Inhalt Übersicht Kontakt Mitarbeiter Stand der Forschung Ziele des Projekts

Übersicht  Im Zeitalter des Electronic Commerce spielt die sichere und anonyme Bezahlung in öffentlichen Netzen wie z.B. dem Internet ein entscheidende Rolle. Das Konzept der digitalen Geldbörse bietet sowohl Fälschungssicherheit als auch Anonymität; dabei ist eine digitale Geldbörse eine Kombination von Software und Hardware, die die Gesamtsicherheit des Systems gewährleisten soll. Dieses Projekt behandelt im wesentlichen zwei Punkte: Münzsysteme und ihre Eigenschaften werden auf hohem begrifflichen Niveau auf der Basis von kryptographischen Grundmechanismen beschrieben. Damit wird nicht nur eine grundsätzliche Si-cherheitsanalyse möglich, sondern es werden auch Wege zur Entwicklung von Alternativlösungen aufgezeigt.  Das Grundproblem bei digitalen Münzen ist die prinzipielle Möglichkeit einer Mehrfachausgabe. Dies wird durch einen sogenannten Observer verhindert. Ausgehend von einer begrifflichen Be-schreibung wird untersucht, inwieweit die Observerfunktionalität in bestehende Systeme integriert werden kann bzw. wie diese Systeme weiterentwickelt werden müssen. Zurück zum Anfang Kontakt Prof. Dr. Albrecht Beutelspacher Mathematisches Institut Justus-Liebig-Universität Arndtstraße 2 35392 Gießen Tel.: (0641) 99 320 80  Fax: (0641) 99 32029 Albrecht.Beutelspacher@math.uni-giessen.de http://www.uni-giessen.de/beutelspacher/ Zurück zum Anfang Mitarbeiter   Dipl.-Math. Christine Fremdt Christine.Fremdt@math.uni-giessen.de Dr. Heike Neumann  Heike.B.Neumann@math.uni-giessen.de Jörn Schweisgut Joern.Schweisgut@math.uni-giessen.de Christian Tobias Christian.Tobias@math.uni-giessen.de Wir sind zu erreichen unter: Mathematisches Institut Justus-Liebig-Universität Arndtstraße 2 35392 Gießen Tel.: (0641) 99 32135 Fax: (0641) 99 32029 Zurück zum Anfang Stand der Forschung Digitale Signatur und digitales Bezahlen Die Informations- und Kommunikationstechnik wird in den nächsten Jahren die Wirtschaft, aber auch das Privatleben in bislang unvorstellbarem Ausmaß prägen. Ein wesentlicher Bereich der zukünftigen Entwicklung werden digitale Transaktionen (electronic commerce) sein. Dazu ist es unabdingbar, adäquate Zahlungssysteme zu entwickeln. Solche Zahlungssysteme müssen vor allem zwei Eigenschaften erfüllen: Zum einen müssen sie die digitale Übertragung des Geldwertes ermöglichen, zum anderen müssen sie das gleiche Sicherheitsniveau bieten wie herkömmliche nichtdigitale Zahlungsmittel. Grundsätzlich ist zu jedem nichtdigitalen Zahlungsmittel, sei es eine Kreditkarte, ein Scheck, ein Gutschein oder Bargeld, ein digitales Pendant denkbar. Besonders einfach ist die Umsetzung von Scheck- oder Kreditkartensystemen, weil hierbei anders als bei Münz- oder Scheingeld nur mit Daten bezahlt wird, genauer gesagt werden die Kreditkartendaten des Zahlenden übertragen.  Die Sicherheit einer solchen Zahlung läßt sich dadurch erreichen, daß der Kommunikationskanal kryptographisch abgesichert wird, so daß Authentizität, Vertraulichkeit und Verbindlichkeit (non-repudiation) gewährleistet sind. Ein Beispiel für ein solches Zahlungssystem ist das bekannte Protokoll Secure Electronic Transaction (SET) von MasterCard und VISA.  Der wichtigste Grundbaustein einer solchen kryptographischen Absicherung ist die digitale Signatur. Basierend auf einer Idee von Diffie und Hellman aus dem Jahr 1976 haben R. Rivest, A. Shamir und L. Adleman 1978 ein Verfahren vorgeschlagen, das sich mathematische Mechanismen zunutze macht, um ein digitales Äquivalent zur handschriftlichen Unterschrift zu erreichen. Der RSA-Algorithmus, so benannt nach seinen Erfindern, ist der wohl bekannteste und meist verwendete der modernen Kryptographie. Jeder Teilnehmer eines Kommunikationsnetzes besitzt hierbei einen ge-heimen Signierschlüssel, mit dem er Unterschriften erzeugen kann, und einen öffentlichen, jedem anderen Teilnehmer zugänglichen Verifikationsschlüssel, anhand dessen die Echtheit einer Signatur geprüft wird. Das Charakteristikum eines derartigen Verfahrens ist, daß es für jeden Teilnehmer ei-nen öffentlichen Schlüssel gibt; sie werden daher im Gegensatz zu den Methoden der klassischen Kryptographie, die nur geheime Schlüssel kennt, Public-key-Verfahren genannt. Zusammen mit den Public-key-Verschlüsselungsverfahren ermöglicht die digitale Signatur sichere Kreditkartensysteme. Die Daten werden vom Anwender signiert und anschließend verschlüsselt, so daß nur der befugte Empfänger in der Lage ist, die Daten zu entschlüsseln und zu lesen und sich außerdem anhand der Signatur von der Authentizität überzeugen kann. Bezahlungen mit Kreditkarte besitzen jedoch einen wesentlichen Nachteil, denn sie finden niemals anonym statt. Kreditkarteninstitute können über ihre Kunden detaillierte Profile erstellen. Es stellt sich die Frage, ob sich nicht alternativ zu Kreditkartenzahlungen ein Weg finden läßt, in einem offenen Computernetz in einer Weise zu bezahlen, die analog zum Bezahlen mit Bargeld ist. Ein solches Analogon zu Münz- und Scheingeld muß die folgenden Eigenschaften haben: Fälschungssicherheit, Verifizierbarkeit der Echtheit, Anonymität des Geldes: Es kann zwischen einer Münze und der Person, die sie ausgegeben hat, kein Zusammenhang hergestellt werden.  Ein digitales Zahlungssystem, das diese drei Merkmale besitzt, bezeichnet man in Anlehnung an her-kömmliches Bargeld als Münzsystem. Die ersten beiden Eigenschaften lassen sich durch eine digitale Signatur erreichen. Die Bank unterschreibt einen Datensatz, der zum Beispiel eine Seriennummer der Münze o.ä. enthalten könnte. (Wir gehen von einem vereinfachten Modell aus, in dem es nur eine Bank gibt.) Die Signatur kann nur von der Bank erstellt werden, und ihre Echtheit ist anhand des öffentlichen Schlüssels von jedem überprüfbar. Der Besitzer der Münze hat nicht die Möglichkeit den unterschriebenen Datensatz nachträglich zu ändern, das bedeutet, daß er aus einer vorhandenen Münze keine neue Münze erzeugen kann. Dabei stellt sich jedoch immer das Problem, daß der Unterzeichnende den Datensatz kennt, den er unterschreibt, so daß sich auf diese Weise keine Anonymität erreichen läßt.  Blinde Signaturen und digitales Geld Die entscheidende Grundidee zur Umsetzung von digitalem Münzgeld stammt von D. Chaum aus dem Jahre 1985. Er greift dabei auf das Konzept der blinden digitalen Signatur zurück. Eine blinde digitale Signatur hat zunächst die gleichen Eigenschaften wie eine „normale” Signatur, das heißt sie ist fälschungssicher, für jeden verifizierbar und unleugbar. Der wesentliche Unterschied besteht darin, daß der Unterschreibende keine Information darüber besitzt, welches Dokument er unterschrie-ben hat und wie seine Signatur aussieht. Man beachte, daß es sich hierbei nicht um eine Blankoun-terschrift handelt, denn obwohl der Unterschreibende das Dokument nicht kennt, kann es dennoch nach dem Signieren nicht verändert werden.  Eine weitere wünschenswerte Eigenschaft eines Münzsystems ist, daß die Bezahlung mit einer Münze offline, das bedeutet ohne Zuhilfenahme der Bank, geschehen soll. Andernfalls müssen Händler für jede Bezahlung, die sie erhalten, eine Verbindung zur Bank aufbauen. Dies kostet nicht nur Zeit, sondern ist vor allem aus Kostengründen nicht sinnvoll. Für die Verifikation der Echtheit einer Mün-ze ist eine online-Verbindung auch nicht notwendig, da es für jedermann möglich ist die Echtheit der Signatur der Bank festzustellen. Allerdings fehlt den digitalen Münzen die Originalität. Jeder Besitzer einer Münze kann diese beliebig oft kopieren, wobei zwischen Original und Kopie keinerlei Unterschied besteht. Daher ist es auch möglich, daß jemand eine Münze mehrfach ausgibt, da die Emp-fänger des Geldes eine Kopie nicht erkennen können. Man spricht in diesem Zusammenhang auch von einem Double-spending einer Münze.  Es gibt zwei mögliche Lösungswege für diese Situation: Zum einen kann man auf online-Verfahren zurückgreifen. Der Händler kann selbst die Echtheit einer Münzsignatur überprüfen, wohingegen er die Originalität feststellt, indem er während der Bezahlung die Bank kontaktiert. Dies bedeutet, daß der Mechanismus der blinden Signatur in einem online-System ausreicht, um ein Münzsystem zu konstruieren.  Weitaus komplexer ist die Situation, wenn dennoch ein offline-Verfahren eingesetzt werden soll. Hierbei wird die Identität des Münzbesitzers so in die Münze eingebettet, daß jemand, der eine Münze mehr als einmal ausgegeben hat, nachträglich von der Bank entdeckt werden kann.    Observer Das Entdecken eines Double-spending im nachhinein kann keine befriedigende Lösung sein. Es wäre besser, die Besitzer von Münzen von vornherein daran zu hindern, ihre Münzen zu kopieren. Hiermit ist nicht gemeint, daß es nicht einen Schutz vor dem Verlust von Münzen durch technische Defekte geben sollte, wie beispielsweise einem Back-up der Münzen. Ziel ist es, Münzen so zu speichern, daß der Kunde keine Kopie erzeugen kann, die ihm ein mehrfaches Ausgeben ermöglicht, sondern nur gewisse Informationen kopieren kann, die ihm das Einlösen des Geldes bei einem technischen Ausfall gestatten. Um das Erzeugen von Kopien zu verhindern, die für ein Double-spending genutzt werden können, kann man die Münzen in einer Umgebung speichern, die für die Kunden nicht auslesbar oder manipulierbar ist. Dies könnte beispielsweise in einer Chipkarte geschehen. Dies führt allerdings zu einer Schwächung der Anonymität, denn der Kunde kann nicht mehr überprüfen, ob die Münzen tatsächlich blind signiert worden sind oder nicht, da er keine Kontrolle über die Chipkarte hat.  Dem kann man dadurch begegnen, daß man ein „tamper proof hardware device” (TPHD, d.h. ein unmanipulierbares Medium) nicht als Speichermedium, sondern als Observer oder Guardian einsetzt. Dieses Konzept stammt von Chaum und Pedersen. Das tamper proof hardware device ist nicht im Besitz der Münze, sondern speichert nur einen bestimmten Anteil der Münze.  Verschiedene Systeme wiedas von Brands oder Ferguson haben ein solches tamper proof hardware device integriert. Es handelt sich dabei stets um spezielle Lösungen, die sich nicht auf andere Systeme übertragen lassen. Bemerkung. Häufig findet man in der Literatur den Ausdruck „digitale Geldbörse” oder „elektronische Brieftasche”, die höchst unterschiedliche Dinge bezeichnen. Das Spektrum reicht von reinen Softwarelösungen, die es ermöglichen, digitale Münzen zu erzeugen und auszugeben, bis hin zu Hardwarelösungen, das heißt Geldkarten, die einen bestimmten Betrag speichern und bei einer Bezahlung den gewünschten Wert abbuchen.  Wir verwenden den Begriff „digitale Geldbörse”, wenn wir von Münzsystemen sprechen, die eine zusätzliche Hardware benutzen. Innerhalb des Projektes konzentrieren wir uns auf digitale Geldbör-sen, die als zusätzliche Hardware nur einen Observer verwenden.   Zusätzliche Eigenschaften Es gibt einige zusätzlich wünschenswerte Eigenschaften, die man sich bei digitalem Münzgeld vorstellen kann. Im wesentlichen sind das Übertragbarkeit, Teilbarkeit und Fairneß von Münzen. (1) Übertragbarkeit Die meisten Münzsysteme betrachten nur einen stark vereinfachten Kreislauf einer Münze. Der Kun-de hebt sie bei der Bank ab, bezahlt bei einem Händler damit und zuletzt löst der Händler sie wieder bei der Bank ein.  Man kann auch ein komplexeres Modell betrachten, in dem eine Münze erst eine Reihe von Besitzern hat, bevor sie bei der Bank eingelöst wird. Solche Münzen nennt man übertragbar. Bei online-Verfahren bedeutet die Übertragbarkeit automatisch einen Verlust der Anonymität der Münzen. Jeder Empfänger einer Münze muß bei der Bank erfragen, ob dieMünze gültig ist oder nicht. Will der Empfänger dieselbe Münze zu einem späteren Zeitpunkt selbst ausgegeben, so wird wiederum die Bank nach der Originalität der Münze gefragt. Damit die Bank unterscheiden kann, ob hier der ur-sprüngliche Besitzer ein Double-spending betreibt oder der neue rechtmäßige Besitzer die Münze ausgibt, muß sie den Besitzer der Münze identifizieren können. Daher kann die Münze nach dem Übertragen nicht mehr anonym ausgegeben werden. Außerdem stellt sich die Frage, was passiert, wenn jemand eine Münze erhält, die schon einmal in seinem Besitz war. Versucht er die Münze bei der Bank einzulösen, so wird diese ihn des Double-spending bezichtigen. In offline-Systemen hingegen ist die Bank an den Bezahlungen nicht beteiligt, so daß eine Übertragbarkeit von Münzen hier durchaus sinnvoll sein kann. Die interessanteste Veröffentlichung auf diesem Gebiet ist sicherlich der Artikel von Chaum und Pedersen, in dem gezeigt wird, daß innerhalb eines gewissen Modells von Übertragbarkeit diese nur auf Kosten der Effizienz und der Anonymität zu erreichen ist. (2) Fairneß Die Anonymität, die ein Münzsystem den Kunden gewährleistet, basiert häufig auf komplexitätsthe-oretischen Annahmen. In manchen Systemen, insbesondere den online-Systemen, ist sie sogar bedin-gungslos garantiert. Damit wird dieses Geld für kriminellen Mißbrauch wie Geldwäsche, perfekte Erpressungen u.ä. attraktiv.  Normale Geldscheine verfügen über eindeutige Seriennummern, die eine Rückverfolgung von Geld erlauben. Das bedeutet nichts anderes, als daß im Bedarfsfall, also zum Beispiel bei einer Erpressung, die Anonymität des Geldes aufgehoben werden kann.  In digitalen Geldsystemen ist dies so ohne weiteres nicht möglich, denn die Anonymität läßt sich nur aufheben, wenn man ein aus der Sicht der Komplexitätstheorie schwieriges Problem löst, wie zum Beispiel die Faktorisierung oder das diskrete Logarithmusproblem. In den Systemen, die eine bedin-gungslose Anonymität besitzen, gibt es überhaupt keine Möglichkeit, die Identität eines Kunden festzustellen.  Digitale Geldsysteme, die zusätzliche Maßnahmen ergreifen, um die Anonymität der Kunden so sicherzustellen, daß im Verdachtsfall eine vertrauenswürdige Instanz (TTP) sie aufheben kann, werden als fair bezeichnet.  (3) Teilbarkeit Man kann Münzen von verschiedenem Wert erreichen, indem die Bank verschiedene öffentliche Schlüssel publiziert, mit denen die Signatur der Münze verifiziert wird.  Kann ein Kunde nicht passend zahlen, so gibt es für ein System verschiedene Möglichkeiten mit dieser Situation umzugehen: Der Händler gibt dem Kunden Wechselgeld heraus. Damit ein Kunde die eingewechselten Mün-zen selbst benutzen kann und nicht erst bei der Bank einlösen muß, setzt diese Vorgehensweise übertragbare Münzen voraus. Der Kunde kann eine Münze mit einem bestimmten Wert in mehrere Münzen von geringerem Wert aufteilen, so daß die Summe den Ausgangswert liefert. Ist dieses Verfahren möglich, so spricht man von der Teilbarkeit von Münzen. Es gibt mehrere Systeme, die teilbare Münzen verwirklichen. Auch dies sind nur Lösungen für Spezialfälle, die sich im wesentlichen die Homomorphie der RSA-Signatur zunutze machen. Sämtliche Lösungsvorschläge besitzen das folgende Problem: Münzsysteme ohne Teilbarkeit sichern den Kunden einen sehr hohen Grad an Anonymität, nämlich die Unverknüpfbarkeit von Münzen. Das bedeutet nicht nur, daß die Bank von einer bestimmten Münze nicht sagen kann, welcher ihrer Kunden sie ausgegeben hat, sondern sie kann bei zwei vorliegenden Münzen nicht einmal entscheiden, ob sie von derselben Person ausgegeben worden sind. Diese Unverknüpfbarkeit von Münzen konnte bisher in Systemen mit Teilbarkeit nicht aufrecht erhalten werden.  Zurück zum Anfang Ziele des Projekts Ziel des Projektes ist es, ein Konzept für eine digitale Geldbörse zu entwerfen, das sowohl die Sicherheitsbedürfnisse der Banken nach Fälschungssicherheit und zentraler Erzeugbarkeit als auch die Sicherheitsbedürfnisse der Kunden nach Anonymität und Echtheitsüberprüfbarkeit erfüllt.  Der Ansatz von D. Chaum und T. Pedersen stellt die bislang einzige Methode dar, dies zu erreichen. Er verwendet ein TPHD, d.h. ein durch physikalische Maßnahmen geschütztes Medium (z.B. eine Chipkarte), als Observer. Das geplante Projekt wird diesen von der Forschung bisher nur für ein spezielles Szenario entwickelten Lösungsvorschlag für digitale Geldbörsen mit Observern aufgreifen, verallgemeinern und auf die bisher bekannten Münzsysteme ausweiten.  Im Sinne der Realisierung dieses Vorhabens werden die folgenden Teilziele formuliert.   Konzepte und Klassifizierung von digitalen Münzen Es soll ermittelt werden, aus welchen kryptographischen Elementen eine digitale Münze besteht. Dies beinhaltet zum einen die Frage, welche Werte jeweils (von Bank zu Kunde, von Kunde zu Händler, von Händler zu Bank) übergeben werden müssen, und zum anderen, welche Methoden (z.B. Abheben bei der Bank, Bezahlen mit einer Münze, Einlösen einer Münze) zu einer Münze gehören und wie diese im einzelnen realisiert werden.  Innerhalb des Projekts soll ein Anforderungskatalog entstehen, der die Sicherheitskriterien beschreibt, die eine digitale Münze erfüllen soll. Dieser beinhaltet zum einen sicherheitsrelevante Anforderungen, die charakteristisch für digitale Münzen sind (wie z.B. Fälschungssicherheit und Anonymität). Zum anderen beinhaltet er auch die Sicherheitsanforderungen, die von den einzelnen Parteien des 3-Parteien-Systems (Kunde, Händler, Bank) gestellt werden. So besteht z.B. eine Forderung des Kunden darin, daß die Bank eine gültige Münze nicht ohne berechtigten Grund ablehnen darf, d.h. daß die Bank einen Nachweis dafür erbringen muß, daß ein Kunde ein Double-spending betrieben hat. Es ist im Detail zu ermitteln, welche Anforderungen von den einzelnen Parteien an eine Münze gestellt werden. Insbesondere ist auch herauszustellen, welche neuen Sicherheitsanforderungen an digitale Münzen gestellt werden müssen, damit sie in der elektronischen Umgebung, in der sie eingesetzt werden, die gleichen Eigenschaften besitzen wie herkömmliche Münzen. Insbesondere soll herausgearbeitet werden, welche über eine herkömmliche Münze hinausgehende Eigenschaften eine digitale Münze erfüllen kann. So hat es sich zum Beispiel gezeigt, daß die Teilbarkeit von Münzen, die bei herkömmlichen Münzen unmöglich ist, bei digitalen Münzsystemen realisiert werden kann.  Damit eine digitale Münze die gleichen Sicherheitsanforderungen wie eine herkömmliche Münze erfüllt, wird auf kryptographische Maßnahmen zurückgegriffen. Dabei ist eine digitale Münze mehr als nur die Kombination bekannter Basisprotokolle wie z.B. digitale Signaturen, Zero-Knowledge Beweise oder Cut-and-Choose-Methoden. Für die meisten Münzsysteme läßt sich keine qualitative Aussage über die Fälschungssicherheit der Münzen machen. So ist zum Beispiel nicht klar, ob die Fälschungssicherheit einer digitalen Münze ebenso groß ist wie die Fälschungssicherheit des darunterliegenden Signaturschemas. Untersucht werden soll die Frage, ob eine abstrakte Beschreibung der Sicherheitsmechanismen einer Münze unabhängig von den verwendeten Basisprotokollen diesen Mißstand beheben kann. Zur Klassifizierung der Münzsysteme ist entscheidend, wie die kryptographischen Basisprotokolle im einzelnen zusammenwirken, um die im Anforderungskatalog aufgeführten Forderungen zu erfüllen. Die Münzsysteme werden auf die aufgestellten Sicherheitsanforderungen hin eingehend analysiert. Es wird bestimmt, welche der aufgestellten Kriterien von den einzelnen Münzsystemen in welchem Maße erfüllt werden und welche kryptographischen Maßnahmen verwendet werden, um einzelne Anforderungen zu erfüllen. D.h. es werden die Unterschiede und Gemeinsamkeiten innerhalb der Protokolle der Münzsysteme herausgearbeitet. Es wird ermittelt, welche Sicherheitsmechanismen für das Erfüllen eines bestimmtem Sicherheitskriteriums notwendig sind. Interessant ist in diesem Zusammenhang auch, ob ein bestimmter Basismechanismus (wie z.B. eine blinde digitale Signatur) zur Erfüllung eines bestimmten Sicherheitskriteriums (wie z.B. Fälschungssicherheit) notwendig oder sogar für die Erfüllung des Kriteriums hinreichend ist. Darauf aufbauend wird versucht, die Sicherheitsmechanismen für Münzen zu abstrahieren und allgemein zu beschreiben. Somit entstehen einzelne Klassen, in die die Münzsysteme eingeteilt werden können.   Münzsysteme mit Observer Zunächst soll ermittelt werden, welche Anforderungen an einen Observer gestellt werden können bzw. müssen. Das heißt, es soll ein Anforderungskatalog an Observer erstellt werden, der zum einen enthält, welche Fähigkeiten ein Observer besitzen muß, um seiner Aufgabe als „Beobachter“ gerecht zu werden, und zum anderen, welche Fähigkeiten ein Observer nicht besitzen darf, um dem Benutzer eine ausreichende Zusicherung seiner Anonymität zu gewährleisten. Die Aufgaben eines Observers sind genauer zu bestimmen, um die in der Quellenliteratur bislang noch nicht geleistete Definition des Begriffs Observer zu realisieren. Im Hinblick auf die entstandenen Klassen von Münzsystemen und die gestellten Anforderungen an Observer (das TPHD) soll untersucht werden, in welche Klassen sich Observer integrieren lassen. Es stellt sich die Frage, ob es vielleicht sogar Klassen von Geldsystemen gibt, in die sich Observer grundsätzlich nicht integrieren lassen. Gegebenenfalls sollen die Gründe dafür ermittelt werden. Außerdem ist zu ermitteln, wie sich ein Observer in die einzelnen entstandenen Klassen integrieren läßt und welche Aufgaben er übernehmen kann bzw. muß. Dazu ist innerhalb jeder der entstandenen Klassen zu untersuchen, welche Münzteile bzw. Teilmechanismen vom Kunden kontrolliert werden dürfen und welche Münzteile bzw. Teilmechanismen der Kontrolle eines TPHD unterstehen müssen, um einen Mißbrauch durch den Kunden zu verhindern. Es ist zu vermuten, daß sich nicht alle Sicherheitsmechanismen dazu eignen, von einem Observer ganz oder teilweise durchgeführt zu werden. Aus diesem Grund besteht eine Aufgabe darin zu unter-suchen, ob die Sicherheitsmechanismen bestimmte Eigenschaften besitzen müssen, um sie für ein Observer-System nutzen zu können. Interessant ist dann auch die Frage, ob sich diese Eigenschaften so abstrahieren lassen, daß neue Protokolle entwickelt werden können, die für Münzsysteme mit Observer besonders geeignet sind. Untersucht werden soll auch die Frage, ob sich durch das Observer-Konzept Möglichkeiten eröffnen, völlig neue Münzsysteme zu entwickeln.   Integration von zusätzlichen Merkmalen in Systeme mit Observer Es ist zu untersuchen, inwieweit sich zusätzliche Merkmale von Münzsystemen in Systeme mit Observer integrieren lassen. Dabei soll festgestellt werden, ob sich die Merkmale durch die Existenz eines Observers leichter integrieren lassen, oder ob es Merkmale gibt, die der Existenz eines Observers widersprechen und sich somit gar nicht in Systeme mit Observer integrieren lassen. Einzelne zu untersuchende Merkmale sind: (1) Übertragbarkeit Innerhalb des Projekts wird untersucht, wie sich die Existenz eines Observers auf dieses Problem auswirkt. Dabei ergeben sich folgende Fragen: Ist Übertragbarkeit in Systemen mit Observer möglich?  Steigt der Aufwand zur Realisierung von Übertragbarkeit zusätzlich an?  Erleichtert ein Observer die Realisierung von Übertragbarkeit?  Gibt es Konflikte zwischen den Sicherheitsanforderungen an einen Observer und denen, die für die Übertragbarkeit formuliert werden? Diese Fragen sollen innerhalb des Projekts eingehend untersucht und beantwortet werden. Insbeson-dere stellt sich die Frage, ob sich das Ergebnis von D. Chaum und T. Pedersen  auf andere Übertragbarkeitsmodelle ausweiten läßt. Innerhalb dieses Arbeitspunktes werden wir einen Katalog von Sicherheitsanforderungen erstellen, der die Anforderungen für Übertragbarkeit an die Sicherheitsmechanismen zusammenfaßt. Anhand dieses Kataloges wird dann ermittelt, welche Münzsysteme für eine Ausweitung auf übertragbare Münzen in Frage kommen. Ebenso kann anhand des Kataloges ermittelt werden, ob und wie übertragbare Münzen in Systemen mit Observern integriert werden können, indem die Sicherheitsanforderungen an Übertragbarkeit mit den Sicherheitsanforderungen an Observer verglichen werden. (2) Fairneß  Interessant ist in diesem Zusammenhang vor allen Dingen die Frage, inwieweit die Funktion der TTP und die des Observers sich gegenseitig beeinflussen. So ist z.B. denkbar, daß der Observer Aufgaben der TTP übernimmt oder die TTP bei der Erfüllung ihrer Aufgaben unterstützt. Auf der anderen Seite besitzen die TTP und der Observer konfligierende Eigenschaften, da zum ei-nen der Observer die Aufgabe hat, die Anonymität des Besitzers zu schützen, während die TTP die Anonymität des Besitzers im Bedarfsfall aufdecken soll. Aus diesem Grund ist es ebenso möglich, daß sich die Fairneß in manchen Systemen mit Observer aus prinzipiellen Gründen nicht integrieren läßt. Ziel unserer Arbeit ist es, die Wechselwirkungen zwischen der Integration eines Observers und der Fairneß zu beschreiben und zu analysieren. Auch in diesem Fall werden wir einen Sicherheitskatalog erstellen, der die Anforderungen an die Sicherheitsmechanismen für faire Münzsysteme enthält. Mit Hilfe dieses Kataloges wird dann festzustellen sein, welche Münzsysteme generell und insbesondere welche Münzsysteme mit Observer für die Integration von Fairneß in Frage kommen. (3) Teilbarkeit Zunächst soll ermittelt werden, ob die bisher veröffentlichten speziellen Lösungen von Teilbarkeit sich auf andere Münzsysteme übertragen lassen. Es ist anzunehmen, daß durch einen Observer die Teilbarkeit einer Münze nicht erleichtert wird. Innerhalb des Projekts soll untersucht werden, ob sich diese These verifizieren läßt, bzw. ob die Teilbarkeit von Münzen in einem Münzsystem mit Observer überhaupt realisiert werden kann.  Dies wird wiederum durch die Erstellung eines Kataloges mit den Sicherheitsanforderungen an die Sicherheitsmechanismen für teilbare Münzsysteme erfolgen, anhand dessen die Möglichkeiten der Integration dieses Merkmals in andere Münzsysteme bzw. Münzsysteme mit Observer untersucht wird. Zurück zum Anfang