Übersicht Stand der Forschung Ziele des Projekts Links

Übersicht

Im Zeitalter des Electronic Commerce spielt die sichere und anonyme Bezahlung in öffentlichen Netzen wie z.B. dem Internet ein entscheidende Rolle. Das Konzept der digitalen Geldbörse bietet sowohl Fälschungssicherheit als auch Anonymität; dabei ist eine digitale Geldbörse eine Kombination von Software und Hardware, die die Gesamtsicherheit des Systems gewährleisten soll. Dieses Projekt behandelt im wesentlichen zwei Punkte:

• Münzsysteme und ihre Eigenschaften werden auf hohem begrifflichen Niveau auf der Basis von kryptographischen Grundmechanismen beschrieben. Damit wird nicht nur eine grundsätzliche Sicherheitsanalyse möglich, sondern es werden auch Wege zur Entwicklung von Alternativlösungen aufgezeigt.
  
  
• Das Grundproblem bei digitalen Münzen ist die prinzipielle Möglichkeit einer Mehrfachausgabe. Dies wird durch einen sogenannten Observer verhindert. Ausgehend von einer begrifflichen Beschreibung wird untersucht, inwieweit die Observerfunktionalität in bestehende Systeme integriert werden kann bzw. wie diese Systeme weiterentwickelt werden müssen.

Stand der Forschung

Digitale Signatur und digitales Bezahlen

Die Informations- und Kommunikationstechnik wird in den nächsten Jahren die Wirtschaft, aber auch das Privatleben in bislang unvorstellbarem Ausmaß prägen. Ein wesentlicher Bereich der zukünftigen Entwicklung werden digitale Transaktionen (electronic commerce) sein. Dazu ist es unabdingbar, adäquate Zahlungssysteme zu entwickeln. Solche Zahlungssysteme müssen vor allem zwei Eigenschaften erfüllen: Zum einen müssen sie die digitale Übertragung des Geldwertes ermöglichen, zum anderen müssen sie das gleiche Sicherheitsniveau bieten wie herkömmliche nichtdigitale Zahlungsmittel.

Grundsätzlich ist zu jedem nichtdigitalen Zahlungsmittel, sei es eine Kreditkarte, ein Scheck, ein Gutschein oder Bargeld, ein digitales Pendant denkbar. Besonders einfach ist die Umsetzung von Scheck- oder Kreditkartensystemen, weil hierbei anders als bei Münz- oder Scheingeld nur mit Daten bezahlt wird, genauer gesagt werden die Kreditkartendaten des Zahlenden übertragen. 
Die Sicherheit einer solchen Zahlung läßt sich dadurch erreichen, daß der Kommunikationskanal kryptographisch abgesichert wird, so daß Authentizität, Vertraulichkeit und Verbindlichkeit (non-repudiation) gewährleistet sind. Ein Beispiel für ein solches Zahlungssystem ist das bekannte Protokoll Secure Electronic Transaction (SET) von MasterCard und VISA.

Der wichtigste Grundbaustein einer solchen kryptographischen Absicherung ist die digitale Signatur. Basierend auf einer Idee von Diffie und Hellman aus dem Jahr 1976 haben R. Rivest, A. Shamir und L. Adleman 1978 ein Verfahren vorgeschlagen, das sich mathematische Mechanismen zunutze macht, um ein digitales Äquivalent zur handschriftlichen Unterschrift zu erreichen. Der RSA-Algorithmus, so benannt nach seinen Erfindern, ist der wohl bekannteste und meist verwendete der modernen Kryptographie. Jeder Teilnehmer eines Kommunikationsnetzes besitzt hierbei einen ge-heimen Signierschlüssel, mit dem er Unterschriften erzeugen kann, und einen öffentlichen, jedem anderen Teilnehmer zugänglichen Verifikationsschlüssel, anhand dessen die Echtheit einer Signatur geprüft wird. Das Charakteristikum eines derartigen Verfahrens ist, daß es für jeden Teilnehmer ei-nen öffentlichen Schlüssel gibt; sie werden daher im Gegensatz zu den Methoden der klassischen Kryptographie, die nur geheime Schlüssel kennt, Public-key-Verfahren genannt.

Zusammen mit den Public-key-Verschlüsselungsverfahren ermöglicht die digitale Signatur sichere Kreditkartensysteme. Die Daten werden vom Anwender signiert und anschließend verschlüsselt, so daß nur der befugte Empfänger in der Lage ist, die Daten zu entschlüsseln und zu lesen und sich außerdem anhand der Signatur von der Authentizität überzeugen kann.

Bezahlungen mit Kreditkarte besitzen jedoch einen wesentlichen Nachteil, denn sie finden niemals anonym statt. Kreditkarteninstitute können über ihre Kunden detaillierte Profile erstellen. Es stellt sich die Frage, ob sich nicht alternativ zu Kreditkartenzahlungen ein Weg finden läßt, in einem offenen Computernetz in einer Weise zu bezahlen, die analog zum Bezahlen mit Bargeld ist. Ein solches Analogon zu Münz- und Scheingeld muß die folgenden Eigenschaften haben:

• Fälschungssicherheit,
• Verifizierbarkeit der Echtheit,
• Anonymität des Geldes: Es kann zwischen einer Münze und der Person, die sie ausgegeben hat, kein Zusammenhang hergestellt werden. 

Ein digitales Zahlungssystem, das diese drei Merkmale besitzt, bezeichnet man in Anlehnung an her-kömmliches Bargeld als Münzsystem.
Die ersten beiden Eigenschaften lassen sich durch eine digitale Signatur erreichen. Die Bank unterschreibt einen Datensatz, der zum Beispiel eine Seriennummer der Münze o.ä. enthalten könnte. (Wir gehen von einem vereinfachten Modell aus, in dem es nur eine Bank gibt.) Die Signatur kann nur von der Bank erstellt werden, und ihre Echtheit ist anhand des öffentlichen Schlüssels von jedem überprüfbar. Der Besitzer der Münze hat nicht die Möglichkeit den unterschriebenen Datensatz nachträglich zu ändern, das bedeutet, daß er aus einer vorhandenen Münze keine neue Münze erzeugen kann. Dabei stellt sich jedoch immer das Problem, daß der Unterzeichnende den Datensatz kennt, den er unterschreibt, so daß sich auf diese Weise keine Anonymität erreichen läßt.

Blinde Signaturen und digitales Geld

Die entscheidende Grundidee zur Umsetzung von digitalem Münzgeld stammt von D. Chaum aus dem Jahre 1985. Er greift dabei auf das Konzept der blinden digitalen Signatur zurück. Eine blinde digitale Signatur hat zunächst die gleichen Eigenschaften wie eine „normale” Signatur, das heißt sie ist fälschungssicher, für jeden verifizierbar und unleugbar. Der wesentliche Unterschied besteht darin, daß der Unterschreibende keine Information darüber besitzt, welches Dokument er unterschrie-ben hat und wie seine Signatur aussieht. Man beachte, daß es sich hierbei nicht um eine Blankoun-terschrift handelt, denn obwohl der Unterschreibende das Dokument nicht kennt, kann es dennoch nach dem Signieren nicht verändert werden.

Eine weitere wünschenswerte Eigenschaft eines Münzsystems ist, daß die Bezahlung mit einer Münze offline, das bedeutet ohne Zuhilfenahme der Bank, geschehen soll. Andernfalls müssen Händler für jede Bezahlung, die sie erhalten, eine Verbindung zur Bank aufbauen. Dies kostet nicht nur Zeit, sondern ist vor allem aus Kostengründen nicht sinnvoll. Für die Verifikation der Echtheit einer Mün-ze ist eine online-Verbindung auch nicht notwendig, da es für jedermann möglich ist die Echtheit der Signatur der Bank festzustellen. Allerdings fehlt den digitalen Münzen die Originalität. Jeder Besitzer einer Münze kann diese beliebig oft kopieren, wobei zwischen Original und Kopie keinerlei Unterschied besteht. Daher ist es auch möglich, daß jemand eine Münze mehrfach ausgibt, da die Emp-fänger des Geldes eine Kopie nicht erkennen können. Man spricht in diesem Zusammenhang auch von einem Double-spending einer Münze.

Es gibt zwei mögliche Lösungswege für diese Situation: Zum einen kann man auf online-Verfahren zurückgreifen. Der Händler kann selbst die Echtheit einer Münzsignatur überprüfen, wohingegen er die Originalität feststellt, indem er während der Bezahlung die Bank kontaktiert. Dies bedeutet, daß der Mechanismus der blinden Signatur in einem online-System ausreicht, um ein Münzsystem zu konstruieren.

Weitaus komplexer ist die Situation, wenn dennoch ein offline-Verfahren eingesetzt werden soll. Hierbei wird die Identität des Münzbesitzers so in die Münze eingebettet, dass jemand, der eine Münze mehr als einmal ausgegeben hat, nachträglich von der Bank entdeckt werden kann. 

Observer

Das Entdecken eines Double-Spending im Nachhinein kann keine befriedigende Lösung sein. Es wäre besser, die Besitzer von Münzen von vornherein daran zu hindern, ihre Münzen zu kopieren. Hiermit ist nicht gemeint, daß es nicht einen Schutz vor dem Verlust von Münzen durch technische Defekte geben sollte, wie beispielsweise einem Back-up der Münzen. Ziel ist es, Münzen so zu speichern, daß der Kunde keine Kopie erzeugen kann, die ihm ein mehrfaches Ausgeben ermöglicht, sondern nur gewisse Informationen kopieren kann, die ihm das Einlösen des Geldes bei einem technischen Ausfall gestatten.
Um das Erzeugen von Kopien zu verhindern, die für ein Double-spending genutzt werden können, kann man die Münzen in einer Umgebung speichern, die für die Kunden nicht auslesbar oder manipulierbar ist. Dies könnte beispielsweise in einer Chipkarte geschehen. Dies führt allerdings zu einer Schwächung der Anonymität, denn der Kunde kann nicht mehr überprüfen, ob die Münzen tatsächlich blind signiert worden sind oder nicht, da er keine Kontrolle über die Chipkarte hat. 
Dem kann man dadurch begegnen, daß man ein „tamper proof hardware device” (TPHD, d.h. ein unmanipulierbares Medium) nicht als Speichermedium, sondern als Observer oder Guardian einsetzt. Dieses Konzept stammt von Chaum und Pedersen. Das tamper proof hardware device ist nicht im Besitz der Münze, sondern speichert nur einen bestimmten Anteil der Münze. 

Verschiedene Systeme wiedas von Brands oder Ferguson haben ein solches tamper proof hardware device integriert. Es handelt sich dabei stets um spezielle Lösungen, die sich nicht auf andere Systeme übertragen lassen.

Bemerkung. Häufig findet man in der Literatur den Ausdruck „digitale Geldbörse” oder „elektronische Brieftasche”, die höchst unterschiedliche Dinge bezeichnen. Das Spektrum reicht von reinen Softwarelösungen, die es ermöglichen, digitale Münzen zu erzeugen und auszugeben, bis hin zu Hardwarelösungen, das heißt Geldkarten, die einen bestimmten Betrag speichern und bei einer Bezahlung den gewünschten Wert abbuchen. 

Wir verwenden den Begriff „digitale Geldbörse”, wenn wir von Münzsystemen sprechen, die eine zusätzliche Hardware benutzen. Innerhalb des Projektes konzentrieren wir uns auf digitale Geldbörsen, die als zusätzliche Hardware nur einen Observer verwenden.
 

Zusätzliche Eigenschaften

Es gibt einige zusätzlich wünschenswerte Eigenschaften, die man sich bei digitalem Münzgeld vorstellen kann. Im wesentlichen sind das Übertragbarkeit, Teilbarkeit und Fairnessvon Münzen.

(1) Übertragbarkeit

Die meisten Münzsysteme betrachten nur einen stark vereinfachten Kreislauf einer Münze. Der Kunde hebt sie bei der Bank ab, bezahlt bei einem Händler damit und zuletzt löst der Händler sie wieder bei der Bank ein. 
Man kann auch ein komplexeres Modell betrachten, in dem eine Münze erst eine Reihe von Besitzern hat, bevor sie bei der Bank eingelöst wird. Solche Münzen nennt man übertragbar. Bei online-Verfahren bedeutet die Übertragbarkeit automatisch einen Verlust der Anonymität der Münzen. Jeder Empfänger einer Münze muß bei der Bank erfragen, ob dieMünze gültig ist oder nicht. Will der Empfänger dieselbe Münze zu einem späteren Zeitpunkt selbst ausgegeben, so wird wiederum die Bank nach der Originalität der Münze gefragt. Damit die Bank unterscheiden kann, ob hier der ursprüngliche Besitzer ein Double-spending betreibt oder der neue rechtmäßige Besitzer die Münze ausgibt, muß sie den Besitzer der Münze identifizieren können. Daher kann die Münze nach dem Übertragen nicht mehr anonym ausgegeben werden. Außerdem stellt sich die Frage, was passiert, wenn jemand eine Münze erhält, die schon einmal in seinem Besitz war. Versucht er die Münze bei der Bank einzulösen, so wird diese ihn des Double-spending bezichtigen.
In offline-Systemen hingegen ist die Bank an den Bezahlungen nicht beteiligt, so daß eine Übertragbarkeit von Münzen hier durchaus sinnvoll sein kann. Die interessanteste Veröffentlichung auf diesem Gebiet ist sicherlich der Artikel von Chaum und Pedersen, in dem gezeigt wird, daß innerhalb eines gewissen Modells von Übertragbarkeit diese nur auf Kosten der Effizienz und der Anonymität zu erreichen ist.

(2) Fairness

Die Anonymität, die ein Münzsystem den Kunden gewährleistet, basiert häufig auf komplexitätsthe-oretischen Annahmen. In manchen Systemen, insbesondere den online-Systemen, ist sie sogar bedin-gungslos garantiert. Damit wird dieses Geld für kriminellen Mißbrauch wie Geldwäsche, perfekte Erpressungen u.ä. attraktiv. 
Normale Geldscheine verfügen über eindeutige Seriennummern, die eine Rückverfolgung von Geld erlauben. Das bedeutet nichts anderes, als daß im Bedarfsfall, also zum Beispiel bei einer Erpressung, die Anonymität des Geldes aufgehoben werden kann. 
In digitalen Geldsystemen ist dies so ohne weiteres nicht möglich, denn die Anonymität läßt sich nur aufheben, wenn man ein aus der Sicht der Komplexitätstheorie schwieriges Problem löst, wie zum Beispiel die Faktorisierung oder das diskrete Logarithmusproblem. In den Systemen, die eine bedin-gungslose Anonymität besitzen, gibt es überhaupt keine Möglichkeit, die Identität eines Kunden festzustellen. 
Digitale Geldsysteme, die zusätzliche Maßnahmen ergreifen, um die Anonymität der Kunden so sicherzustellen, daß im Verdachtsfall eine vertrauenswürdige Instanz (TTP) sie aufheben kann, werden als fair bezeichnet. 

(3) Teilbarkeit

Man kann Münzen von verschiedenem Wert erreichen, indem die Bank verschiedene öffentliche Schlüssel publiziert, mit denen die Signatur der Münze verifiziert wird. 
Kann ein Kunde nicht passend zahlen, so gibt es für ein System verschiedene Möglichkeiten mit dieser Situation umzugehen:

• Der Händler gibt dem Kunden Wechselgeld heraus. Damit ein Kunde die eingewechselten Mün-zen selbst benutzen kann und nicht erst bei der Bank einlösen muß, setzt diese Vorgehensweise übertragbare Münzen voraus.
  
  
• Der Kunde kann eine Münze mit einem bestimmten Wert in mehrere Münzen von geringerem Wert aufteilen, so daß die Summe den Ausgangswert liefert. Ist dieses Verfahren möglich, so spricht man von der Teilbarkeit von Münzen.

Es gibt mehrere Systeme, die teilbare Münzen verwirklichen. Auch dies sind nur Lösungen für Spezialfälle, die sich im wesentlichen die Homomorphie der RSA-Signatur zunutze machen.
Sämtliche Lösungsvorschläge besitzen das folgende Problem: Münzsysteme ohne Teilbarkeit sichern den Kunden einen sehr hohen Grad an Anonymität, nämlich die Unverknüpfbarkeit von Münzen. Das bedeutet nicht nur, daß die Bank von einer bestimmten Münze nicht sagen kann, welcher ihrer Kunden sie ausgegeben hat, sondern sie kann bei zwei vorliegenden Münzen nicht einmal entscheiden, ob sie von derselben Person ausgegeben worden sind. Diese Unverknüpfbarkeit von Münzen konnte bisher in Systemen mit Teilbarkeit nicht aufrecht erhalten werden. 

Ziele des Projekts

Ziel des Projektes ist es, ein Konzept für eine digitale Geldbörse zu entwerfen, das sowohl die Sicherheitsbedürfnisse der Banken nach Fälschungssicherheit und zentraler Erzeugbarkeit als auch die Sicherheitsbedürfnisse der Kunden nach Anonymität und Echtheitsüberprüfbarkeit erfüllt. Die digitale Geldbörse soll außerdem alle für die Praxis wünschenswerten Eigenschaften besitzen, das heißt sie soll kundenfreundlich sein in dem Sinne, dass sie vorteilhafte Eigenschaften wie zum Beispiel die Übertragbarkeit besitzt, und sie soll resistent gegen kriminellen Missbrauch durch Kunden wie Erpressungen oder Geldwäsche sein, wozu es notwendig ist, die Anonymität der Kunden im Bedarfsfall aufheben zu können. 

Verschiedene theoretische Untersuchen haben wir bereits abgeschlossen. Dazu gehören Konzepte für die Übertragbarkeit und Fairness von digitalen Geldbörsen. 
Da die gängigen Konzepte zur Umsetzung von Fairness nicht sehr effizient sind, untersuchen wir im Augenblick Alternativen zu den bisher vorgestellten Verfahren. Unser Ansatz ist, perfekt blinde Signaturen durch rechnerisch blinde Signaturen zu ersetzen und so auf einfachere Weise Fairness integrieren zu können. Eine Dissertation aus der Arbeitsgruppe  beschäftigt sich mit der Theorie der blinden Signaturen.
Außerdem sollen verschiedene Wechselgeldkonzepte hinsichtlich ihrer Sicherheit und Effizienz untersucht werden.

Unsere theoretischen Arbeiten werden wir schrittweise auch praktisch umsetzen. Auf der CeBIT 03 präsentieren wir eine Implementation eines Münzsystems (basierend auf elliptischen Kurven) auf einem mobilen Endgerät. Unser Ziel ist es, diese Implementierung zu eienr Geldbörse mit Übertragbarkeit und Fairness zu erweitern.

Links

Folien zum Projekt "Digitale Geldbörse"

CeBIT 2003

Universität Gießen

Deutsche Forschungsgemeinschaft

Schwerpunktprogramm Sicherheit in der Informations- und Kommunikationstechnik  

Zurück zum Anfang