt 235 oder beide Bestätigungsschritt 225 und 235 erfolgen.

In einer weiteren Ausgestaltung der Fig. 2 erfolgt der Schritt 231 von TH-TE oder sogar von der B-TE.

In einer weiteren Ausgestaltung der Fig. 2 wird der Schritt 221 im TRR nur von der TH empfangen, also von der TH-TM oder TH-TE. Dann ändern sich die Abläufe der Schritte 237, 238, 239 entsprechend dahingehend, dass die Ersetzungs-Bestätigung RB nur von TH-TE oder B-TE kommen kann, so dass v_new und/ oder RB in Schritt 237 an das TH-TM kommt und Schritt 238 dazu dient, dass der neue Token T vollständig ist oder als herausgebbar aktiviert ist.

In einer Ausgestaltung kann folgendes Verfahren zur Ausführung kommen, um einen neuen Token zu generieren.

Das TH-TM fordert bei einem Prozessor (Bezahlprozessor) (TH-TE) den öffentlichen Schlüssel Rneu eines neuen Token T_neu an. Der Bezahlprozessor (TH-TE) speichert den dazugehörigen privaten Schlüssel r_neu in einer temporären Brieftasche.

Das TH-TM erstellt eine „Minting Order", also eine Anfrage am TH-TG, einen neuen Token bereitzustellen und übermittelt in dieser Anfrage den Tokenwert v und den öffentlichen Schlüssel Rneu (aus Schritt 1) an das TH-TG.

Das TH-TG erstellt einen temporären Token Ttemp bestehend aus dem Tokenwert v und einem temporären privaten Schlüsselteil rtemp eines temporären tokenindividuellen Schlüsselpaars unter Anwendung eines CREATE-Kommandos (Erzeugen-Kommando).

Das TH-TG führt ein Umschalten (=SWITCH-Kommando) von dem temporären Token Ttemp auf den neuen Token T_neu durch. Für das Umschalten benötigt das TH-TG nur den vom TH-TM zur Verfügung gestellten öffentlichen Schlüssel Rneu. Es wird eine Registrieranfrage erstellt, diese enthält die Befehlshistorie (CmdHist) des Umschalte-Kommandos und des Erzeugen-Kommandos. Der Tokenwert v und der private Schlüssel rtemp und die Registrieranfrage RA werden dem TH-TM zur Verfügung gestellt.

Das TH-TM sendet die Registrieranfrage RA an das TRR und erhält eine Regis trier bestätigung RB.

Die Registrierbestätigung RB und auch die Registrieranfrage RA wird an den Bezahlprozessor TH-TE gesendet.

Im Bezahlprozessor TH-TE werden Tokenwert v, privater Schlüssel rtemp, Registrieranfrage RA und Registrierbestätigung geprüft und verifiziert. Der private Schlüssel r_neu wird aus dem temporären Wallet entfernt und zusammen mit v_neu als Tneu gespeichert.

Für jeden Token T wird im Tokenreferenz-Register TRR eine Tokenreferenz TR gespeichert. Die Tokenreferenz TR umfasst den Tokenwert v des zugeordneten Tokens T und einen öffentlichen Teil R des tokenindividuellen Schlüsselpaars. Die Tokenreferenz TR des Tokens T kann jederzeit im Register TRR des Transaktionssystems TS eingesehen werden. Damit ist der Tokenwert v eines Tokens T durch das Tokenreferenz-Register TRR offengelegt.

Der öffentliche Teil R des tokenindividuellen Schlüsselpaars wird durch Anwenden einer kryptografischen Funktion auf den privaten Teil r des tokenindividuellen Schlüsselpaars erzeugt. Diese Funktion ist schwer umkehrbar und gibt dem Transaktionssystem TS so die gebotene Sicherheit. Es gilt R = r * G, wobei G beispielsweise ein globaler Parameter des Transaktionssystems TS, bspw. ein Generatorpunkt einer elliptischen Kurve, hier der secp256rl-Kurve, sein kann.

Die Tokenreferenz TR wird dann gebildet durch den Tokenwert v des Tokens T und den öffentlichen Teil R des Schlüsselpaars. Die Tokenreferenz TR ist somit die Verknüpfung oder Verkettung von Tokenwert v und öffentlichem Teil R.

Diese Tokenreferenz TR kann als Registrieranfrage RA ggf. zusammen mit einem Kommando bezüglich des Tokens T an das Tokenreferenz-Register TRR gesendet werden. Zusätzlich kann die Registrieranfrage RA mit dem privaten Teil r des tokenindividuellen Schlüsselpaars signiert werden. Das Signieren ermöglicht es, zu verifizieren, ob der Sender der Tokenreferenz TR im Besitz des Tokens T war, wodurch die Sicherheit im Transaktionssystem TS weiter erhöht ist.

In der Teilnehmereinheit TE wird die signierte Registrieranfrage RA_Sig als ein sogenannter Beweisdatensatz, PR (für Proof) abgelegt, beispielsweise in folgendem Format:

Ein Beispiel eines PR (=RA_Sig) in hexadezimaler Form ist nachfolgend dargestellt:

4A 81 8F 03 11 12 13 14 15 16 17 18 19 1A 1B IC ID IE 1F 20 21 22 23 24 25 26 2728 29 2A 2B 2C 2D 2E 2F 30 31 3233 34 35 36 3738 393A 3B 3C 3D 3E 3F 4041 4243444546 4748 494A 4B 4C 4D 4E 4F 50 51 52 53 54 55 56 30 46 11 12 13 14 15 16 17 18 19 1A 1B IC ID IE 1F 20 21 22 23 24 25 26 2728 292A 2B 2C 2D 2E 2F 30 31 32 33 34 35 36 3738 393A 3B 3C 3D 3E 3F 4041 42434445464748494A 4B 4C 4D 4E 4F 50 51 5253 54 55 56 und wird wie folgt interpretiert:

"4A" ist der Tag zur Identifizierung des TLV-Proof RASI^TH;

"81 8F" zeigt die Länge an;

"03" zeig an, dass es sich um eine Umschalte (=SWITCH) Registrieranfrage handelt;

"11 1213 14" ist der Tokenwert v_a;

"15 16 17 18 19 1A 1B IC ID IE 1F 20 21 22 23 24 25 26 2728 29 2A 2B 2C 2D 2E 2F 30 31 3233 3435" ist der öffentliche Teil R_a;

"36 3738 39 3A 3B 3C 3D 3E 3F 40 41 4243 44 45 46 4748 494A 4B 4C 4D 4E 4F 50 51 525354 5556" ist der öffentliche Teil Rh; "30 46 11 1213 14 15 16 17 18 19 1A IB 1C ID IE IF 20 21 2223 24 25 26 2728 29 2A 2B 2C 2D 2E 2F 30 31 32 33 34 35 36 3738 393A 3B 3C 3D 3E 3F 40 41 424344 45 4647 48 494A 4B 4C 4D 4E 4F 5051 5253 5455 56" ist die Signatur als X690-Sequenz.

Diese Registrieranfrage RA kann an das Tokenreferenz-Register TRR gesendet werden. Im Tokenreferenz-Register TRR wird diese Registrieranfrage RA empfangen. Nach Prüfung der Registrieranfrage RA durch das Tokenreferenz-Register TRR wird die Tokenreferenz TR im Tokenreferenz-Register TRR abgelegt, wodurch der Token T im Transaktionssystem TS registriert ist. Ab diesem Zeitpunkt kann der Token T im Transaktionssystem TS verwendet werden.

Diese Tokenreferenz TR ist dem Token T eindeutig zugeordnet und dient zur Registrierung des Tokens T im Transaktionssystem TS. Die Tokenreferenz TR ist demnach die öffentliche Repräsentation des Tokens T. Das alleinige Wissen oder nur der Besitz der Tokenreferenz TR erlaubt es nicht, den Token T zu übertragen und ist nicht gleichbedeutend damit, dass die TE im Besitz des Tokens T ist. Die Tokenreferenz TR dient zur Verhinderung von Mehrfachausgabe-Versuchen und prüft, ob Tokenwerte v in unzulässiger Weise generiert wurden. Deshalb wird im Tokenreferenz-Register TRR die Tokenreferenz TR und ggf. die Historie über die Token T und die entsprechenden Registrieranfragen RA von Teilnehmereinheiten TE abgelegt.

Die Token T werden beispielsweise in elektronischen Geldbörsen, sogenannten Wallets, abgelegt. Diese Wallets sind beispielsweise Softwareapplikationen innerhalb der Teilnehmereinheiten TE oder eines Endgeräts, in dem die TE betriebsbereit eingebracht ist. Ein Wallet kann als Applikation auf einem Smartphone, einer Smartcard oder einem Bezahlterminal eingerichtet sein. Das Wallet dient dazu, Token T der TE sicher zu verwalten, Tokenreferenzen TR zu erzeugen, Token T zu modifizieren und/oder Token T auszutauschen. Wallets dienen dazu, mit dem Tokenreferenz-Register TRR zu kommunizieren, Registrieranfragen RA an das Tokenreferenz-Register TRR zu generieren und/oder Transaktion von Token T zu einer Teilnehmereinheit TE vorzunehmen.

Für eine Direkt-Transaktion von Token T ist es nicht notwendig, dass eine Kommunikations Verbindung zu dem Tokenreferenz-Register TRR des Transaktionssystems TS besteht. Das Transaktionssystem TS ist dazu eingerichtet, eine Transaktion „offline", also ohne Kommunikationsverbindung mit dem Tokenreferenz- Register TRR, durchzuführen. Eine entsprechende Registrierung von Token T kann daher einer Übertragung des Token T zu einer Teilnehmereinheit TE zeitlich nachgelagert sein.

Das Tokenreferenz-Register TRR ist eine Einheit des Transaktionssystems TS und ist entweder ein zentrales Register oder eine zentrale Datenbank des Transaktionssystems TS oder ein dezentrales Register oder eine dezentrale Datenbank (DLT) des Transaktionssystems TS.

Das Tokenreferenz-Register TRR verwaltet insbesondere den Speicherort für die Tokenreferenzen TR, als Beispiel einer Speichereinheit im Tokenreferenz-Register TRR dargestellt. Stellvertretend ist in der Datenbank 1 das TR zum Token T der Teilnehmereinheit TE1 eingetragen.

Zudem kann das Tokenreferenz-Register TRR zumindest eine Verifiziereinheit 2 umfassen. Die Verifiziereinheit 2 des Tokenreferenz-Registers TRR verifiziert Registrieranfragen RA. Dabei kann eine syntaktische Korrektheit oder auch die korrekte Angabe eines Kommandos in der Registrieranfrage RA verifiziert werden. Auch eine Historie aus alten (vergangenen) Registrieranfragen RA bezüglich eines Tokens T kann dabei verifiziert werden. Die Trennung dieser Verifiziereinheit 2 von der Datenbank 1 verteilt die Aufgaben von Ablegen und Prüfen und erhöht die Geschwindigkeit im Tokenreferenz-Register TRR.

Zudem kann das Tokenreferenz-Register TRR eine Prüfeinheit umfassen (nicht explizit dargestellt), die prüft, ob mit dem Tokenwert v einer empfangenen Tokenreferenz TR ein Gesamt-Tokenwert Z im Transaktionssystem TS verändert wird. Ist dies der Fall, dann wurde ein neuer Tokenwert v geschaffen oder ein existierender Tokenwert v vernichtet. Dies dürfen nur privilegierte Einheiten, wie einer Herausgeberinstanz TH, im Transaktionssystem TS. Wenn ein derartiges Verändern der Gesamtsumme der Tokenwerte durch eine Tokenreferenz TR einer Teilnehmereinheit TE erkannt wird, dann kann von einem Betrugsfall ausgegangen werden. Somit kann eine illegale Generierung von Tokenwerten v sehr leicht entdeckt und verhindert werden.

Die Prüfung des Gesamt-Tokenwerts durch die Prüfeinheit stellt ein weiteres Sicherheitskonzept im Transaktionssystem TS dar. Eine Registrieranfrage RA ist bevorzugt mit dem privaten Teil r signiert. Durch die Signatur kann eine syntaktische Echtheit des Kommandos durch den Empfänger (TRR oder TE) einfach geprüft werden. Diese Prüfung erfolgt bevorzugt in der Datenbank 1 oder der Verifiziereinheit 2. Zudem kann eine Registeranfrage RA beispielsweise syntaktisch validiert werden durch Prüfen der Signatur und/ oder der Tokenreferenz TR.

Auch wenn eine Signatur in einer Teilnehmereinheit TE geprüft werden kann, so wird damit nicht sichergestellt, dass keine Mehrfachausgabe des gleichen Tokens T versucht wurde. Daher ist das Registrieren im Tokenreferenz-Register TRR vorgesehen. Zudem wird durch die Teilnehmereinheiten TE eine sichere Hardwareplattform vor gehalten. Mit verfügbarer Verbindung zum Tokenreferenz- Register TRR werden die Tokenreferenzen TR übertragen und im Tokenreferenz- Register TRR kann der Mehrfachausgabe-Versuch entdeckt werden.

Wenn eine Tokenreferenz TR im Tokenreferenz-Register TRR noch nicht bekannt ist, wird sie hinzugefügt.

In Fig. 3 ist ein Verfahrensablauf zum Vernichten eines Tokens T aus dem Transaktionssystem TS beschrieben. Um zu verhindern, dass der zu vernichtende (=zu löschende) Token T_oid während der Übergabe an die TH-TV gestohlen wird, wird erfindungsgemäß ein Ersetzungs-Kommando mit dem Entfernen-Kommando kombiniert.

Im Schritt 300 erfolgt ein optionales Empfangen einer Tokenvernichtungsanfrage. Die Tokenvernichtungsanfrage kann von einer Zentralbankinstanz gesendet werden. Diese Anfrage kann für einen einzelnen Token T_oid oder eine Reihe von Token T_oid sein, beispielsweise „Vernichte 200 Token mit Wert 100". Die Anfrage kann einen Zeitraum betreffen, beispielsweise „Vernichte 200 Token mit Wert 100 für heute (oder in der nächsten Stunde)".

Im Schritt 301 erfolgt ein optionales Empfangen einer Anfrage für ein altes Tokenreferenzelement. Diese Anfrage kann in der TH-TM bzw. von der TH-TM an die TH-TE empfangen werden.

Im Schritt 302 erfolgt optional ein Deaktivieren des/ der alten Token T_oid in der TH-TE. Im Schritt 303 erfolgt optional ein Senden des alten Tokenreferenzelements TR_oid.

Die Schritte 300-303 können unterschiedlich ablaufen. Gemäß dem Ablauf in der Fig. 3 kann im TH-TM eine allgemeine Anforderung 300 der Zentralbank „wir löschen heute 200 Token mit Wert 100" oder eine Anforderung für eine Bank „wir löschen jetzt 20 Token mit Wert 50" empfangen werden.

Eine Anforderung einer Bank, beispielsweise einer B-TE, „bitte ein Token mit Wert 100 löschen auf R_oid" könnte jedoch auch - alternativ - bereits einen zu löschenden öffentliches Tokenreferenzelement R_oid umfassen, dann ist TH-TE nicht an der Vernichtung des zu löschenden Tokens T_oid beteiligt. In diesem Fall benennt die (von der TH externe) B-TE im Schritt 302 das R_oid. Im Schritt 303 sendet die B-TE die Anforderung an das TH-TM. In diesem Fall wäre in vorteilhafter Weise keine TH-TE im TH notwendig, die Architektur der TH wäre weniger aufwendig.

Im Schritt 311 erfolgt ein optionales Empfangen einer Vernichtungs-Anforderung von der TH-TM an die TH-TV.

Im Schritt 312 erfolgt ein Erzeugen eines temporären Tokenelementpaares Rtem_P2, rtemp2.

Im Schritt 313 erfolgt ein Senden des temporären Tokenreferenzelements Rtem_P2 von der TH-TV an das TH-TM.

Im Schritt 314 erfolgt das Erzeugen eines Entfernen-Kommandos. Das Entfernen- Kommando kann mit dem Schlüssel der TH signiert sein und lautet beispielsweise:

SIG_Ttem_P2 = sig (sKeyiH; DESTROY | | TR_tem_P2)

Im Schritt 315 erfolgt ein Senden des erzeugten Entfernen-Kommandos durch die sichere Tokenvernichtungseinheit TH-TV. Das Entfernen-Kommando weist das Tokenreferenzregister TRR an, eine Tokenreferenz eines registrierten Tokens aus dem Tokenreferenzregister TRR zu entfernen.

Im Schritt 317 erfolgt ein Empfangen des temporären Tokenreferenzelementes Rtem_P2 von der TH-TM in der TH-TE. Im Schritt 318 erfolgt ein Erzeugen eines Ersetzungs-Kommandos. Das Kommando dient dazu, dem TRR anzuweisen anstelle der Tokenreferenz TR_oid des zurück zu nehmenden Tokens T_oid die Tokenreferenz TRtem_P2 des internen, temporären Tokens Ttem_P2 zu registrieren. Das Ersetzungs-Kommando lautet beispielsweise:

SWITCH TRoid, TRtemp2

Mit Ersetzen ist jedwedes betragsneutrales modifizieren des Tokens gemeint, insbesondere ein Umschalten (Switch)-Kommando, aber auch ein Verbinden (Merge)- Kommando von dem Token mit einem Token mit einem Tokenwert v = 0 oder auch ein Aufteilen des Tokens zu einem Token und einem Token mit Tokenwert v = 0.

Im Schritt 319 erfolgt ein Senden des erzeugten Ersetzungs-Kommandos von der TH- TE an die TH-TM.

Im Schritt 321 erfolgt ein Senden des Ersetzungs-Kommandos aus dem Schritt 318 von der TH-TM an das TRR.

Im Schritt 322 erfolgt ein Ersetzen der Tokenreferenz TR_oid mit der Tokenreferenz TR_temp2 im TRR.

Im Schritt 325 erfolgt optional ein Empfangen einer Ersetzungs-Bestätigung von dem TRR an das TH-TM. Die Ersetzungs-Bestätigung RB kann mit einem Schüssel der TRR signiert sein und lautet beispielsweise:

RB = sig(sKeyTRR, TR_tem 2)

Im Schritt 331 erfolgt dann ein Senden des Entfernen-Kommandos von der TH-TM an das TRR. Das Entfernen-Kommando lautet beispielsweise:

DESTROY TRtem_P2

Im Schritt 332 erfolgt dann ein Entfernen der temporären Tokenreferenz TRt_em 2 im TRR.

Im Schritt 334 erfolgt optional ein Erzeugen einer Entfernungsbestätigung EB. Im Schritt 335 erfolgt optional ein Empfangen der im Schritt 334 erzeugten Entfernungsbestätigung EB von dem TRR an die TH-TM. Die EB kann mit einem Schlüssel der TRR signiert sein und lautet beispielsweise:

EB = sig(sKeyTRR; TR_tem 2)

Im Schritt 337 erfolgt optional ein Empfangen der weitergeleiteten Entfernungsbestätigung EB an die TH-TE.

Im Schritt 338 erfolgt ein Löschen des alten Tokens T_oid in der TH-TE.

Im Schritt 339 erfolgt optional ein Empfangen einer Löschbestätigung.

Im Schritt 340 erfolgt optional ein Speichern des Abschlusses der Vernichtung in der TH-TM.

In einer Ausgestaltung der Fig. 3 ist der Schritt 315 optional, denn die Kommandos der Schritte 321 und 331 können gemeinsam übertragen werden und es würde bei gemeinsamer Übertragung entweder nur Schritt 325 oder nur Schritt 335 oder beide Schritte 325 und 335 erfolgen.

In einer Ausgestaltung kann folgendes Verfahren zur Ausführung kommen, um einen Token zu vernichten.

Das TH-TM identifiziert einen Token T_oid, der im Bezahlprozessor (in einem speziell dafür vorgesehenen Speicherbereich, oder einer TH-TE) vorhanden ist und gelöscht werden soll.

Das TH-TM verlangt von dem TH-TV den Export eines öffentlichen Schlüssels Rtem_P2 für den zu löschenden Token T_oid. Der TH-TV speichert den entsprechenden privaten Schlüssel rtem_P2 in seinem sicheren Speicher ab.

Im TH-TM wird a) ein Umschalten-Kommando von T_oid auf Tt_em 2 unter Erstellen einer Registrieranfrage RA ausgeführt, b) die Registrieranfrage RA an das TRR gesendet und c) eine Registrierbestätigung vom TRR erhalten mit Bestätigung der Registrierung der Umschaltung Das TH-TM exportiert eine Löschanfrage an das TH-TV („Melting Order") zum Löschen (Destroy, Vernichten) des Tokens Ttem_P2 und fügt die Registrieranfrage RA und Registrierbestätigung RB des TRR bei.

Das TH-TV verifiziert die Löschanfrage, Registrieranfrage RA und Registrierbestätigung RB des TRR. Das CMS führt ein LÖSCH-Kommando (DESTROY) auf den Token Tt_em_P2 aus unter Verwendung des privaten Schlüssels pKeyiH des TH-TV und dem privaten Schlüssels rt_emp2.

Das TH-TV exportiert den Lösch-Befehl an das TH-TM unter Erstellen einer Registrieranfrage RA.

Das TH-TM sendet die Registrieranfrage RA bezüglich des LÖSCH-Kommandos an das TRR. Ab Registrierung des LÖSCH-Kommandos im TRR ist der Token Tt_emp2 gelöscht (er existiert für das TRR nicht mehr).

Der Löschvorgang kann ein vollautomatischer Prozess ohne manuelle Interaktion sein. Falls hier auch ein Air-Gap AG erforderlich ist (ggf. Systemvoraussetzung) kann eine Stapelverarbeitung (Batchlauf) für alle zu löschenden Token durchgeführt werden, bei dem alle benötigten öffentlichen Schlüssel im Voraus von der CMS angefordert werden, beispielsweise am Ende eines Geschäftstages (für die Löschungen des Geschäftstages). Alternativ werden zunächst alle zu löschenden Token kombiniert (verbunden, MERGE) und nur ein verbundener Token schließlich gelöscht.

Jedes Kommando kann signiert werden, um prüfen zu können, dass der Sender der Tokenreferenz TR auch im Besitz des dazugehörigen Tokens T ist. Als Signatur kann ein ECDSA-Schema angewendet werden. Ein Kommando wird bevorzugt mit dem geheimen Tokenelement, beispielsweise dem privaten Teil r, des Tokens T signiert. Für Kommandos „Erzeugen" und „Löschen" kann eine weitere Signatur der Tokenherausgebereinheit TH verlangt werden, um sicherzustellen, dass diese Kommandos von einer privilegierten Einheit des Transaktionssystems TS generiert worden sind.

In Fig. 4 ist ein Ausführungsbeispiel eines Ablauf diagrams eines Verfahrens zum Übertragen eines Tokens T zwischen einer TE1 und einer TE2 auf Basis eines Umschalten-Kommandos eines vorhandenen Tokens T_a gezeigt. Zudem ist die dazu benötigte signierte Registrieranfrage RA_Sig_Ta und eine Registrierbestätigung RB mit Kommandostruktur dargestellt.

In der TE1 ist ein Token T_a vorhanden. Der Token T_a hat einen Tokenwert v_a und den privaten Teil r des tokenindividuellen Schlüsselpaars. Die dazugehörige Tokenreferenz TR_a ist im Tokenreferenz-Register TRR auf die TE1 registriert. Zwischen TE1 und TE2 soll ein Token Tb mit dem Tokenwert vb übertragen werden.

Die TE1 sendet dazu eine Übertragungsinformation Ü oder eine Tokeninformation (beispielsweise den Tokenwert vb selbst) an die TE2. Diese Tokeninformation kann eine Absichtserklärung von TE1 an TE2 sein, den Token Tb - beispielsweise im Rahmen einer Bezahltransaktion - zu übertragen. Daraufhin erzeugt TE2 eine neue Zufallszahl rb, die als privater Teil (das Geheimnis) eines neuen kryptografischen tokenindividuellen Schlüsselpaars dient. Durch Anwenden einer kryptografischen Einwegfunktion wird der öffentliche Teil Rb des Schlüsselpaars in der TE2 erzeugt.

Anschließend sendet TE2 den öffentlichen Teil Rb des Schlüsselpaars an TE1 zurück. Wenn TE2 bereits in Kenntnis des Tokenwerts vb ist (bspw. der im Rahmen der Bezahltransaktion zu erwartende Tokenwert oder die von TE1 bereitgestellt Tokeninformation ist der Tokenwert vb), kann TE2 auch die Tokenreferenz TRb an TE1 senden.

In der TE1 wird nun der Token T_a auf den zu übertragenden Token Tb umgeschaltet. Anschließend erfolgt das Erstellen und Senden einer Registrieranfrage RA_SigT_a von der TE1 an das TRR. Die Registrieranfrage RA enthält sodann das Kommando „SWITCH" oder einen entsprechenden Kommandocode gemäß Fig. 2a, die Eingangs- Tokenreferenz TR_a und den öffentlichen Teil Rb bzw. die Ausgangs-Tokenreferenz TRb. Diese Registrieranfrage RA wird mit der Zufallszahl r_a des Tokens T_a signiert. Die signierte Registrieranfrage RA_Sig_T_a wird von der Teilnehmereinheit TE1 an das Tokenreferenz-Register TRR gesendet. Dort wird die Signatur geprüft. Zudem wird der Tokenwert v_a mit dem Tokenwert vb verglichen. Wenn v_a = vb gilt und die Signaturprüfung erfolgreich ist, dann wird die Tokenreferenz TR_a in dem Tokenreferenz-Register TRR gelöscht oder als gelöscht markiert und die Tokenreferenz TRb in das Tokenreferenz-Register TRR eingetragen. Ab diesem Zeitpunkt ist der Token Tb auf die TE2 registriert. Der Erfolg der Registrierung wird von dem TRR an die TE1 als Registrierbestätigung RB angezeigt. Die Registrierbestätigung umfasst die Tokenreferenz TRb. Zur Absicherung des Verfahrens kann diese Registrier bestätigung mit einer Signatur des TRR versehen sein.

Die Registrierbestätigung RB kann vom TE1 an das TE2 gesendet werden, um TE2 den Erfolg der Registrierung mitzuteilen. Sodann kann TE2 nochmals die Registrierbestätigung RB validieren. Damit gilt der Token Tb mit dem Tokenwert vb und dem privaten Teil n? von TE1 an TE2 übertragen, ohne dass der Token mit beiden Tokenelementen von TE1 an TE2 übertragen werden musste.

Übertragen wird demnach der erzeugte öffentliche Teil Rb an TE1. TE1 übernimmt die Registrierung durch ein Umschaltkommando „SWITCH". Eine Bestätigung RB wird ggf. mit Signatur des TRR Sig (vb, Rb) für den erzeugten öffentliche Teil Rb und den Tokenwert vb zurückgesendet. Ein abschließendes Umschalten in der TE2 wird damit überflüssig, das Verfahren ist demnach weniger komplex.

In Fig. 5 ist ein Ausführungsbeispiel eines Ablauf diagrams eines Verfahrens zum Verbinden eines Tokens Ta mit einem Token T_e und Registrieren des verbundenen Tokens Tf im TRR gezeigt. Zudem sind die dazu benötigten signierten Registrieranfragen RA_Sig_Td und RA_Sig_Te sowie die Kommandostruktur sowohl aus Sicht der TE-Schicht als auch der TR-Schicht tabellarisch dargestellt.

Dabei wird in einer TE1 der TE-Schicht eine Zufallszahl rf erzeugt. Basierend darauf wird dann ein öffentlicher Teil Rf erzeugt. Zudem erfolgt das Bilden einer Summe aus den Tokenwerten va und v_e zum Tokenwert Vf basierend auf den Eingangs-Token Td und T_e.

Sodann wird die Ausgangs-Tokenreferenz TRf erzeugt. Eine Registrieranfrage RA enthält sodann das Kommando „MERGE" bzw. den in Fig. 6a gelisteten Kommandocode, die zwei Eingangs-Tokenreferenzen TRd und TR_e sowie die Ausgangs-Tokenreferenz TRf. Diese Registrieranfrage RA wird einmal mit der Zufallszahl ra des Tokens Td signiert, um eine erste signierte Registrieranfrage RA_Sig_Td zu erhalten. Diese Registrieranfrage wird zudem mit der Zufallszahl r_e des Tokens T_e signiert, um eine zweite signierte Registrieranfrage RA_Sig_Te zu erhalten. Beide signierte Registrieranfragen RA_Sig_Td und RA_Sig_Te werden von der Teilnehmereinheit TE1 an das Tokenreferenz-Register TRR gesendet. Dort werden jeweils die Signaturen der Registrieranfragen RA_Sig_Td und RA_Sig_Te geprüft. Zudem wird die Summe von den Tokenwerten va und v_e gebildet und mit dem Tokenwert Vf verglichen. Wenn Vf = vd + v_e gilt und beide Signaturprüfungen erfolgreich sind, dann werden TRd und TR_e in dem Tokenreferenz-Register TRR gelöscht oder als gelöscht markiert und die Tokenreferenz TRf in das Tokenreferenz-Register TRR eingetragen. Der verbundene Token Tf (der zwischenzeitlich von TE1 an TE2 übertragen wurde) kann nun von der Teilnehmereinheit TE2 im TRR auf Gültigkeit geprüft werden.

In Fig. 6 ist eine weitere Ausgestaltung eines Tokenreferenz-Registers TRR eines Transaktionssystems TS gezeigt. Hierbei ist angedeutet, dass mehrere Speichereinheiten 1 im Tokenreferenz-Register TRR vorgehalten sein können, um ein Abspeichern einer Vielzahl von Tokenreferenzen TR zu beschleunigen. Hierbei ist zudem angedeutet, dass mehrere Verifiziereinheiten 2 im Tokenreferenz-Register TRR vorgehalten sein können, um eine Verifizierung von Registrieranfragen RA zu beschleunigen. Zudem ist eine Teilnehmereinheit B-TE dargestellt, die als spezielle Bank-Teilnehmereinheit zwischen dem Tokenherausgeber TH und der Teilnehmereinheit TE1 angeordnet ist.

Zudem zeigt Fig. 6 eine Registrierungsanfrage-Einheit RAE, die von einer Teilnehmereinheit TE1 eine Folge von Registrierungsanfragen RA erhalten kann.

Es ist von Vorteil, wenn pro Teilnehmer einheit TE (hier als ein sicheres Element, bspw. Smart Card oder TEE) nur ein Token T verwendet wird. Das bedeutet, dass das TE einen erhaltenen Token T mit dem im Tokenspeicher abgelegten Token T verbindet (MERGE). Das bedeutet auch, dass das TE einen zu versendenden Token T von dem im Tokenspeicher abgelegten Token T abteilt (SPLIT). Diese Modifikationen am Token T können ohne Registrieranfrage RA durchgeführt werden und der Token T kann nach einer Modifikation sofort weitergegeben werden. Es kann also zu einer Folge von Modifikationen am Token T kommen, die dem TRR nicht bekannt sind. Typischerweise besteht die Folge von Registrieranfragen RA aus einer Kombination von SPLIT und MERGE Modifikationen. Jede dieser Modifikationen wird auch als „Proof" (siehe oben zur Fig. 1) bzw. signierte Registrieranfrage RA_Sig mit dem Token T abgespeichert. Damit entsteht in der TE eine Folge von Registrieranfragen RAF. BEZUGSZEICHENLISTE

TS Transaktionssystem

TH Tokenherausgebereinheit

TH-TG Tokengenerierungseinheit

TH-TV Tokenvernichtungseinheit

TH-TM T okenherausgeber-V erwaltungseinheit

TH-TE Tokenherausgeber-Teilnehmereinheit

AG Air Gap

TE1 Teilnehmereinheit Benutzer

B-TE Bank-Teilnehmereinheit

TRR Tokenreferenzregister

T Token

TR Tokenreferenz

R, r Tokenelementepaar

R öffentliches Tokenreferenzelement des Tokenelementpaars r geheimes Tokenelement des Tokenelementpaars v Tokenwert

HB Hinzufügungs-Bestätigung

RB Ersetzungs-Bestätigung

EB Entfernungs-Bestätigung sKEyiH privater Teil des Tokenherausgeber-Schlüsselpaars

200 Empfangen Tokengenerierungsanfrage

201 Empfangen Anfrage für neues Tokenreferenzelement

202 Erzeugen eines neuen Tokenelementpaare

203 Senden des öffentlichen Tokenreferenzelement

211 Empfangen einer Tokenerzeugungsanfrage

212 Erzeugen eines temporären Tokenelementpaares

214 Erzeugen eines Hinzufügungs-Kommandos

215 Senden des Hinzufügungs-Kommandos

218 Erzeugen eines Ersetzungs-Kommandos

219 Senden des Ersetzungs-Kommandos

221 Senden des Hinzufügungs-Kommandos an TRR

222 Hinzufügen der temporären Tokenreferenz

224 Erzeugen einer Hinzufügungs-Bestätigung

225 Empfangen der Hinzufügungs-Bestätigung von TRR 231 Senden des Ersetzungs-Kommandos an TRR

232 Ersetzen der Tokenreferenzen

234 Erzeugen einer Ersetzungs-Bestätigung

235 Empfangen der Ersetzungs-Bestätigung von TRR

237 Empfangen der Ersetzungsbestätigung

238 Speichern/ Aktivieren des neuen Token

239 Senden Bestätigung für herausgebbaren neuen Token

240 Abschluss der Generierung speichern

250 Ausgabe des neuen Token

300 Empfangen einer Tokenvernichtungsanfrage

301 Empfangen Anfrage altes Tokenreferenzelement

302 Deaktivieren alter Token

303 Senden des alten Tokenreferenzelements

311 Empfangen einer Vernichtungs- Anforderung

312 Erzeugen eines temporären Tokenelementpaares

313 Senden des temporären Tokenreferenzelements

314 Erzeugen eines Entfernen-Kommandos

315 Senden des erzeugten Kommandos

317 Empfangen des temporären Tokenreferenzelements

318 Erzeugen eines Ersetzungs-Kommandos

319 Senden des erzeugten Kommandos

321 Senden des Ersetzungs-Kommandos an TRR

322 Ersetzen der Tokenreferenzen

325 Empfangen einer Ersetzungs-Bestätigung von TRR

331 Senden des Entfernen-Kommandos

332 Entfernen der temporären Tokenreferenz

334 Erzeugen einer Entfernungsbestätigung

335 Empfangen der Entfernungsbestätigung von TRR

337 Empfangen der weitergeleiteten Entfernungsbestätigung

338 Löschen des alten Tokens

339 Empfangen Löschbestätigung

340 Abschluss der Vernichtung speichern

Claims

Patentansprüche

1. Ein Verfahren zur sicheren Generierung eines herausgebbaren Tokens durch einen Tokenherausgeber eines elektronischen Transaktionssystems (TS) mit Tokenreferenzregister (TRR), wobei in einer Tokenherausgebereinheit (TH), welche eine sichere Tokengenerierungseinheit (TH-TG) umfasst, folgende Schritte ausgeführt werden:

- Erzeugen (212) eines tokenindividuellen Tokenelementpaares, welches ein geheimes Tokenelement und ein öffentliches Tokenreferenzelement umfasst, in der sicheren Tokenerzeugungseinheit (TH-TG);

- Erzeugen (214) eines Hinzufügungs-Kommandos in der sicheren Tokenerzeugungseinheit (TH-TG), welches das Tokenreferenzregister (TRR) anweist, eine Tokenreferenz (TR), die das erzeugte öffentliche Tokenreferenzelement umfasst, als zusätzliche Tokenreferenz (TR) in dem Tokenreferenzregister (TRR) hinzuzufügen;

- Senden (221) des Hinzufügungs-Kommandos an das Tokenreferenzregister (TRR); dadurch gekennzeichnet, dass das erzeugte Tokenelementpaar ein internes, temporäres Tokenelementpaar (rtemp, Rtemp) der Tokenerzeugungseinheit (TH-TG) ist, die Tokenerzeugungseinheit (TH-TG) eine Tokenreferenz (TR_new) des herausgebbaren Tokens empfängt (211), und die Tokenerzeugungseinheit (TH-TG) ein Ersetzungs-Kommando erzeugt (218), welches das Tokenreferenzregister (TRR) anweist, anstelle der Tokenreferenz (TRtemp) des temporären Tokenelementpaares die Tokenreferenz (TR_new) des herausgebbaren Tokens (T new ) zu registrieren.

2. Das Verfahren nach Anspruch 1, wobei die Tokenherausgebereinheit (TH) eine sichere Tokenspeichereinheit (TH-TE) umfasst, wobei die sichere Tokenspeichereinheit (TH-TE) ein tokenindividuelles Tokenelementpaar des herausgebbaren Token erzeugt (202).

3. Das Verfahren nach Anspruch 1 oder 2, wobei das geheime Tokenelement (rtemp) des internen, temporären Tokenelementpaares nur in der Tokengenerierungseinheit (TH-TG) vorliegt; und/ oder das geheime Tokenelement (r_new) des herausgebbaren Token nur in der Tokengenerierungseinheit (TH-TE) vorliegt.

4. Das Verfahren nach einem der vorhergehenden Ansprüche, wobei das Hinzufügungs-Kommando und das Ersetzungskommando zusammen in einem gemeinsamen Sendeschritt an das Tokenreferenzregister (TRR) gesendet (221, 231) werden.

5. Das Verfahren nach Anspruch 4, wobei in Folge des Sendens (221, 231) eine Hinzufügungs-Bestätigung (HB) und/ oder eine Ersetzungs-Bestätigung (RB) in der Tokenherausgebereinheit (TH) empfangen (225, 235) wird.

6. Das Verfahren nach einem der vorhergehenden Ansprüche, wobei die Tokenherausgebereinheit (TH) eine sichere Tokenverwaltungseinheit (TH-TM) umfasst, wobei in der sicheren Tokenverwaltungseinheit (TH-TM) eine Tokengenerierungsanfrage empfangen (200) wird.

7. Das Verfahren nach Anspruch 6, wobei die Tokengenerierungsanfrage das öffentliche Tokenreferenzelement (Rnew) bereits umfasst.

8. Ein Verfahren zur sicheren Vernichtung eines Tokens durch einen Tokenherausgeber eines elektronischen Transaktionssystems (TS) mit Tokenreferenzregister (TRR), wobei in einer Tokenherausgebereinheit (TH), welche eine sichere Tokenvernichtungseinheit (TH-TV) umfasst, folgende Schritte ausgeführt werden:

- Erzeugen (314) eines Entfernen-Kommandos in der Tokenvernichtungseinheit (TH-TV), welches das Tokenreferenzregister (TRR) anweist, eine Tokenreferenz eines registrierten Tokens aus dem Tokenreferenzregister (TRR) zu entfernen;

- Senden (321) des Entfernen-Kommandos an das Tokenreferenzregister (TRR); dadurch gekennzeichnet, dass die Tokenvernichtungseinheit (TH-TV) vor dem Erzeugen des Entfernen- Kommandos (314) einen internen, temporärer Token (Ttemp?) erzeugt (312) und das Entfernen-Kommando für die Tokenreferenz des internen, temporären Tokens (TRtemp?) erzeugt; und

Erzeugen (318) eines Ersetzungs-Kommandos, welches das Tokenreferenzregister (TRR) anweist, anstelle der Tokenreferenz (TR_oid) des zurück zu nehmenden Tokens (T_oid) die Tokenreferenz (TRtemp?) des internen, temporären Tokens (Tt_emp2) zu registrieren.

9. Das Verfahren nach Anspruch 8, wobei die Tokenherausgebereinheit (TH) eine sichere Tokenspeichereinheit (TH-TE) umfasst, wobei die sichere Tokenspeichereinheit (TH-TE) den zurück zu nehmenden Token (T_oid) deaktiviert (202).

10. Das Verfahren nach Anspruch 8 oder 9, wobei das geheime Tokenelement (rtem_P2) des internen, temporären Tokens (Ttemp?) nur in der Tokenvernichtungseinheit (TH-TV) vorliegt.

11. Das Verfahren nach einem der vorhergehenden Ansprüche 8 bis 10, wobei das Entfernen-Kommando und das Ersetzungskommando zusammen in einem gemeinsamen Sendeschritt an das Tokenreferenzregister (TRR) gesendet (321, 331) werden.

12. Das Verfahren nach Anspruch 11, wobei in Folge des Sendens (321, 331) eine Entfernungs-Bestätigung (EB) und/ oder eine Ersetzungs-Bestätigung (RB) in der Tokenherausgebereinheit (TH) empfangen (325, 335) wird.

13. Das Verfahren nach einem der vorhergehenden Ansprüche, wobei die Tokenherausgebereinheit (TH) eine sichere Tokenverwaltungseinheit (TH-TM) umfasst, wobei in der Tokenverwaltungseinheit eine Token Vernichtungsanfrage empfangen (300) wird.

14. Tokenherausgebereinheit (TH) umfassend: eine Schnittstelle zu einem Tokenreferenzregister (TRR); und eine sichere Tokengenerierungseinheit (TH-TG) zur sicheren Generierung eines herausgebbaren Tokens mittels eines Verfahrens gemäß einem der vorhergehenden Ansprüche 1 bis 7; und/ oder eine sichere Tokenvernichtungseinheit (TH-TV) zur sicheren Vernichtung eines Tokens mittels eines Verfahrens gemäß einem der vorhergehenden Ansprüche 8 bis 13.

15. Tokenherausgebereinheit (TH) nach Anspruch 14, weiter umfassend: eine Tokenherausgeber-Teilnehmereinheit (TH-TE), eingerichtet zum

Ablegen von Token und/ oder Tokenreferenzen; und eine Schnittstelle zu einer Bank-Teilnehmereinheit (B-TE) oder zu einer Zentralbankeinheit, eingerichtet zum Empfangen (200) einer Tokengenerierungsanfrage und/ oder zum Empfangen (300) einer Tokenvernichtungsanfrage.

16. Tokenherausgebereinheit (TH) nach Anspruch 14 oder 15, umfassend - eine Tokenverwaltungseinheit (TH-TM) mit einer Schnittstelle zu einer Bank-

Teilnehmereinheit (B-TE) oder zu einer Zentralbankeinheit oder einer Tokenherausgeber-Teilnehmereinheit (TH-TE), eingerichtet zum:

- Ausgeben (250) des herausgebbaren Tokens (T_new); und/ oder

- Speichern eines Abschlusses der sicheren Vernichtung des Tokens (T_oid) und/oder

- Speichern eines Abschlusses der sicheren Generierung des herausgebbaren Tokens (T new).

17. Tokenherausgebereinheit (TH) gemäß einem der Ansprüche 14 bis 16, weiter umfassend eine Air-Gap-Schnittstelle zwischen der Tokenverwaltungseinheit (TH- TM) und der sicheren Tokengenerierungseinheit (TH-TG) und/ oder der sicher Tokenvernichtungseinheit (TH-TV) .