DE69630738T2 - Verfahren und Einrichtung für ein elektronisches Geldsystem mit Ursprungserkennung - Google Patents

Verfahren und Einrichtung für ein elektronisches Geldsystem mit Ursprungserkennung Download PDF

Info

Publication number
DE69630738T2
DE69630738T2 DE69630738T DE69630738T DE69630738T2 DE 69630738 T2 DE69630738 T2 DE 69630738T2 DE 69630738 T DE69630738 T DE 69630738T DE 69630738 T DE69630738 T DE 69630738T DE 69630738 T2 DE69630738 T2 DE 69630738T2
Authority
DE
Germany
Prior art keywords
information
user
electronic money
institution
license
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE69630738T
Other languages
English (en)
Other versions
DE69630738D1 (de
Inventor
Kazuo Zushi-shi Ohta
Eiichiro Yokosuka-shi Fujisaki
Atsushi Yokohama-shi Fujioka
Masayuki Yokohama-shi Abe
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of DE69630738D1 publication Critical patent/DE69630738D1/de
Application granted granted Critical
Publication of DE69630738T2 publication Critical patent/DE69630738T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/06Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3678Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes e-cash details, e.g. blinded, divisible or detecting double spending
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/383Anonymous user system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • H04L9/3221Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3257Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using blind signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Description

  • Die vorliegende Erfindung betrifft ein Verfahren und eine Vorrichtung zum Implementieren von elektronischen Zahlungen durch Verwendung eines elektrischen Kommunikationssystems.
  • Der elektronische Zahlungsverkehr wird wahrscheinlich mit einer „Smart Card" wie etwa einer elektronischen Brieftasche weite Verbreitung bekommen. Es ist daher wünschenswert, dass elektronisches Geld als Information in der elektronischen Brieftasche unabhängig von einem physikalischen Medium gespeichert werden kann.
  • Ein möglicher Ansatz, elektronisches Geld zu realisieren, ist, Systemsicherheit durch physikalische Mittel herzustellen. Der Schutz der Sicherheit von vorbezahlten Karten wie etwa Telefonkarten ist im Wesentlichen garantiert durch die Schwierigkeit, ihre magnetischen Aufzeichnungen auf andere Karten zu kopieren. Jüngste wissenschaftliche und technologische Fortschritte haben jedoch die auf einer solchen Voraussetzung basierende Kartensicherheit verringert oder gefährdet. Ein anderer Nachteil bei diesem System ist, dass elektronisches Geld nicht als Information über eine Kommunikationsleitung übertragen werden kann, weil es immer als ein physikalisches Medium (Magnetkarte oder dergleichen) dargeboten wird.
  • Ein anderer Ansatz ist ein Schema, bei dem Kunden elektronische ID-Karten wie etwa Kreditkarten (elektronische Kreditkarten oder elektronische Schecks) verwenden und Konten später ausgleichen. Bei den elektronischen Kreditkarten ermöglicht die Einführung einer digitalen Unterschrift als Ersatz für eine handgeschriebene die vollständige Elektronifizierung (Computerisierung) ihrer Verarbeitung, so dass die Übertragung von Kontenausgleichinformationen über eine Kommunikationsleitung möglich wird. Bei diesem System ist es jedoch unmöglich, die Privatsphäre des Benutzers zu gewährleisten; das Gleiche gilt für gängige Kreditkarten und Schecks. Das heißt, Finanzinstitute, die Kreditkarten ausgeben und Konten ausgleichen, können frei an Einkaufsaufzeichnungen von Kunden herankommen, und Geschäfte können ihre Kreditkartennummern und Unterschriften herausfinden.
  • Die oben erwähnten Probleme wie die Computerisierung von elektronischem Geld, Systemsicherheit und Benutzer-Privatsphäre könnten gelöst werden durch die kombinierte Verwendung eines (später im Detail beschriebenen) Blindunterschriftsschemas und einer Online-Prüfung zum Zahlungszeitpunkt (einer Überprüfung, bei der ein Geschäft eine Online-Nachfrage am Verwaltungszentrum hinsichtlich doppelter/unzugelassener Ausgabe der vom Benutzer angebotenen elektronischen Geldinformation durchführt). Diese Lösung ist jedoch unpraktisch, wenn man berücksichtigt, dass der Zugang zum Verwaltungszentrum vom Geschäft aus für jeden Kauf eines Benutzers Probleme wie etwa Verarbeitungszeit (Wartezeit des Benutzers), Kommunikationskosten, Online-Bearbeitungskosten und Datenbank-Wartungs- und Verwaltungskosten beim Verwaltungszentrum aufwirft. Daher ist als Verarbeitung zum Zeitpunkt der Zahlung eine Offline-Verarbeitung wünschenswert.
  • Es sind elektronische Geldsysteme vorgeschlagen worden, die unter dem Gesichtspunkt des Schutzes der Privatsphäre Offline-Bearbeitung ermöglichen, zum Beispiel in D. Chaum, A. Fiat und M. Naor, „Untraceable Electronic Cash", Advances in Cryptology – Crypt '88, Lecture Notes in Computer Science 403, Seiten 319 bis 327, Springer Verlag, Berlin (1988), T. Okamoto et al., „Disposable Zero-Knowledge Authentications and their Applications to Untraceable Electronic Cash", Advances in Cryptology – Crypt '89, Lecture Notes in Computer Science 435, Seite 481 bis 496, Springer Verlag, Berlin (1989) und der japanischen Patentanmeldung Nr. 88838190 mit dem Titel „Method and apparatus for implementing electronic cash".
  • Es wird zunächst eine Beschreibung des Blindunterschriftsschemas geliefert, das eine Grundtechnik zur Gewährleistung der Benutzer-Privatsphäre darstellt. Bei dem Blindunterschriftsschema wird eine Unterschritt von einem Unterzeichner einem Dokument unter Geheimhaltung des Inhalts beigefügt. Ein RSA-Blindunterschriftsschema ist in US-Patent Nr. 4.759.063 und D. Chaum, "Security without Identification: Transaction Systems to Make Big Brother Obsolete", Communications of the ACM, 28, 10, Seiten 1030 bis 1044, offenbart, und ein Blindunterschriftsschema, das auf einem interaktiven Beweis ohne Wissen basiert, ist in T. Okamoto et al. "Divertible Zero-Knowledge and Active Proofs and Commutative Random Self Reducible", The Proc. of Eurocrypt '89 (1989) beschrieben.
  • Der Anforderer (Benutzer) einer Blindunterschrift erzeugt eine Blindnachricht x durch Randomisieren des Dokuments m mit einer Zufallszahl r durch Blindunterschrift-Vorverarbeitung. Der Unterzeichner berechnet eine provisorische Unterschrift y, die der Blindnachricht x entspricht, durch Verwendung eines privaten Schlüssels. Zu diesem Zeitpunkt ist das Dokument m durch die Blindnachricht x randomisiert und wird so vor dem Unterzeichner geheimgehalten. Der Benutzer schließt den Einfluss der Zufallszahl r aus der provisorischen Unterschrift y durch Blindunterschrift-Nachverarbeitung aus, um eine wahre Unterschrift y' für das Dokument m zu erhalten, und sendet ein Paar aus Dokument m und Unterschrift y' an einen Überprüfer, der einen öffentlichen Schlüssel des Unterzeichners verwendet, um eine Prüfung durchzuführen, um festzustellen, ob y' die Unterschrift zu dem Dokument m ist. Der Überprüfer kann die Entsprechung zwischen der provisorischen Unterschrift y und der wahren Unterschrift y' nicht herausfinden.
  • Verfahren für Blindunterschrift
  • Sei A ein Unterzeichner, U ein Anforderer einer Unterschrift und eA öffentliche Informationen des Unterzeichners A. F sei eine Funktion, die einen Blindunterschrift-Vorverarbeitungsalgorithmus bezeichnet, D eine Funktion, die einen Mehrfach-Blindunterschrift-Algorithmus bezeichnet, und G eine Funktion, die einen Blindunterschrifts-Nachveraibeitungsalgorithmus bezeichnet. Der Unterzeichner A verwendet die Unterschriftsfunktion DeA, um eine provisorische Unterschrift Ω = DeA(FeA(m1) ... FeA(mk)) aus vom Benutzer US erzeugter Information durch Verwendung der Vorverarbeitungsfunktionen FeA zu erhalten, dann führt der Benutzer US eine Blindunterschrifts-Nachverarbeitung GeA an der provisorischen Unterschrift Ω durch, wodurch er eine wahre Unterschrift B = DeA(m1 ...., mk) des Unterzeichners A für k Nachrichten m1 ...., mk berechnet. Diese Prozedur wird vom Unterzeichner und dem Benutzer US zum Erzeugen der Mehrfach-Blindunterschrift wie nachfolgend beschrieben ausgeführt.
  • Schritt 1: Der Benutzer US erzeugt k Blindnachrichten xi = {FeA(m1)|i = 1, 2, ... k} aus k Nachrichten {mi|i = 1, 2, ... k} durch die Blindunterschriftsvorverarbeitung FeA und sendet die k Blindnachrichten an den Unterzeichner A. In diesem Fall werden die jeweiligen Blindnachrichten xi = FeA (mi) unabhängig berechnet, und die Funktion FeA verwendet eine Zufallszahl, um mi geheim zu halten.
  • Schritt 2: Der Unterzeichner A erzeugt die provisorische Unterschritt Ω = DeA(FeA(mi) ... FeA(mk)) aus den k Blindnachrichten FeA(mi), ..., FeA(mk) und sendet sie an den Benutzer US.
  • Schritt 3: Der Benutzer US berechnet die wahre digitale Unterschrift B = DeA(mi, ...., mk) des Unterzeichners A, die den Nachrichten m1, ..., mk entspricht, durch Blindunterschrifts-Nachverarbeitung unter Verwendung der Funktion GeA
  • Wenn bei Anwendung des RSA-Schemas auf die Blindunterschrift, wobei ri eine Zufallszahl darstellt und die Blindnachricht (Blindunterschrifts-Vorverarbeitung) xi, die provisorische Unterschrift y und die Blindunterschrifts-Nachverarbeitung GeA wie folgt ist: xi = FeA(mi) = reA x mi mod n, Y = Ω = DeA(x1, ..., xk) = ∏1≤i≤k(xi)dAmod n, GeA(y) = Ω/(r1x ... xrk) mod n,wird die Unterschrift y wie folgt: Y = B = ∏1≤i≤k(mi)dA mod n
  • In diesem Fall wird die Überprüfung VeA(m1, ..., mk, B) der Unterschrift B für die Nachrichten m1, ..., mk abhängig davon durchgeführt, ob sie die folgende Gleichung erfüllt: {∏1≤i≤k(mi)}eA ≡ B(mod n)
  • Wenn die Gleichung erfüllt ist, wird eine Ausgabe OK geliefert. Dabei bezeichnet oben (eA, n) einen öffentlichen Schlüssel des vom Unterzeichner A verwendeten RSA-Schemas, und wenn P und Q große Primzahlen sind, sind die folgenden Gleichungen erfüllt: n = P·Q eA··dA ≡ 1 (mod L)wobei: L = LCM{(P – 1 ), (Q – 1)}.
  • L = LCM{a, b} stellt das kleinste gemeinsame Vielfache von a und b dar und a = b(mod n) gibt an, dass (a – b) ein Vielfaches von n ist. Wenn P und Q sehr große Primzahlen sind, ist es im allgemeinen sehr schwierig, P und Q durch Faktorisieren von n herauszufinden. Deswegen können, auch wenn n öffentlich gemacht wird, P und Q geheimgehalten werden. In der folgenden Beschreibung wird dA manchmal als 1/eA ausgedrückt. Das Chaum-Fiat-Naor-Schema wird im folgenden unter der Annahme beschrieben, dass k > 1 ist, und Ausgestaltungen der vorliegenden Erfindung unter der Annahme, dass k = 1 ist.
  • Ein Beispiel für die Konfiguration der RSA-Kryptografie ist beschrieben in Rivest R. L et al., „A Method for Obtaining Digital Signatures and Public Key Cryptosystems", Communications of the ACM, Band 21, 02, Seiten 120 bis 126 (1978).
  • Verfahren zum Konstruieren des Blindunterschriftsschemas sind zum Beispiel in Chaum, D., Blind Signature Systems", US-Patent Nr. 4.759.063 und Ohta, K. et al., „Authentication System and Apparatus therefor", US-Patent Nr. 4.969.189, beschrieben.
  • Die Privatsphäre des Benutzers kann durch die Verwendung der Blindunterschrift nur unter der eigenen Verantwortung des Benutzers garantiert werden. Das heißt, da der Benutzer die Zufallszahl R zu der Blindunterschrift hinzufügt und aus ihr entfernt, kann niemand den Zusammenhang zwischen y = Ω und y' = B herausfinden, solange die Zufallszahl r geheimgehalten wird. Allerdings wird in S. von Solms und D. Naccache „On Blind Signature and Perfect Crimes" Computers and Security, 11, Seiten 581 bis 583 (1992) darauf hingewiesen, dass die Gefahr eines Missbrauchs des Schemas für perfekte Verbrechen der Geldwäsche und Entführung besteht, weil das Schema den Fluss des Geldes vollständig unverfolgbar machen kann.
  • Als nächstes wird eine Beschreibung der elektronischen Geldausgabeverarbeitung zwischen einer Bank und einem Kunden, einer Zahlung mit elektronischem Geld durch den Kunden in einem Geschäft und die Ausgleichsverarbeitung zwischen dem Geschäft und der Bank in dem Chaum-Fiat-Naor-Schema beschrieben, das ein typisches elektronisches Zahlungsschema ist.
  • Verarbeitung zur Ausgabe von elektronischem Geld
  • Es wird eine Prozedur beschrieben, die der Benutzer US durchführt, damit eine Bank BK elektronisches Geld C ausgibt. Dabei sei ID Identifikationsinformation des Benutzers US und eA ein öffentlicher Schlüssel für eine digitale Unterschrift der Bank BK, die dem Geldbetrag (zum Beispiel 10.000 Yen) von elektronischem Geld entspricht, den der Benutzer US spezifiziert. Der Benutzer US veranlasst die Bank BK, elektronisches Geld auszugeben, wie unten beschrieben.
  • Schritt 1: Der Benutzer US erzeugt eine vorgegebene Zufallszahl ai (wobei i = 1, ..., K) und berechnet dann xi und yi unter Verwendung einer veröffentlichten Einwegfunktion g wie folgt: xi = g(ai) yi = 9(ai(+)ID)wobei (+) eine Exklusiv-Oder-Verknüpfung bezeichnet.
  • Schritt 2: Der Benutzer US berechnet Wi unter Verwendung einer veröffentlichten Einwegfunktion f und einer Blindunterschrifts-Vorverarbeitungsfunktion FeA und legt sie der Bank BK vor. Wi = FeA(f(xi, yi))
  • Schritt 3: Die Bank BK wählt K/2 Teilmengen H+ = {ii} (mit j = 1, ..., K/2 und 1 ≤ ij ≤ K) zufällig zwischen 1 bis K aus und sendet sie als eine Offenbarungsanforderung an den Benutzer US. Der Kürze der Beschreibung wegen sei angenommen, dass H = {K/2 + 1, K/2 + 2, ... K} als Offenbarungsanforderung bezeichnet wird. Eine Prozedur zum Anfordern der Offenbarung von K/2 zufällig ausgewählten Teilmengen aus K Teilmengen wird als Cut-and-Choose-Verfahren bezeichnet.
  • Schritt 4: Bei Empfangen der Offenbarungsanforderung von der Bank BK offenbart der Benutzer US der Bank BK die angeforderten K/2 Zufallszahlen a; und die in der Funktion FeA zum Berechnen von W; verwendete Zufallszahl ai.
  • Schritt 5: Die Bank BK überprüft die Gültigkeit aller offenbarten K/2 Gruppen, und hält, wenn eine der Überprüfungen fehlschlägt, die nachfolgende Verarbeitung an. Wenn alle Überprüfungen gelingen, führt die Bank BK die folgende Prozedur für i (wobei i = 1, 2, ... K/2) aus, die nicht Gegenstand der Offenbarung sind.
  • Schritt 6: Die Bank berechnet und sendet Ω an den Benutzer US. Ω = DeA(W1, ..., WK/2)
  • Schritt 7: Der Benutzer US berechnet das elektronische Geld C aus den von der Bank BK empfangenen Daten Ω wie folgt: C = GeA(Ω) = DeA(f(x1, y1), ..., f(xK/2, yK/2))
  • Zahlung mit elektronischem Geld
  • Als nächstes wird beschrieben, wie der Benutzer US mit dem von der Bank BK ausgegebenen elektronischen Geld C eine Zahlung an ein Geschäft SH durchführt. Die folgende Verarbeitung wird für jedes i (i = 1, 2, ..., K/2) durchgeführt: Schritt 1: Der Benutzer sendet das elektronische Geld C an das Geschäft SH.
  • Schritt 2: Das Geschäft SH erzeugt ein Zufallsbit ei und sendet es an den Benutzer US.
  • Schritt 3: Der Benutzer liefert ai und yi an das Geschäft, wenn ei = 1 ist, und xi und ai(+)ID, wenn ei = 0 ist.
  • Schritt 4: Das Geschäft SH verwendet den öffentlichen Schlüssel eA der Bank BK, um zu überprüfen, ob das elektronische Geld C eine richtige Unterschrift für die Nachrichten f(x1, y1), ..., f(xK/2, yK/2) trägt.
  • Ausgleich
  • Schließlich wird eine Beschreibung des Ausgleichs eines Kontos zwischen dem Geschäft SH und der Bank BK gegeben. Das Geschäft SH liefert an die Bank BK eine Aufzeichnung H von mit dem Benutzer US bei der Verwendung des elektronischen Geldes C durchgeführten Kommunikationen. Die Bank BK überprüft die Gültigkeit der Kommunikationsaufzeichnung N, und wenn diese die Überprüfung besteht, speichert sie die Aufzeichnung N und zahlt das Geld in das Konto des Geschäfts. Alternativ zahlt die Bank BK das Geld auf anderem Wege. Wenn eine unzugelassene Verwendung des elektronischen Geldes festgestellt wird, sucht die Bank BK die gespeicherte Kommunikationsaufzeichnung nach den dem elektronischen Geld entspiechenden Daten ai und ai(+)ID ab und entscheidet über die Identifikationsinformation ID des böswilligen Gegners.
  • Gemäß dem Chaum-Fiat-Naor-Schema liefert der Benutzer US an das Geschäft SH die Daten a; oder ai(+)ID, je nachdem, ob das zum Zeitpunkt der Zahlung mit dem elektronischen Geld erzeugte Zufallsbit „1" oder „0" ist; daher werden, wenn der Benutzer US ohne geeignete Erlaubnis das elektronische Geld C zweimal verwendet und die an das Geschäft SH beim ersten und zweiten Mal gesendeten i Zufallsbits ei sich unterscheiden, die Daten ai und ai(+)ID an die Bank BK weitergegeben, die die Identifikationsinformationen des Benutzers durch Berechnen von ai(+)(ai(+)ID) = ID aus den an sie gelieferten Daten herausfinden kann. Da die Bank BK eine Nachforschung über K/2 Bits anstellt, ist die Wahrscheinlichkeit, dass eine Doppelausgabe des Geldes C nicht erfasst wird, 2–K/1. Üblicherweise wird empfohlen, dass K etwa 20 beträgt.
  • Da das elektronische Geldsystem, das das oben erwähnte Blindunterschriftsschema verwendet, den Fluss von elektronischem Geld bedingungslos unverfolgbar machen kann, ist die Privatsphäre des Verwenders des elektronischen Geldes nur unter seiner eigenen Verantwortung garantiert. Das heißt, da der Benutzer selbst zu der Blindunterschrift die Zufallszahl r für die Randomisierung hinzufügt beziehungsweise von ihr entfernt, gibt es keine Möglichkeit, dass jemand den Zusammenhang zwischen der provisorischen Unterschrift y und der wahren Unterschrift y' herausfinden kann, solange die Zufallszahl r geheim gehalten wird. Wie in der oben erwähnten Literaturstelle von S. von Solms und D. Naccache dargelegt, besteht jedoch die Befürchtung, dass dieses Schema mit einem solchen bedingungslosen Anonymitätsmerkmal für perfekte Verbrechen der Geldwäsche und Entführung missbraucht werden könnte, da dieses System den Fluss von Geld völlig unverfolgbar machen kann. Das gleiche gilt für das in dem oben erwähnten US-Patent Nr. 4.977.595 beschriebene elektronische Geldsystem.
  • Kurzbeschreibung der Erfindung
  • Es ist daher Aufgabe der vorliegenden Erfindung, ein Verfahren und eine Vorrichtung zum Imple mentieren von elektronischem Geld anzugeben, die, wenn die Befürchtung von Geldwäsche oder einem ähnlichen Verbrechen besteht, den Fluss von Informationen unter der Überwachung einer bevollmächtigten dritten Partei (zum Beispiel einem Gericht) rückverfolgbar machen können, die aber in üblichen Fällen den Informationsfluss unverfolgbar machen, um den Schutz der Privatsphäre der Benutzer zu gewährleisten.
  • Dieses Ziel wird erreicht mit einem Verfahren nach Anspruch 1 beziehungsweise einer Vorrichtung nach Anspruch 12. Bevorzugte Ausgestaltungen der Erfindung sind Gegenstand der abhängigen Ansprüche.
  • Weitere mit der vorliegenden Erfindung erreichte Ziele und Errungenschaften sind leichter zu verstehen anhand der nachfolgenden Beschreibung von Ausgestaltungen mit Bezug auf die Zeichnungen.
  • Kurze Beschreibung der Zeichnungen
  • 1 ist ein Blockdiagramm, das die Grundkonfiguration der vorliegenden Erfindung darstellt;
  • 2 ist ein Blockdiagramm, das die Lizenzerteilungsverarbeitung zwischen einem Benutzer und einer Bank zeigt;
  • 3 ist ein Blockdiagramm, das die elektronische Geldausgabeverarbeitung zwischen dem Benutzer und der Bank zeigt;
  • 4 ist ein Blockdiagramm, das die Verarbeitung für die Bezahlung mit elektronischem Geld zwischen dem Benutzer und einem Geschäft zeigt;
  • 5 ist ein Blockdiagramm, das die Ausgleichsverarbeitung zwischen dem Geschäft und der Bank zeigt;
  • 6 ist ein Blockdiagramm, das ein anderes Beispiel der Lizenzausgabeverarbeitung zwischen dem Benutzer und der Bank zeigt;
  • 7 ist ein Blockdiagramm, das die Grundkonfiguration einer dritten Ausgestaltung der vorliegenden Erfindung zeigt;
  • 8A zeigt eine hierarchische Strukturtabelle von verwendbaren Geldwerten, die den Teilungsgebrauch von elektronischem Geld definieren;
  • 8B ist ein Diagramm zur Erläuterung eines Beispiels der Verwendung eines Knotens in 8A;
  • 9 ist ein Blockdiagramm, das die Lizenzausgabeverarbeitung zwischen dem Benutzer und der Bank in 7 zeigt;
  • 10 ist ein Blockdiagramm, das die Ausgabeverarbeitung von elektronischem Geld zwischen dem Benutzer und der Bank in 7 zeigt;
  • 11 ist ein Blockdiagramm, das die Verarbeitung durch den Benutzer für seine Zahlung an das Geschäft mit elektronischem Geld in 7 zeigt;
  • 12 ist ein Blockdiagramm, das die Verarbeitung durch das Geschäft für die Zahlung an dieses zwischen dem Benutzer und dem Geschäft in 7 zeigt;
  • 13 ist ein Blockdiagramm, das die Ausgleichsverarbeitung zwischen dem Benutzer und der Bank in 7 zeigt;
  • 14 ist ein Blockdiagramm, das die Verarbeitung durch den Benutzer bei einer Abwandlung der Zahlungsverarbeitung mit elektronischem Geld zwischen dem Benutzer und dem Geschäft in 11 und 12 zeigt;
  • 15 ist ein Blockdiagramm, das die Verarbeitung durch das Geschäft bei der Abwandlung der Verarbeitung zur Zahlung mit elektronischem Geld zwischen dem Benutzer und dem Geschäft in 11 und 12 zeigt;
  • 16 ist ein Blockdiagramm, das die Verarbeitung zwischen dem Geschäft und der Bank für den Ausgleich der Zahlung mit elektronischem Geld in 14 und 15 zeigt;
  • 17 ist ein Blockdiagramm, die ein Beispiel zeigt, in dem eine vertrauenswürdige Instanz die Lizenz ausgibt;
  • 18 ist ein Blockdiagramm, das ein Beispiel zeigt, bei dem eine Mehrzahl von Abteilungen der vertrauenswürdigen Instanz in 17 die Entsprechung von Identifikationsinformationen ID mit Informationen N und Pseudonym halten; und
  • 19 ist ein Blockdiagramm, das ein Beispiel der vertrauenswürdigen Instanz zeigt, bei dem eine Mehrzahl von Abteilungen als unabhängige vertrauenswürdige Instanzen in 18 eingerichtet sind.
  • Beschreibung der bevorzugten Ausgestaltungen
  • Eine Ausgestaltung der vorliegenden Erfindung wird im folgenden beschrieben.
  • In 1 ist die Grundkonfiguration der vorliegenden Erfindung dargestellt, wo die Bank BK, der Benutzer US und das Geschäft SH zum Beispiel über Kommunikationsleitungen miteinander verbunden sind, doch können sie auch über eine Smart Card oder dergleichen, auf der Informationen aufgezeichnet werden können, miteinander verbunden sein.
  • Erste Ausgestaltung
  • Wenn das elektronische Geldsystem aufgebaut wird, erzeugt die Bank BK zuerst einen öffentlichen Schlüssel, zum Beispiel eB, und einen geheimen Schlüssel, zum Beispiel de, und veröffentlicht den Schlüssel eB. Der öffentliche Schlüssel eB wird von einzelnen Benutzern verwendet, um eine Lizenz zu erzeugen und zu überprüfen, wenn sie dem elektronischen Geldsystem beitreten. Der Benutzer bekommt die Lizenz B zur Verwendung von elektronischem Geld von einer vertrauenswürdigen Instanz erteilt. Bei dieser Ausgestaltung dient die Bank BK auch als eine vertrauenswürdige Instanz, die die Lizenz erteilt.
  • Als nächstes erzeugt die Bank BK einen öffentlichen Schlüssel, zum Beispiel ec, und einen geheimen Schlüssel, zum Beispiel dc, für die Erzeugung und Überprüfung von elektronischem Geld. Das Schlüsselpaar (ec, dc) ist je nach Geldwerten von Münzen, zum Beispiel 100 Yen, 500 Yen, 1000 Yen und 10.000 Yen, unterschiedlich.
  • Die Bank BK hält Unterschriftenerzeugungsalgorithmen DB und DC und veröffentlicht die diesen Unterschriftsalgorithmen entsprechenden öffentlichen Schlüssel eB und eB. Als Unterschriftsschema kann das herkömmliche RSA-Digitalunterschriftsschema oder ein anderes Blindunterschriftsschema verwendet werden. Der öffentliche Schlüssel eB wird verwendet, um die Gültigkeit der von der Bank BK erteilten Lizenz zu prüfen, und der öffentliche Schlüssel ec wird verwendet, um die Gültigkeit von von der Bank BK ausgegebenen elektronischen Geld zu prüfen. Der Benutzer US verwendet eine Identifikation IDU wie etwa die Nummer seines Bankkontos.
  • Lizenzausgabeverarbeitung
  • Zunächst bekommt der Benutzer die Lizenz B von der Bank BK erteilt, wenn er bei der Bank BK zum Beispiel ein Konto eröffnet. Genauer gesagt wird die Lizenz ausgedrückt als {B, (1, N, L)}, doch wird sie im folgenden der Kürze wegen mit B bezeichnet. Die Prozedur für den Benutzer US, um die Lizenz von der Bank BK erteilt zu bekommen, ist wie im folgenden beschrieben (siehe 2). Diese Prozedur führt jeder Benutzer US nur einmal durch, wenn er ein Konto bei der Bank BK eröffnet.
  • Schritt 1: Der Benutzer US erzeugt zwei große Primzahlen P und Q mit einem Primzahlgenerator 210 und berechnet eine zusammengesetzte Zahl N (mit N = P·Q) mit einem Multiplizierer 211. Dann wählt der Benutzer US eine Primzahl L mit dem Primzahlgenerator 210 und legt sie fest. Dann speichert der Benutzer US diese Zahlen P, Q, N und L in einen Speicher 20M.
  • Schritt 2: Der Benutzer U sendet der Bank BK die Identifikationsinformationen IDU zusammen mit den Zahlen N und L.
  • Schritt 3: Die Bank BK überprüft die Identität des Benutzers US, die der Identifikationsinformation IDU entspricht, durch beliebige Mittel. Wenn die Identität überprüft ist, erzeugt die Bank BK das Pseudonym I durch einen Pseudonymgenerator 110 und verwaltet die Entsprechung zwischen der Identifikationsinformation (dem echten Namen) IDU und dem Pseudonym I geheim durch Verwendung einer Entsprechungstabelle 11T.
  • Schritt 4: Die Bank BK erzeugt die folgende Unterschriftsinformation Ψ mit einem DeB-Rechner 112, der einen Unterschriftserzeugungsalgorithmus, dargestellt durch die Funktion DeB, ausführt, und sendet die Unterschriftsinformation Ψ und das Pseudonym I an den Benutzer US. Ψ = DeB(N, L, I) = g(N||L||I)dBmod nB (1)wobei das Symbol || eine Verkettung darstellt.
  • Schritt 5: Der Benutzer US speichert in diesem Beispiel die empfangene Unterschriftsinformation Ψ intakt in dem Speicher 20M als Lizenz B zusammen mit dem Pseudonym I.
  • Schritt 6: Der Benutzer US liest Daten (I, P, Q, L) aus dem Speicher 20M und liefert sie an einen Wurzelrechner 212, um die nachfolgend angegebene Geheiminformation zu berechnen und speichert sie in dem Speicher 20M. S = I1/L mod N. (2)
  • Hiermit endet die Prozedur zur Ausgabe der Lizenz. In diesem Beispiel kann die Primzahl L einen eindeutigen, von dem Benutzer US erzeugten Wert oder einen in dem gesamten elektronischen Geldsystem einheitlichen Wert zugewiesen bekommen. In letzterem Fall muss die Primzahl L nur in einem nicht dargestellten Nur-Lese-Speicher gespeichert werden und wird nicht in dem Speicher 20M gespeichert. Wenn der Datenaustausch für die Ausgabe der Lizenz über eine Kommunikationsleitung ausgeführt wird, kann vorzugsweise eine Verschlüsselungsverarbeitung in Kombination eingesetzt werden. Es ist besser, das Pseudonym I durch Eingeben von Informationen wie etwa einem Anfragezeitpunkt, einem Ablaufdatum und einer laufenden Nummer in den Pseudonymgenerator 110 als eine Einwegfunktion zu erzeugen. Da die geheime Information S in Schnitt 6 Information ist, die benötigt wird, um elektronisches Geld zu verwenden, muss sie nicht hier berechnet werden, sondern kann auch in der später beschriebenen elektronischen Geldzahlungsprozedur berechnet werden.
  • Elektionische Geldausgabeverarbeitung
  • Als nächstes wird eine Beschreibung der Prozedur geliefert, der der Benutzer US folgt, um elektronisches Geld C von der Bank BK ausgegeben zu bekommen. Wie oben angegeben, ist ec der öffentliche Schlüssel für eine digitale Unterschrift der Bank BK, die dem vom Benutzer US spezifizierten Geldwert (zum Beispiel 10000 Yen) entspricht. Genauer gesagt ist das elektronische Geld gegeben durch (C, X), es wird aber im folgenden der Kürze halber mit C bezeichnet. Die Prozedur für den Benutzer, um sich elektronisches Geld C von der Bank BK ausgeben zu lassen, ist wie unten beschrieben (siehe 3). Hier erzeugt der Benutzer US Überprüfungsinformationen X basierend auf einer Zufallszahl R und veranlasst die Bank BK, elektronisches Geld auszugeben durch Anbringen ihrer Unterschrift an Information, die die Information X mit der Lizenz B kombiniert; die Unterschrift wird mit dem oben erwähnten Blindunterschriftsschema implementiert.
  • Schritt 1: Der Benutzer US erzeugt die Zufallszahl R mit einem Zufallszahlgenerator 220, speichert sie dann im Speicher 20M und verwendet die Zufallszahl und die Komponente (N, L) der Lizenz B, um mit einem Modulo-Exponent-Rechner 221 nach folgender Gleichung die Überprüfungsinformation zu berechnen: X = RLmodN (3)
  • Weiterhin berechnet der Benutzer US Z = Fec(X, B) (4)mit einem FeC-Rechner 222 aus der Lizenz B und der aus dem Speicher 20M gelesenen Überprüfungsinformation X, das heißt, der Benutzer US führt eine Blindunterschriftvorverarbeitung durch und sendet der Bank BK die Information Z zusammen mit der Identifikationsinformation IDU (nur wenn nötig) und einer gewünschten Geldwertinformation (zum Beispiel 10000 Yen) des elektronischen Geldes.
  • Schritt 2: Die Bank verwendet den geheimen Schlüssel dc, der dem Geldwert des elektronischen Geldes entspricht, um mit einem DeC-Rechner 120 Θ = DeC(Z) (5)zu berechnen, das heißt die Bank BK fügt eine provisorische Unterschrift zu der empfangenen Information Z hinzu und sendet sie an den Benutzer US. Gleichzeitig bucht die Bank BK den angeforderten Geldbetrag vom Konto des Benutzers ab oder empfängt den fälligen Betrag von dem Benutzer US auf anderem Wege. Diese Ausgestaltung beinhaltet nicht den herkömmlichen Cut-And-Choose-Test, bevor die Bank BK die provisorische Unterschrift an der Information Z anbringt.
  • Schritt 3: Der Benutzer US berechnet das elektronische Geld C mit dem von ihm spezifizierten Geldwert durch einen GeC-Rechner 223, das heißt der Benutzer US führt eine Blindunterschriftsnachverarbeitung durch, um das elektronische Geld C zu erhalten. C = GeC(Θ) (6)
  • Es ist zwar beschrieben worden, dass die Bank BK, die in 2 die Lizenz ausgibt, auch in 3 das elektronische Geld ausgibt, doch könnten der Schutz der Privatsphäre des Benutzers und die Sicherheit des elektronischen Geldes verbessert werden, indem das elektronische Geld in 3 von einer anderen Bank oder vertrauenswürdigen Instanz ausgegeben wird.
  • Zahlung durch elektronisches Geld
  • Der Benutzer US führt die folgenden Schritte aus, wenn er mit dem von dem Bank BK ausgegebenen elektronischen Geld C eine Zahlung an das Geschäft SH durchführt (siehe 4).
  • Schritt 1: Der Benutzer US sendet Daten (N, L, 1, B, X, C) an das Geschäft SH.
  • Schritt 2: Das Geschäft SH prüft die Gültigkeit der Lizenz B für Daten (N, L, 1) mit einem VeB-Rechner, um zu sehen, ob die Lizenz B VeB((N, L, I), B) = OK, oder BeB mod N = (N||L||1) (7)erfüllt, das heißt, um zu sehen, ob die Lizenz B als Unterschrift für jeden der Datenwerte N, L und 1 dient. Außerdem prüft das Geschäft SH die Gültigkeit des elektronischen Geldes C für Daten (X, B) mit einem VeC-Rechner 311, um zu sehen, ob das elektronische Geld C VeC((X,B) C) = OK, oder CeC mod N = (X||B) (8)erfüllt, das heißt, um zu sehen, ob das elektronische Geld C unter der Lizenz B verwendbar ist. Wenn die Lizenz B und das elektronische Geld C beide gültig sind, erzeugt das Geschäft SH eine Anfrage E ϵ ZL = {0, 1, ..., L – 1} durch einen Anfragegenerator 312 und sendet sie an den Benutzer US. Wenn die Lizenz B und das elektronische Geld C nicht gültig sind, hält das Geschäft SH dieses Protokoll an.
  • Schritt 3: Der Benutzer US antwortet auf die Anfrage vom Geschäft SH durch Auslesen der Geheiminformation S und (N, R) aus dem Speicher 20M, liefert diese an einen Modulo-Exponent-Rechner 231 und berechnet darin eine Antwort Y und sendet sie an das Geschäft SH. Y = R·SEmodN (9)
  • Schritt 4: Das Geschäft SH berechnet X·IE (mod = N) mit einem Modulo-Exponent-Rechner 313 und YL mod N mit einem anderen Modulo-Exponent-Rechner 314 und vergleicht die berechneten Ergebnisse mit einem Komparator 315. Mit anderen Worten führt das Geschäft eine Prüfung durch, um festzustellen, ob sie die folgende Beziehung erfüllen. YL ≡ X·IE(mod N) (10)
  • Die Geheiminformation S in der durch Gleichung (9) gegebenen Antwort Y ist gegeben durch Gleichung (2), so dass, wenn die Beziehung von Gleichung (10) erfüllt ist, das Geschäft SH das elektronische Geld C mit einem Wert von 10000 Yen unter der Annahme annimmt, dass das elektronische Geld C korrekt ist.
  • Bei dem obigen elektronischen Geldzahlungsprotokoll können Schritte 2 und 3 angepasst werden, um eine Möglichkeit auszuschließen, dass der Benutzer US und das Geschäft SH miteinander konspirieren, um die Bank BK zu veranlassen, einen nicht geschuldeten Geldbetrag zu deponieren. Das heißt in Schritt 2 erzeugt das Geschäft SH eine Zufallszahl d und sendet den Benutzer US seine Identifikationsinformation IDS, Zeit t und die Zufallszahl d anstelle von E, während gleichzeitig das Geschäft SH E mit E = f(IDS, t, d) berechnet, wobei f eine Einwegfunktion ist. In Schritt 3 berechnet auch der Benutzer US E mit E = f(IDS, t, d).
  • Ausgleich
  • Schließlich wird eine Beschreibung des Ausgleichs zwischen dem Geschäft SH und der Bank BK geliefert (siehe 5). Das Geschäft SH präsentiert der Bank BK die gesamte Aufzeichnung H von Kommunikationen (das heißt Wechselwirkungen), die mit dem Benutzer US stattgefunden haben, wenn der letztere das elektronische Geld verwendete, das heißt (N, L, I, B, X, C) E und Y. Die Bank BK prüft die Gültigkeit der Kommunikationsaufzeichnung N, das heißt sie prüft sie, um festzustellen, ob die Gleichungen (7) und (8) beide erfüllt sind, und wenn die Aufzeichnung N gültig ist, speichert die Bank BK sie und zahlt den geschuldeten Betrag in das Konto des Geschäfts SN oder zahlt den geschuldeten Betrag an das Geschäft SH auf anderem Wege. Wenn ein unzulässiger Gebrauch von elektronischem Geld festgestellt wird, findet die Bank BK die Identifikationsinformationen ID des böswilligen Gegners auf der Grundlage der Entsprechung zwischen dem Pseudonym I und der Identifikationsinformation ID.
  • Die obige Prozedur von der Ausgabe des elektronischen Geldes bis zum Ausgleich ist, mit Ausnahme der Ausgabe der Lizenz, im wesentlichen die Gleiche wie im Fall der Verarbeitung von Benutzerinformationen Vi als oben erwähntes Pseudonym I in dem Schema, das in der zweiten Ausgestaltung des oben angesprochenen US-Patents Nr. 4.977.595 beschrieben ist. Daher ist das Schema zum Erhöhen der Zuverlässigkeit, das in dem oben genannten US-Patent offenbart ist, auch auf die vorliegende Erfindung anwendbar.
  • Zweite Ausgestaltung
  • Es wird eine Beschreibung einer Ausgestaltung geliefert, in der eine Mehrzahl von elektronischen Geldverarbeitungsfunktionen der Bank BK von unterschiedlichen Abteilungen durchgeführt wird. Bei dieser Ausgestaltung ist die Bank BK unterteilt in eine Abteilung 101 zum Erkennen der Identität des Benutzers und eine Abteilung 102 zum Erteilen der Lizenz, wie in 6 gezeigt. Assoziations- oder Korrelationsinformationen α wird zwischen den Abteilungen 101 und 102 neu eingeführt. Die Abteilung 101 verwaltet die Entsprechung zwischen der Identifikationsinformation des Benutzers (in folgendem auch als der echte Name bezeichnet) ID und der Assoziationsinformation a, wohingegen die Abteilung 102 die Entsprechung zwischen der Assoziationsinformation α und dem Pseudonym I verwaltet. Nur wenn die zwei Abteilungen 101 und 102 miteinander zusammenarbeiten, kann die Assoziationsinformation a als Schlüssel verwendet werden, um die Entsprechung zwischen dem Pseudonym I und dem echten Namen ID zu bekommen. Der Fall einer Unterteilung der Bank BK in drei oder mehr Abteilungen wird nicht beschrieben, weil dies einfach durch Hinzufügen neuer Assoziationsinformation (α, β, γ, ...) erreicht werden kann.
  • Da sich diese Ausgestaltung von der Ausgestaltung 1 nur in der Lizenzerteilungsprozedur unterscheidet, wird diese Ausgestaltung nur in Verbindung mit der die Lizenzerteilung enthaltenden Prozedur beschrieben. Es wird in diesem Fall angenommen, dass der Parameter L in dem System eindeutig ist.
  • Die Abteilung 102 der Bank BK hält einen Unterschriftserzeugungsalgorithmus DB. Die Bank BK veröffentlicht den öffentlichen Schlüssel eB, der dem Unterschriftsschema entspricht. Der öffentliche Schlüssel eB wird verwendet, um die Gültigkeit der von der Bank BK erteilten Lizenz zu prüfen. Der Benutzer US benutzt die Kontonummer bei der Bank oder dergleichen als seine Identifikationsinformation IDU. Die Assoziationsinformation α wird zwischen den Abteilungen 101 und 102 genutzt.
  • Lizenzerteilungsverarbeitung
  • Zunächst bekommt der Benutzer US die Lizenz B von der Bank BK erteilt, wenn ersterer bei letzterer zum Beispiel sein Konto eröffnet. Genauer gesagt ist die Lizenz gegeben durch (B, {1, N}), doch wird die Lizenz im folgenden der Kürze halber mit B bezeichnet. Die Prozedur, die der Benutzer verfolgt, um die Lizenz B von der Bank BK erteilt zu bekommen, ist wie unten beschrieben (siehe 6). Es ist eine Prozedur, die jeder Benutzer US nur einmal ausführt, wenn er sein Konto bei der Bank BK eröffnet.
  • Schritt 1: Der Benutzer US erzeugt die zwei großen Primzahlen P und Q mit dem Primzahlgenerator 210, berechnet dann die zusammengesetzte Zahl N (N = P·Q) mit dem Multiplizierer 211 und speichert die Zahlen P, Q und N in dem Speicher 20M.
  • Schritt 2: Der Benutzer US berechnet N' = FeB(N) mit einem FeB-Rechner 213 und sendet IDU und N' an die Abteilung 102 der Bank BK.
  • Schritt 3: Die Abteilung 101 der Bank BK bestätigt die Identität des Benutzers US durch beliebige Mittel, und wenn sie gültig ist, erzeugt sie die Assoziationsinformation α mit einem Assoziationsinformationsgenerator 113 und verwaltet die Entsprechung zwischen dem echten Namen IDA und der Assoziationsinformation a geheim in einer Entsprechungstabelle 11T, und versorgt die Abteilung 1-2 mit der Information α und N'.
  • Schritt 4: Die Abteilung 102 erzeugt Pseudonyminformation I mit dem Pseudonymgenerator 110 und verwaltet die Entsprechung zwischen der Assoziationsinformation a und dem Pseudonym I geheim in einer Entsprechungstabelle 11T2 .
  • Schritt 5: Die Abteilung 102 berechnet die folgenden Daten Ψ mit dem DeB-Rechner 112 und sendet an den Benutzer US die Daten Ψ und das Pseudonym I. Y = DeB(N·I) (11)
  • Schritt 6: Der Benutzer US übergibt die von der Bank BK empfangenen Daten Ψ an einen GeB-Rechner 215, um die Lizenz B mit B = GeB(Ψ) zu berechnen, und speichert sie in dem Speicher 20M zusammen mit dem Pseudonym I.
  • Schritt 7: Der Benutzer US übergibt aus dem Speicher 20M gelesene Daten (I, P, Q) an den Wurzelrechner 212, um die Geheiminformation S zu berechnen, die die folgende Gleichung erfüllt, und speichert sie in dem Speicher 20M. S = I1/LmodN
  • Dabei ist zu beachten, dass die Unterschrift B die Gleichung VeB(N × I,B) = OK erfüllt.
  • Wenn der obige Datenaustausch über eine Kommunikationsleitung ausgeführt wird, kann er vorzugsweise mit einer Verschlüsselung kombiniert werden.
  • Es ist besser, das Pseudonym zu erzeugen, indem Information wie etwa ein Anforderungszeitpunkt, ein Ablaufdatum und eine laufende Nummer in den Pseudonymgenerator 110 als eine Einwegfunktion eingegeben wird. Zwar wurde beschrieben, dass die erste und zweite Ausgestaltung die Identifikationsinformation IDU und das Pseudonym I des Benutzers US in der Entsprechungstabelle 11T in Entsprechung zueinander halten, doch ist das Prinzip der vorliegenden Erfindung, die Identifikationsinformation IDU des Benutzers vom Gegenstand der Unterschrift durch die Bank BK durch den DeB-Rechner 112 auszuschließen und die Entsprechung zwischen dem Gegenstand der Unterschrift und der Identifikationsinformation IDU in der Entsprechungstabelle 11T zu halten. Entsprechend kann die Information, die in der Entsprechungstabelle 11T gehalten wird, die Entsprechung zwischen der Identifikationsinformation IDU und der zusammengesetzten Zahl N anstelle der Entsprechung zwischen der Identifikationsinformation IDU und dem Pseudonym I sein.
  • Dritte Ausgestaltung
  • In Bezug auf 7 wird nun die Anwendung der vorliegenden Erfindung auf ein Schema mit teilbarem elektronischen Geld wie in US-Patent Nr. 5.224.162 offenbart beschrieben. Diese Ausgestaltung verwendet das gleiche Prinzip wie die erste Ausgestaltung. Die Bank BK erfüllt die Anforderung des Benutzers US, das der Identifikationsinformation IDA entsprechende Pseudonym I zu erzeugen, und hält ihre Entsprechung geheim in der Entsprechungstabelle und verwendet das Pseudonym 1, um die Lizenz zu erteilen. Anschließend gibt die Bank BK elektronisches Geld mit einem bestimmten Geldwert an den Benutzer US als Antwort auf seine Anforderung aus. Der Benutzer US darf das elektronische Geld wiederholt für Zahlungen an Dritte, zum Beispiel Geschäfte SH, benutzen, bis sein Nennwert erreicht ist. Schließlich gleicht jedes Geschäft sein Konto bei der Bank BK für jede Zahlung des Benutzers US aus. Auch bei dieser Ausgestaltung kann die Entsprechung zwischen der Identifikationsinformation IDU und der zusammengesetzten Zahl N in der Entsprechungstabelle anstelle der Entsprechung zwischen der Identifikationsinformation IDA und dem Pseudonym I gespeichert sein.
  • Die Bank BK hält die Unterschriftserzeugungsalgorithmen DB und DC. Wie in 7 gezeigt, veröffentlicht die Bank BK zwei öffentliche Schlüssel eB und eC, die in der Unterschriftsprozedur verwendet werden, die zur Erteilung der Lizenz und zur Ausgabe von elektronischem Geld ausgeführt wird. Es wird beschrieben, dass diese Ausgestaltung das herkömmliche RSA-Digitalunterschriftsschema verwendet. Der öffentliche Schlüssel eB wird verwendet, um die Gültigkeit der von der Bank BK erteilten Lizenz zu prüfen, und der öffentliche Schlüssel eC wird verwendet, um die Gültigkeit des von der Bank BK ausgegebenen elektronischen Geldes zu prüfen. Der Benutzer US verwendet seine Identifikationsinformation IDU wie etwa die Nummer seines Kontos bei der Bank BK.
  • Wenn beispielsweise die RSA-Unterschrift als der Lizenz entsprechende Information verwendet wird, bereitet die Bank BK ein Paar von geheimen und öffentlichen Schlüsseln (dA, nA) und (eA, nA) vor, und zur Überprüfung der Gültigkeit der Lizenz macht sie den Schlüssel (eA, nA) als den oben erwähnten öffentlichen Schlüssel eB öffentlich und hält den geheimen Schlüssel (dA, nA) als den oben erwähnten geheimen Schlüssel dB. Wenn ferner die Bank BK das RSA-Digitalsignal als dem Geldwert des elektronischen Geldes entsprechende Information verwendet, bereitet die Bank ein Paar von geheimen und öffentlichen Schlüsseln (d'A, n'A) und (e'A, n'A) vor und macht zur Überprüfung des elektronischen Geldes den Schlüssel (e'A, n'A) als den oben erwähnten öffentlichen Schlüssel eC zusammen mit dem dem elektronischen Geld zugewiesenen Geldwert öffentlich.
  • Bei den folgenden Ausgestaltungen ist der Unterschriftserzeugungsalgorithmus DB für die Lizenz wie folgt gesetzt: DB(x) = xdA mod nA
  • Der Unterschriftserzeugungsalgorithmus DC für elektronisches Geld wird wie folgt gesetzt: DC(x) = xd'A mod n'A
  • Die Blindunterschriftsvorverarbeitungsfunktion Fe ist wie folgt gesetzt: x = Fe(m) = reA·m mod n,wobei i eine Zufallszahl für die Randomisierung ist. Die Blindunterschriftsnachverarbeitungsfunktion Ge ist wie folgt gesetzt: Ge(Ψ) = Ψ/r mod n
  • Bei dieser Ausgestaltung wird eine Tabelle mit Baumstruktur, als hierarchisch strukturierte Tabelle bezeichnet, die in dem oben erwähnten US-Patent Nr. 5224162 verwendet wird, für eine effiziente Realisierung der Teilbarkeit (dass das einmal ausgegebene elektronische Geld mehrfach verwendet werden kann, bis der ihm zugewiesene Geldwert erschöpft ist) eingeführt.
  • Die Bank BK legt eine Einwegfunktion g und drei Zufallsfunktionen fΓ, fΛ und fΩ fest und veröffentlicht sie. Diese drei Funktionen werden verwendet, um den Wert jedes Knotens der hierarchischen Strukturtabelle (Γ-Tabelle und Λ-Tabelle) festzulegen.
  • Die hierarchische Strukturtabelle ist entsprechend dem Geldwert des elektronischen Geldes und der kleinsten Teilwerteinheit (zum Beispiel 1 Yen) festgelegt. In 8A und 8B sind hierarchische Strukturtabellen zur Verwendung von elektronischem Geld im Wert von 100 Yen in Einheiten von 25 Yen gezeigt. Zum Beispiel sind in dem Fall, dass 75 Yen ausgegeben werden, die betroffenen Knoten ein Knoten „00" (im Wert von 50 Yen) und ein Knoten „010" (im Wert von 25 Yen). Die betroffenen Knoten werden unter den nachfolgend erwähnten Regeln festgelegt.
    • (a) Der Geldwert oder Nennwert jedes Knotens ist die Gesamtsumme der seinen unmittelbaren Nachfahrenknoten zugewiesenen Geldwerte.
    • (b) Wenn ein Knoten verwendet wird, können alle seine Vorfahren- und Nachfahrenknoten nicht verwendet werden.
    • (c) Kein Knoten kann mehr als einmal verwendet werden.
  • Unter diesen Regeln ist es nur ein Knoten „011" (im Wert von 25 Yen), der verwendet werden kann, nachdem die Knoten „00" und „010" verwendet worden sind. Das heißt, unter den oben genannten Regeln hat der Gesamtgeldbetrag, der ausgegeben werden kann, den Nennwert von 200 Yen, und das elektronische Geld kann nach Belieben in Einheiten von 25 Yen ausgegeben werden.
  • Das Niveau der hierarchischen Strukturtabelle steigt mit zunehmendem Nennwert des elektronischen Geldes und mit abnehmendem Mindestteilwert. Zum Beispiel ist im Fall von elektronischem Geld mit einem Nennwert von 1 Million Yen, das in Einheiten von 1 Yen verwendet werden kann, die Zahl von Niveaus zirka 20 (log2 1.000.000 ≈ 20). Es wird angenommen, dass die Γ-Tabelle t oder mehr Niveaus hat, und dass der dem vom Benutzer im Geschäft SH bezahlten Geldbetrag entsprechende Knoten Γj1...jt (und Λj1...jt) ist, wobei j1 ... jt ϵ {0, 1}. Zwar entsprechen normalerweise zwei oder mehr Knoten dem für jede Transaktion gezahlten Geldbetrag (zwei Knoten entsprechen in dem obigen Beispiel der Zahlung von 75 Yen), doch wird die folgende Beschreibung der Zahlungsverarbeitung für einen einzelnen Knoten geliefert, weil die Zahlungsverarbeitung für mehrere Knoten lediglich eine Parallelausführung der Zahlungsverarbeitung für den einzelnen Knoten ist.
  • Es folgt eine Liste von Definitionen, die in den nachfolgend beschriebenen Prozeduren verwendet werden.
    Figure 00170001
    so dass
    Figure 00180001
    wobei y ein quadratischer Rest ist (1 ≤ t).
    Figure 00180002
    so dass
    Figure 00180003
    (y'/N) = 1 und 0 < y' < N/2 (1 ≤ t).
    Figure 00180004
    so daß y''2' = xmodN, (y''/N) = –1 und 0 < y'' < N/2 (1 ≤ t). <z>QR = dz mod N,so dass d ϵ {±1, ±2}, wobei dz mod N ein quadratischer Rest ist. <z>1 = d'z mod N,so dass d' ϵ {1, 2} und (d'z/N) = 1 <z>–1 = d'z mod N,so dass d'' ϵ {1, 2} und (d''z/N) = –1.
  • Oben bezeichnet (a/b) ein Jacobisymbol. Ein Verfahren zum Berechnen des Jacobisymbols ist zum Beispiel in Fujisaki, Morita und Yamamoto, „Take off for number theory (Special issue for seminar in mathematics)", Nippon Hyohron-Sha, beschrieben.
  • Lizenzerteilungsveraibeitung
  • Zunächst bekommt der Benutzer US die Lizenz B von der Bank BK erteilt. Die Prozedur hierfür ist im wesentlichen identisch mit der Prozedur in der in 2 gezeigten ersten Ausgestaltung, doch wird in diesem Beispiel die Primzahl L nicht verwendet. Daher wird die Lizenz ausgedrückt durch {B, (1, N)}, wird aber der Kürze halber im folgenden mit B bezeichnet. Ferner verwendet diese Ausgestaltung nicht die Geheiminformation S des Benutzers, die in der ersten Ausgestaltung während der Verwendung des elektronischen Geldes verwendet wird.
  • Die Prozedur für den Benutzer US, um die Lizenz von der Bank BK erteilt zu bekommen, ist wie unten beschrieben (siehe 9). Die Prozedur wird von jedem Benutzer US nur einmal ausgeführt, wenn er ein Konto bei der Bank BK eröffnet.
  • Schritt 1: Der Benutzer US erzeugt mit dem Primzahlgenerator 210 zwei große Primzahlen P und Q, die die Bedingungen P = 3 (mod 8) und Q = 7 (mod 8) erfüllen, und berechnet eine zusammengesetzte Zahl N (N = P·Q) aus diesen Primzahlen mit dem Multiplizierer 211. Dann speichert der Benutzer US diese Zahlen P, Q und N in dem Speicher 20M.
  • Schritt 2: Der Benutzer US sendet der Bank BK seine Identifikationsinformationen IDA und die zusammengesetzte Zahl N.
  • Schritt 3: Die Bank BK prüft die Identität des Benutzers US durch beliebige Mittel. Wenn die Identität überprüft ist, erzeugt die Bank BK das Pseudonym I mit dem Pseudonymgenerator 110 und speichert die Entsprechung zwischen der Identifikationsinformation (dem echten Namen) IDU und dem Pseudonym I (oder N) in der Entsprechungstabelle 11T und hält sie geheim.
  • Schritt 4: Die Bank BK erzeugt die folgende Unterschrift Ψ mit dem Dee-Rechner 112 und sendet die Unterschrift Ψ und das Pseudonym I an den Benutzer US. Y = DeB(N, I) = g(N||I)dBmodnB (12)
  • Schritt 5: Der Benutzer US speichert die empfangenen Daten Y in dem Speicher 20M als die Lizenz B zusammen mit dem Pseudonym I.
  • Wenn der Datenaustausch zwischen dem Benutzer US und der Bank BK über eine Kommunikationsleitung ausgeführt wird, kann vorzugsweise Verschlüsselungsverarbeitung in Kombination eingesetzt werden. Es ist besser, das Pseudonym I durch Eingeben von Informationen wie etwa eines Anforderungszeitpunktes, eines Ablaufdatums und einer laufenden Nummer in den Pseudonymgenerator 110 als Einwegfunktion zu erzeugen.
  • Verarbeitung zur Ausgabe von elektronischem Geld
  • Als nächstes wird die Prozedur beschrieben, die der Benutzer US verfolgt, um von der Bank BK elektronisches Geld C ausgegeben zu bekommen. Hier ist ec der öffentliche Schlüssel für die digitale Unterschrift der Bank BK, die dem Geldwert (zum Beispiel 10000 Yen) entspricht, den der Benutzer US spezifiziert. Genauer gesagt ist das elektronische Geld gegeben durch (C, b, B), wird der Kürze halber aber im folgenden mit C bezeichnet. Die Prozedur für den Benutzer US, um von der Bank BK das elektronische Geld C ausgegeben zu bekommen, ist wie unten beschrieben (siehe 10).
  • Schritt 1: Der Benutzer US erzeugt Zufallszahlen b und r mit dem Zufallsgenerator 220, speichert dann die Zufallszahl b im Speicher 20M und berechnet gleichzeitig g(B||b) mit einem Einwegfunktions-g-Rechner 221 aus der aus dem Speicher 20M gelesenen Lizenz B und der Zufallszahl b.
  • Ferner berechnet der Benutzer US Z = FeC(g(B||b)) = reCg(B||b)mod nC (13)mit dem FeC-Rechner 222 und sendet der Bank BK die Information Z zusammen mit der Identifikationsinformation IDU (nur wenn nötig) und Geldwertinformation A (zum Beispiel 10000 Yen) für das elektronische Geld.
  • Schritt 2: Die Bank BK verwendet den dem Geldwert A des elektronischen Geldes entsprechenden geheimen Schlüssel dc1, um mit dem DeC-Rechner 120 Θ = DeC(Z) = ZeCmod nC (14)zu berechnen, und sendet dies an den Benutzer US. Gleichzeitig bucht die Bank BK den angeforderten Geldbetrag A vom Konto des Benutzers ab oder empfängt den geschuldeten Betrag vom Benutzer US auf andere Weise.
  • Schritt 3: Der Benutzer US berechnet das elektronische Geld C mit dem spezifizierten Geldwert A mit dem GeC-Rechner 223. C = GeC(Θ) = Θ/r mod nC (15)
  • Zahlung mit elektronischem Geld
  • Wie unten beschrieben, macht der Benutzer eine Zahlung an das Geschäft SH mit dem von der Bank BK ausgegebenen elektronischen Geld C (siehe 11 und 12).
  • Schritt 1: Zunächst berechnet der Benutzer US die folgende Gleichung mit einem Γ-Rechner 236 aus den aus dem Speicher 20M gelesenen Datenwerten C, N, P und Q, das heißt, er berechnet fΓ(C||O||N) und verwendet die Primzahlen P und Q, um eine Korrektur um ±1 oder ±2 an diesem Wert vorzunehmen und erhält dadurch einen quadratischen Rest Γ0 modulo N. ΓO = <fr(C||O||N)>QR (16)
  • Als nächstes gibt der Benutzer US das elektronische Geld C und die dem ausgegebenen Geldbetrag entsprechenden Knoten j1 ... jq in einem Ω-Rechner 237, um Ωj1...jq (mit q = 1, ..., t) zu berechnen.
    Figure 00200001
  • Ferner berechnet der Benutzer US die jq + 1-te Potenz von Ωj1...jq (mit q = 1, ..., t) mit einem Potenzrechner 232, führt dann eine Multiplikation der obigen Potenz und des quadratischen Restes ΓO und modulo N mit einem Modulo-Multiplizierer 233 durch und verwendet die Primzahlen P und Q, um mit einem Wurzelrechner 234 eine 1/2-te Wurzel des modulo N multiplizierten Ergebnisses, das heißt die Wurzel X des dem ausgegebenen Geldbetrag A entsprechenden Knotenwertes j1, ..., jt zu berechnen.
  • Figure 00210001
  • Schritt 2: Der Benutzer US sendet an das Geschäft SH die aus dem Speicher 20M gelesenen Datenwerte I, N, X, B, b, C und den Knotenwert j1, ..., jt.
  • Schritt 3: Das Geschäft SH prüft die Gültigkeit der Unterschrift B für die Daten (I, N) mit einem VeB-Rechner 310 um festzustellen, ob die Unterschrift B die Gleichung VeB((N, I), B) = OK, d. h. BeB mod N = (N||I) (19)erfüllt, das heißt, um festzustellen, ob die Unterschrift B als Unterschrift für die Daten (N, 1) dient. Außerdem prüft das Geschäft SH die Gültigkeit der Unterschrift B für Daten (B, b) mit dem VeC-Rechner 311, um zu sehen, ob das elektronische Geld VeC(g(B||b), C) = OK, oder CeCmodN = (B||b) (20)erfüllt, das heißt, um zu sehen, ob das elektronische Geld C unter der Lizenz B verwendbar ist. Wenn die Lizenz und das elektronische Geld C nicht gültig sind, hält das Geschäft SH das Protokoll an.
  • Schritt 4: Das Geschäft SH verwendet einen Jacobisymbol-Rechner 333 und einen Komparator 334, um zu prüfen, ob X die folgende Beziehung erfüllt. Wenn nicht, hält das Geschäft die Prozedur an. (X/N) = –1
  • Als nächstes berechnet das Geschäft fΓ(C||O||N)mit einem Γ-Rechner 322 aus C und N. Ferner berechnet das Geschäft SH Ωj1...jq (mit q = 1, ..., t) mit einem Ω-Rechner 316 aus C, j1 .... jq und N.
    Figure 00210002
  • Das berechnete Ergebnis wird von einem Potenzrechner 318 zu einer Potenz erhoben, um Ω2i j1...jq zu erhalten. Außerdem wird eine Modulo-Multiplikation der Ausgabe fΓ(C||O||N) des Ω-Rechners 322 und der Ausgabe des Potenzrechners 318 mit einem Modulo-Multiplizieret 319 durchgeführt. Andererseits wird eine 2t-te Potenz der Wurzel X mit einem Potenzrechner 317 erhalten, dessen Ausgabe wird an einen Modulo-Dividieret 320 angelegt, wo sie durch die Ausgabe von dem Modulo-Multiplizierer 319 dividiert wird, und die dividierte Ausgabe wird mit ±1 und ±2 in einem Komparator 321 verglichen, wodurch geprüft wird, ob X die folgende Beziehung erfüllt. Wenn nicht, hält das Geschäft SH diese Prozedur an.
    Figure 00220001
    wobei d entweder ±1 oder ±2 darstellt.
  • Schritt 5: Wenn die Überprüfung erfolgreich ist, wählt das Geschäft SH einen Abfragewert Ei ϵ {0, 1} (wobei i = 1, ..., K') mit einem Anfragegenerator 312 und sendet ihn an den Benutzer US.
  • Schritt 6: Der Benutzer US berechnet Λi (mit i = 1, ..., K') aus C, i, j1 ... jt1, N, P, Q mit der folgenden Gleichung durch Verwendung eines Λ-Rechners 235. Das heißt, der Benutzer US verwendet die Primzahlen P und Q, um eine Korrektur um ±1 oder ±2 an fΛ() durchzuführen und so einen quadratischen Rest λi der zusammengesetzten Zahl N zu erhalten. Λi = <fΛ(C||jt||···||i||N)>QR (23)wobei: i = 1, ... K'.
  • Als nächstes verwendet der Benutzer US die Primzahlen P und Q um die folgende Rechnung mit einem Wurzelrechner 231 durchzuführen, und sendet deren Ergebnis Yi an das Geschäft SH. Y = [Λi 1/2modN](–1) Ei (24)
  • Schritt 7: Das Geschäft SH verwendet einen Jacobisymbol-Rechner 323 und einen Komparator 324, um zu prüfen, ob Yi die folgende Beziehung erfüllt. Wenn die Überprüfung fehlschlägt, hält das Geschäft SH die Prozedur an. (Yi/N) = (–1)Ei (25)
  • Das Geschäft SH gibt Informationen C, i, j1 ... jt, N in einen λ-Rechner 325 ein, potenziert Yi mit einem Potenzrechner 326 zu Yi 2, führt eine Modulo-Division von Yi 2 durch die Ausgabe des λ-Rechners (25) in einem Modulo-Dividierer 327 durch und vergleicht die dividierte Ausgabe d' mit ±1 und ±2 in einem Komparator 328 und prüft dadurch, ob die folgende Beziehung erfüllt ist. Yi 2 = d'fΛ(C||j1||···||jt||i||N)(mod N) (26)mit 1 = 1, ..., K'.
  • Dabei stellt oben d' den Wert von ±1 oder ±2 d'. Wenn die Überprüfung erfolgreich ist, akzeptiert das Geschäft SH die Zahlung des den Knoten j1 ..., jt entsprechenden Betrags durch den Benutzer US unter der Annahme, dass die Zahlung gültig ist.
  • Bei dem obigen elektronischen Zahlungsprotokoll kann die Anfrage Ei vom Geschäft SH an den Benutzer US über den Anfragegenerator 312 wie unten erwähnt verschärft werden, um so eine Möglichkeit einer Verschwörung zwischen dem Benutzer US und dem Geschäft SH zum Missbrauch des elektronischen Geldsystems auszuschließen. Das heißt, das Geschäft SH erzeugt eine Zufallszahl Ei' und sendet sie als einen Ersatz für E; an den Benutzer US zusammen mit der Identifikationsinformation IDS des Geschäfts SH und Zeitinformation T. Das Geschäft SH und der Benutzer US berechnen beide Ei = h(IDS||T||Ei'), wobei h eine Einwegfunktion ist.
  • Ausgleich
  • Schließlich wird eine Beschreibung des Ausgleichs zwischen dem Geschäft SH und der Bank BK gegeben (siehe 13). Das Geschäft SH präsentiert der Bank BK die gesamte Aufzeichnung von Kommunikationen H = {I, N, X, B, b, C, j1 ... jt, Ei, Yi (mit i = 1, ... K')}, wie beim Benutzer US gespeichert, wenn letzterer das elektronische Geld verwendete. Die Bank BK prüft die Gültigkeit der Kommunikationsaufzeichnung H, und wenn die Aufzeichnung N gültig ist, speichert die Bank BK sie und zahlt den geschuldeten Betrag in das Konto des Geschäfts SH (oder zahlt den geschuldeten Betrag an das Geschäft SH auf anderem Wege). Wenn ein unerlaubter Gebrauch von elektronischem Geld erfasst wird, besorgt die Bank BK das Pseudonym I (oder die zusammengesetzte Zahl N) aus der Kommunikationsaufzeichnung H und darf die Entsprechung zwischen dem Pseudonym I (oder der zusammengesetzten Zahl N) mit Erlaubnis einer dritten Partei (zum Beispiel eines Gerichts) herausfinden, wodurch es möglich ist, den böswilligen Gegner zu identifizieren.
  • Der Benutzer US kann aus dem nachfolgend angegebenen Grund keine Knoten der hierarchischen Strukturtabelle zweimal benutzen. Die Information Ei wird aus {0,1} zufällig ausgewählt (wobei i = 1, ..., K'), so dass, wenn der Benutzer US einen der Knoten doppelt ausgibt, die Bank BK in der Lage ist, N auf der Grundlage von H mit einer Wahrscheinlichkeit 1 – (1/2K') zu faktorisieren, wodurch es für die Bank BK möglich ist, die Geheiminformation P, Q des Benutzers herauszufinden. Die Bank BK verwendet die Primfaktoren B und Q der zusammengesetzten Zahl N als Beweis für die unzulässige Verwendung. Hier muss festgestellt werden, dass nur der Benutzer US die geheime Information P, Q kennt. Die geheime Information kann daher als Beweis der Doppelausgabe verwendet werden, um dem Benutzer US eine Strafe aufzuerlegen.
  • Sobald der Benutzer US einen bestimmten Knoten der hierarchischen Strukturtabelle verwendet, kann er keinen Vorfahren- und Nachfahren-Knoten mehr verwenden. Dies wird der Kürze wegen mit Bezug auf die hierarchische Strukturtabelle der 8B erläutert. Wenn der Benutzer US einen Knoten „00" verwendet, sendet er dem Geschäft SH (und schließlich der Bank BK) die folgende Information X00.
  • Figure 00230001
  • Wenn der Benutzer US später einen Nachfahrenknoten „000" verwendet, muss er dem Geschäft SH die folgende Information X000 senden.
    Figure 00240001
    gilt, kann die Bank die Informationen X00 und X000 verwenden, um N zu faktorisieren, wodurch es möglich ist, die geheime Information P, Q des Benutzers US zu berechnen. Genauso kann die Bank BK, wenn auf die Benutzung des Knotens „00" die Verwendung von dessen Vorfahrenknoten „0" oder Nachfahrenknoten „001" folgt, die geheime Information P, Q des Benutzers US herausfinden.
  • Dabei wird bei der obigen Ausgestaltung die Entsprechung zwischen dem wahren Namen und dem Pseudonym des Benutzers US von der Bank BK herausgefunden, doch kann, wie zuvor mit Bezug auf 6 beschrieben, die Bank BK auch in zwei oder mehr Abteilungen unterteilt sein, so dass die Entsprechung zwischen dem wahren Namen und dem Pseudonym nur erfasst werden kann, wenn die Abteilungen zusammenarbeiten. Oben ist zwar beschrieben worden, dass die Unterschrift Y unverändert als Lizenz B verwendet wird, doch kann sie zur Verwendung als Lizenz B auch einer Verarbeitung unterzogen werden.
  • Vierte Ausgestaltung
  • In 14 und 15 sind Konfigurationen des Benutzers US und der Bank BK gezeigt, die verbessert sind, um die Menge an zwischen Ihnen übertragener, in 11 und 12 gezeigter Information zu verringern, wenn der Benutzer US das elektronische Geld in der in 7 bis 13 abgebildeten dritten Ausgestaltung ausgibt. Die Prozedur für die Zahlung mit dem elektronischen Geld ist auch dargestellt.
  • Schritt 1: Der Benutzer US berechnet zuerst fΓ(C||O||N) mit dem Γ-Rechner 236 auf der Grundlage der aus dem Speicher 20M gelesenen Information C, N, P, Q, verwendet dann die Primzahlen P und Q, um eine ±1- oder ±2-Korrektur des berechneten Werts durchzuführen und berechnet einen quadratischen Rest Γ0 modulo N nach der oben erwähnten Gleichung (16).
  • Als nächstes gibt der Benutzer US das elektronische Geld C, den Knoten j1 ... jq, der dem ausgegebenen Geldbetrag entspricht, und die zusammengesetzte Zahl N in den Ω-Rechner 237 ein, um nach der oben erwähnten Gleichung (17) Ωj1...jq zu erzeugen (mit q = 1, ..., t).
  • Ferner berechnet der Benutzer US die jq+1-te Potenz von Ωj1...jq mit (q = 1, ..., t) mit dem Potenzrechner 232, führt dann eine Modulo-Multiplikation der obigen Potenz und des quadratischen Rests ΓO modulo N mit dem Modulo-Multiplizierer 233 durch und verwendet die Primzahlen P und Q, um in einem Wurzelrechner 234 nach der oben erwähnten Gleichung (18) eine 1/2t-te Wurzel des Multiplikationsergebnisses modulo N, das heißt die Wurzel X der dem ausgegebenen Geldbetrag A entsprechenden Knotenwerte j1 ... jt, zu erzeugen.
  • Schritt 2: Der Benutzer sendet an das Geschäft SH die aus dem Speicher 20M gelesene Information I, N, X, B, b, C und den dem Geldbetrag A entsprechenden Knotenwert j1 ... jt.
  • Schritt 3: Das Geschäft SH prüft die Gültigkeit der Unterschrift B für die Information (I, N) mit dem VeB-Rechner 310, um festzustellen, ob die Unterschrift B die oben erwähnte Gleichung (19) erfüllt, das heißt, um zu sehen, ob die Unterschrift B als eine Unterschrift für die Daten (N, 1) dient. Außerdem prüft das Geschäft SH die Gültigkeit der Unterschrift B für die Information (B, b) mit dem g-Rechner 331 und dem VeC-Rechner 332, um zu sehen, ob das elektronische Geld C die oben erwähnte Gleichung (20) erfüllt, das heißt, um zu sehen, ob das elektronische Geld C unter der Lizenz B verwendbar ist. Wenn die Lizenz B und das elektronische Geld C nicht gültig sind, hält das Geschäft SH die Prozedur an.
  • Schritt 4: Der Schritt verwendet den Jacobisymbol-Rechner 333 und den Komparator 334, um eine Prüfung durchzuführen, um zu sehen, ob X die Beziehung (X/N) = –1 erfüllt. Wenn nicht, hält das Geschäft SH die Prozedur an.
  • Als nächstes berechnet das Geschäft SH fΓ(C||O||N) mit dem T-Rechner 322 aus C und N. Außerdem berechnet das Geschäft SH Ωj1...jq (mit q = 1, ..., t) aus C, j, ... jq und N mit der oben erwähnten Gleichung (21) in dem Ω-Rechner 316.
  • Das Geschäft SH gibt das berechnete Ergebnis in den Potenzrechner 318 ein, um Ω2i ji...jq zu erhalten. Außerdem führt das Geschäft SH eine Modulo-Multiplikation der Ausgabe fΓ(C||O||N) des Γ-Rechners 322 und der Ausgabe des Potenzrechners 318 mit dem Multiplizierer 319 durch. Andererseits berechnet das Geschäft SH die 2t-te Potenz von X mit dem Potenzrechner 317, gibt dann dessen Ausgabe in den Modulo-Dividierer 320 zum Dividieren durch die Ausgabe des Modulo-Multiplizierers 319 ein und vergleicht die dividierte Ausgabe mit ±1 und ±2 im Komparator 321 und prüft so, ob X die Beziehung der oben erwähnten Gleichung (22) erfüllt. Wenn nicht, hält das Geschäft SH die Prozedur an.
  • Die Schritte 1 bis 4 sind bislang exakt die gleichen wie die zuvor mit Bezug auf 11 und 12 beschriebenen Schritte 1 bis 4. Bei der abgewandelten Ausgestaltung der 14 und 15 sind die nachfolgenden Schritte 5 bis 7 verbessert, um die Menge an zwischen dem Benutzer US und dem Geschäft SH zu übertragender Information zu verringern, doch sind ihre Grundprozeduren die gleichen wie in den mit Bezug auf 11 und 12 beschriebenen Schritten 5 bis 7.
  • Schritt 5: Wenn die Gültigkeit der Unterschrift der Bank BK für die Lizenz B und Verwendbarkeit des elektronischen Geldes C die Überprüfung in Schritt 4 passieren, wählt das Geschäft SH zufällig einen Anfragewert E ϵ Z0 = {0, 1, 2, ..., u – 1} (wobei u ein Sicherheitsparameter ist) mit dem Anfragegenerator 312 und sendet ihn an den Benutzer US.
  • Schritt 6: Der Benutzer verwendet die aus dem Speicher 20M gelesene Information {C, j1 ... jt, N, P, Q}, um Λj1, ... jt mit dem Λ-Rechner 235 zu berechnen. Das heißt, der Benutzer US verwendet die Primzahlen P und Q, um die ±1- oder ±2-Korrektur an fΛ() vorzunehmen und dadurch einen quadratischen Rest Λj1...jt der zusammengesetzten Zahl N zu erhalten.
    Figure 00260001
  • Als nächstes berechnet der Benutzer mit dem Modulo-Multiplizierer 238 und dem Wurzelrechner 231 eine Antwort Yj1...jt aus der Information N, P, Q, Λj1 ... jt und der Anfrage E vom Geschäft SH und sendet sie an das Geschäft SH.
    Figure 00260002
  • Schritt 7: Das Geschäft SH führt mit dem Jacobisymbol-Rechner 323 und dem Komparator 324 eine Prüfung durch, um zu sehen, ob die Antwort Yj1 ... jt die folgende Gleichung erfüllt. Wenn die Überprüfung fehlschlägt, hält das Geschäft SH die Prozedur an. (Yj1...jtN) = 1 (29)
  • Das Geschäft SH gibt die Information C, i, j1 ... jt, N in den Λ-Rechner 325 ein, liefert dessen Ausgabe und Information E, N an den Modulo-Multiplizierer 327, gibt die Antwort Yj1...jt und die Information N in den Potenzrechner 326, dividiert die Ausgaben vom Potenzrechner 326 durch die Ausgabe vom Modulo-Multiplizierer 327 in dem Modulo-Dividierer 328 und vergleicht die dividierte Ausgabe mit ±1 und ±2 durch den Komparator 329 und prüft so, ob die folgende Beziehung erfüllt ist.
  • Figure 00260003
  • Dabei stellt oben d' den Wert von entweder ±1 oder ±2 dar. Wenn die Überprüfung gelingt, akzeptiert das Geschäft SH die Zahlung des dem Knoten j1 .... jt entsprechenden Betrags durch den Benutzer US unter der Annahme, dass die Zahlung gültig ist.
  • Bei der obigen elektronischen Zahlungsprozedur kann wie im Falle der 11 und 12 die Anfrage E vom Geschäft SH an den Benutzer US über den Anfragegenerator 312 wie unten erwähnt verschärft werden, um eine Möglichkeit auszuschließen, dass der Benutzer US mit dem Geschäft SH konspiriert, um das elektronische Geldsystem zu missbrauchen. Das heißt, das Geschäft SH erzeugt eine Zufallszahl E' und sendet sie als Ersatz für E an den Benutzer US zusammen mit der Identifikationsinformation IDS des Geschäfts SH und Zeitinformation T. Das Geschäft SH und der Benutzer US berechnen beide E = h(IDS||T||E'), wobei h eine Einwegfunktion ist.
  • Der Ausgleich zwischen dem Geschäft SH und der Bank BK, wie in 16 gezeigt, ist auch im wesentlichen identisch mit dem in 13 dargestellten Ausgleich. Das Geschäft SH präsentiert der Bank BK die Aufzeichnung der Kommunikation N = {I, N, X, B, b, C, j1 ... jt, E, Y}, die beim Benutzer US gespeichert ist, wenn er das elektronische Geld C verwendet hat. Die Bank BK prüft die Gültigkeit der Aufzeichnung H, und wenn sie die Überprüfung passiert, speichert sie diese und zahlt den geschuldeten Betrag in das Konto des Geschäfts SH (oder zahlt den geschuldeten Betrag an das Geschäft SH auf anderem Wege). Wenn die Bank BK einen unzulässigen Gebrauch von elektronischem Geld feststellt, berechnet die Bank BK das Pseudonym I (oder die zusammengesetzte Zahl N) aus der Kommunikationsaufzeichnung H und kann die dem Pseudonym I (oder N) entsprechende Identifikationsinformation ID mit der Erlaubnis einer dritten Partei (zum Beispiel eines Gerichts) herausfinden und so den böswilligen Gegner identifizieren.
  • Auch bei der in 14, 15 und 16 gezeigten Ausgestaltung darf der Benutzer US aus den unten angegebenen Gründen keine Knoten der hierarchischen Strukturtabelle zweimal verwenden. Die Information ES wird aus Zu = {0, 1,..., u – 1} zufällig ausgewählt, so dass, wenn der Benutzer US eine Doppelausgabe eines beliebigen der Knoten begeht, die Bank BK in der Lage ist, N auf der Grundlage von H mit einer Wahrscheinlichkeit (1 – 1/u) zu faktorisieren, wodurch es für die Bank BK möglich ist, die Geheiminformation P, Q des Benutzers US herauszufinden. Die Bank BK verwendet die Primzahlen P und Q der zusammengesetzten Zahl N als Beweis für die unzulässige Verwendung (nur der Benutzer US weiß die Geheiminformationen P und Q). So kann die Geheiminformation als Beweis der Doppelausgabe verwendet werden, um dem Benutzer US eine Strafe aufzuerlegen.
  • Wie zuvor beschrieben, ist es in der Ausgestaltung der 11 und 12 für den Benutzer US notwendig, K' Antworten Y; in Reaktion auf die K' Anfragen E' vom Geschäft SH zu erzeugen und sie an das Geschäft SH zu senden. Im Gegensatz hierzu wählt das Geschäft SH in der abgewandelten Ausgestaltung der 14 und 15 zufällig eine Anfrage E und sendet sie an den Benutzer US, der in Reaktion auf die Anfrage E des Geschäfts nur eine Antwort Yj1 ... jt erzeugen und an letzteres senden muss – dies ermöglicht eine Verringerung der zwischen ihnen auszutauschenden Informationsmenge. Außerdem ist auch die Menge an Information der Kommunikationsaufzeichnung H, die an die Bank BK gesendet werden muss, verringert, und dementsprechend wird die Speicherkapazität der Bank zum Speichern der Kommunikationsaufzeichnung N verringert.
  • Zum Beispiel soll nach dem Chaum-Fiat-Naor-Schema das Geschäft an die Bank BK die folgenden K/2 = 10 Sätze von Unterschriftsdaten als Teil der Kommunikationsaufzeichnung H senden, die die Bank BK zur Erkennung von Doppelausgaben speichern muss: (Ai, yi) oder (ai(+)ID, xi)mit i = 1, ..., K/2).
  • Die Unterschriftsdaten haben einen Umfang von 1280 Bits. Im Gegensatz dazu erfordert die Ausgestaltung der 14 und 15 nur die Übertragung eines Stücks Unterschriftsdaten yj1 .... jt vom Geschäft SH an die Bank BK. Die Menge an von der Bank BK zu speichernder Kommunikationsaufzeichnung ist nur 512 Bits, weniger als die Hälfte der Information in dem Chaum-Fiat-Naor- Schema.
  • Bei den ersten bis vierten Ausgestaltungen ist zwar beschrieben worden, dass die Bank BK das elektronische Geld C sowie die Lizenz an den Benutzer US ausgibt, doch ist es auch möglich, eine Systemkonfiguration zu verwenden, bei der zum Beispiel eine vertrauenswürdige Instanz, die von der Bank BK verschieden ist, die Lizenz B erteilt, und die Bank BK elektronisches Geld ausgibt und den Ausgleich der Zahlung mit dem elektronischen Geld vornimmt. Zum Beispiel gibt in der ersten Ausgestaltung die Bank BK die Lizenz B als Information Ψ aus, wie in 2 gezeigt, doch gibt eine vertrauenswürdige Instanz 407 sie aus, wie in 17 gezeigt. Die Verarbeitungseinrichtungen und Konfigurationen des Benutzers US und der vertrauenswürdigen Instanz 407 sind genau die gleichen wie bei den Konfigurationen des Benutzers US und der Bank BK, die in 2 abgebildet sind, und deshalb sind sie mit Ausnahme der Entsprechungstabelle 417 in 17 nicht gezeigt. Entsprechend können die dritte und vierte Ausgestaltung so abgewandelt werden, dass eine vertrauenswürdige Instanz die Lizenz B erteilt. Indem die Lizenz B von einer anderen Institution als der Bank BK erteilt wird, kann verhindert werden, dass die Entsprechung zwischen dem wahren Namen (Identifikationsinformation IDU des Benutzers US und der öffentlichen Information N oder I durch böswilliges Verhalten der Bank BK öffentlich wird und von einem Hacker missbraucht oder gestohlen wird.
  • Außerdem kann wie bei der zweiten Ausgestaltung der 6 auch die interne Konfiguration der in 17 gezeigten vertrauenswürdigen Instanz 407 in eine Mehrzahl von Abteilungen 401 und 401 unterteilt sein und die Entsprechung zwischen der Identifikationsinformation IDU und der Zuordnungsinformation a und die Entsprechung zwischen der Zuordnungsinformation a und der Information N oder I in Entsprechungstabellen 41T1 und 41T2 , wie in 18 gezeigt, gehalten werden. Es liegt auf der Hand, dass die Abteilungen 401 und 402 der vertrauenswürdigen Instanz 407 unabhängige vertrauenswürdige Instanzen sein können, wie in 19 gezeigt. Bei der Ausgestaltung der 19 wird die Lizenz B über drei vertrauenswürdige Instanzen 40T1 , 40T2 und 40T3 erteilt, die die Entsprechung zwischen der Identifikationsinformation ID und der Zuordnungsinformation α1, zwischen α1 und α2 und zwischen α2 und N' oder I in ihren Entsprechungstabellen 41T1 , 41T2 beziehungsweise 41T3 speichern. Das heißt, die Entsprechung zwischen der Identifikationsinformation IDU und der öffentlichen Information N oder I wird von insgesamt drei vertrauenswürdigen Instanzen gehalten. Diese Entsprechung wird nur aufgeklärt, wenn alle vertrauenswürdigen Instanzen 40T1, 40T2 und 40T3 einer gerichtlichen Anordnung Folge leisten, und miteinander kooperierend ihre gespeicherte Entsprechung offenbaren.
  • Wirkungen der Erfindung
  • Die vorliegende Erfindung hat die nachfolgend aufgeführten Vorteile.
  • (a) Gegen Verbrechen
  • Auf eine Anforderung einer bevollmächtigten oder vertrauenswürdigen dritten Partei (zum Beispiel eines Gerichts) offenbart die Bank BK die Entsprechung zwischen der Identifikationsinformation ID und der öffentlichen Information (I, N), wobei in diesem Fall Transaktionen, die auf der Information (I, N) basieren, abgebrochen werden. Alternativ könnte der Kriminelle festgenommen werden durch Verfolgen der Transaktionen basierend auf der Information (I, N).
  • (b) Schutz der Privatsphäre
  • Kreditkarten können die Privatsphäre des Benutzers nicht garantieren, da die Identifikationsinformation ID des Benutzers dem Geschäft direkt zur Verfügung steht. Mit der vorliegenden Erfindung hingegen bekommt das Geschäft nur das Pseudonym I – dies schafft verbesserte Sicherheit. Das Chaum-Fiat-Naor-Schema verwendet die Blindunterschrift und ermöglicht es dem Benutzer so, seine Privatsphäre in Eigenverantwortung zu schützen (Es sollte das Argument beachtet werden, dass die Verwendung der Blindunterschrift zu einem Sumpf von Verbrechen führt.) Bei der ersten Ausgestaltung könnte die Bank die Privatsphäre des Benutzers verletzen, doch bei der zweiten Ausgestaltung ist es schwierig, die Privatsphäre zu verletzen, sofern nicht mehrere Abteilungen miteinander konspirieren.
  • (c) Umfang der Kommunikation und Umfang der gespeicherten Information
  • Da bei dem Chaum-Fiat-Naor-Schema der Benutzer selbst seine Identifikationsinformation ID in das elektronische Geld einbettet, funktioniert das „Cut-and-Choose-Schema" (das auf einer Anforderung, K Stücke Information zu präsentieren und K/2 Stücke Information zu offenbaren, entspricht), um eine Prüfung durchzuführen, um zu sehen, ob der Benutzer wie vorgegeben vorgeht; daher nimmt das Ausmaß der Kommunikation für die Erteilung der Lizenz unvermeidlicherweise zu. Außerdem führt die Erfassung von Doppelausgaben auch zu den Problemen einer Zunahme der Menge an von der Bank BK zu speichernder Information der Kommunikationsaufzeichnung N.
  • Im Stand der Technik wird empfohlen, dass K ca. 20 ist, wohingegen bei der vorliegenden Erfindung (erste bis vierte Ausgestaltung) K = 1 implementiert werden kann; folglich kann das Ausmaß der Kommunikation und die Menge an zu speichernder Information auf ein Zwanzigstet reduziert werden, und die oben erwähnten Probleme können gelöst werden.
  • (d) Doppelausgabe
  • Wenn der Benutzer US das elektronische Geld C zweimal oder öfter ausgibt, kann die Bank BK die Doppelausgabe durch Verwenden der Information C als einen Schlüssel zum Auffinden der Kommunikationsaufzeichnungsdatei verwenden. Da die Kommunikationsaufzeichnungsinformation das Pseudonym I zusammen mit der Information C enthält, kann die Bank BK die dem Pseudonym I entsprechende Identifikationsinformation ID mit der Erlaubnis einer dritten Partei (zum Beispiel eines Gerichts) herausfinden und so den böswilligen Gegner erkennen.
  • (e) Teilbarkeit
  • Bei der dritten und vierten Ausgestaltung kann die Bank, wenn der Benutzer US einen Knoten entgegen der Knotenregel für den Teilungsgebrauch des elektronischen Geldes C ausgibt, dies durch Verwendung der Wurzel des Knotens als einen Schlüssel zum Auffinden der Kommunikationsaufzeichnungsdatei verwenden. Da die Kommunikationsaufzeichnungsdatei die Information I (oder N) zusammen mit der Information C enthält, kann die Bank BK mit Erlaubnis einer dritten Partei (zum Beispiel eines Gerichts) die der Information I (oder N) entsprechende Identifikationsinformation ID herausfinden und so den böswilligen Gegner erkennen.
  • (f) Anderes
  • Die vorliegende Erfindung ist kompatibel mit herkömmlichen eine Lizenz verwendenden Systemen, wie in T. Okamoto et al., „Universal Electronic Cash", Advances in Cryptology -Crypto '91, Lecture Notes in Computer Science 576, Seiten 324 bis 337, Springer Verlag, Berlin, (1991) und in US-Patent Nr. 5.224.161 offenbart, und die Erfindung erlaubt die Implementierung einer Übertragungsfunktion und einer Teilbarkeitsfunktion, die mit dem Chaum-Fiat-Naor-Schema unmöglich sind.
  • Außerdem ist die vorliegende Erfindung kompatibel mit herkömmlichen Systemen, die eine Lizenz verwenden, wie etwa in T. Okamoto et al., „Disposable Zero-Knowledge Authentications and Applications to Untraceable Electronic Cash", Advances in Cryptology – Crypto '89, Lecture Notes in Computer Science 435, Seiten 481 bis 496, Springer Verlag, Berlin (1989) und US-Patent Nr. 4.977.595 mit dem Titel „Electronic Cash Implementing Method and Apparatus therefor" offenbart, und die Erfindung ermöglicht die Implementierung der Transferierbarkeit und den couponartigen Gebrauch von elektronischem Geld, die mit dem Chaum-Fiat-Naor-Schema unmöglich sind.
  • Da bei der dritten und vierten Ausgestaltung K' = 10 sein muss, ist die Menge an von der Bank BK zu speichernder Information der Kommunikationsaufzeichnung H für Doppelausgabe gleich K/2 = 10 im Chaum-Fiat-Naor-Schema.

Claims (17)

  1. Verfahren zum Implementieren von rückverfolgbarem elektronischem Geld, mit den Schritten: (1) in welchem ein Benutzer (US) an eine erste Institution (BK, 40T) seinen wahren Namen IDU und öffentliche Information N sendet, wobei letztere seinem wahren Namen IDU und geheimer Information entspricht; (2) in welchem die erste Institution die Identität des Benutzers erkennt und eine Unterschrift an Information, die die öffentliche Information N enthält, anbringt und diese Unterschritt an den Benutzer sendet; (3) in welchem der Benutzer eine Lizenz B aus der von der ersten Institution gesendeten Unterschrift gewinnt und sie speichert; (4) in welchem der Benutzer an eine zweite Institution (BK) Information sendet, die wenigstens eine Zufallszahl, die Lizenz B und einen Geldbetrag A enthält, über den die zweite Institution elektronisches Geld ausgeben soll; (5) in welchem die zweite Institution eine Unterschrift an der die Lizenz B enthaltenden Information von dem Benutzer anbringt und die unterzeichnete Information als elektronisches Geld C enthaltende Information an den Benutzer sendet; (6) in welchem der Benutzer die unterzeichnete Information von der zweiten Institution prüft, um zu sehen, ob die Lizenz B eine Unterschrift zu der öffentlichen Information N trägt, und ob das elektronische Geld C unter der Lizenz B verwendbar ist, anschließend eine Zahlung an eine dritte Partei (SH) unter Verwendung der Zufallszahl und der der geheimen Information entsprechender Information vornimmt; und (7) in welchem die dritte Partei an die zweite Institution alle Informationen der Kommunikation mit dem Benutzer sendet, um um einen Ausgleich betreffend das elektronische Geld C nachzusuchen; dadurch gekennzeichnet, dass: in dem Schritt (2) die erste Institution ein Pseudonym I des Benutzers erzeugt und die Entsprechung zwischen dem wahren Namen IDU einerseits und dem Pseudonym I und/oder der öffentlichen Information N andererseits geheim hält, und die Unterschrift an der öffentlichen Information N und dem Pseudonym I anbringt und die Unterschrift und das Pseudonym I an den Benutzer sendet; in Schritt (3) der Benutzer die Lizenz zusammen mit dem Pseudonym I speichert; in Schritt (6) der Benutzer die unterzeichnete Information von der zweiten Institution prüft, um zu sehen, ob die Lizenz B eine Unterschrift zu der öffentlichen Information N und dem Pseudonym I trägt; und wobei das Verfahren ferner den Schritt (8) enthält, in welchem, wenn die Wahrscheinlichkeit eines Angriffs besteht, die Entsprechung zwischen dem wahren Namen IDU einerseits und dem Pseudonym I und/oder der öffentlichen Information N andererseits, die von der ersten Institution geheim gehalten wird, wieder aufgefunden wird und das Pseudonym I und die öffentliche Information N offenbart werden, um die Möglichkeit dieses Angriffs auszuschließen.
  2. Verfahren nach Anspruch 1, ferner mit dem Schritt: (9), in welchem der Benutzer (US) die geheime Information als erste geheime Information verwendet, um zweite geheime Information S, die dem Pseudonym I und der öffentlichen Information N entspricht, zu berechnen und die zweite geheime Information S hält; und Schritt (6) das Durchführen der Zahlung an die dritte Partei (SH) durch Verwendung der Zufallszahl und der zweiten geheimen Information S als der geheimen Information entsprechende Information umfasst.
  3. Verfahren nach Anspruch 2, bei dem die erste geheime Information aufgebaut ist aus Primzahlen P und Q, die eine Beziehung N = P × Q erfüllen; wobei in Schritt (9) die zweite geheime Information S mit der folgenden Gleichung, mit L als einer Primzahl, berechnet wird: S = I1/L mod N; wobei in Schritt (4) der Benutzer (US): (4-1) die mit R bezeichnete Zufallszahl erzeugt und Authentisierungsinformation X aus der öffentlichen Information N, der Primzahl L und der Zufallszahl R nach der Gleichung X = RL mod N berechnet; und (4-2) eine Blindunterschriftsvorverarbeitung Z = FeC(X, B), dargestellt durch eine Funktion FeC, für die Authentisierungsinformation X und die Lizenz B durchführt und an die zweite Institution (BK) die resultierende Information Z als die Lizenz B enthaltende Information zusammen mit dem Betrag A des elektronischen Geldes C sendet; wobei in Schritt (5) die zweite Institution eine Blindunterschrift Θ = DeC(Z), dargestellt durch eine Funktion DeC, an der Information Z unter Verwendung eines geheimen Schlüssels anbringt, der dem Betrag A des elektronischen Geldes C entspricht, und an den Benutzer die resultierende Information Θ als das elektronische Geld enthaltende Information sendet; und wobei in Schritt (6): der Benutzer eine Blindunterschriftsnachverarbeitung Z = GeC(Θ), dargestellt durch eine Funktion GeC, für die Unterschrift Θ durchführt, um das elektronische Geld C zu erhalten; die dritte Partei (SH) die Gültigkeit der Lizenz B für Information (N, I) und die Gültigkeit des elektronischen Geldes C für Information (X, B) prüft, und dass die dritte Partei, wenn sie sich als gültig erweisen, an den Benutzer eine Anfrage E ∈ ZL = {0, 1, ..., L-1} sendet; der Benutzer eine Antwort Y aus der zweiten geheimen Information S, der öffentlichen Information N, der Zufallszahl R und der Anfrage E nach der Gleichung Y = R·SE mod N berechnet und die Antwort Y an die dritte Partei sendet; und die dritte Partei YL und X·IE (mod N) berechnet und eine Überprüfung durchführ, um festzustellen, ob die folgende Gleichung erfüllt ist: YL ≡ X·IE (mod N), und wenn die Überprüfung gelingt, die dritte Partei das elektronische Geld C als Geld mit dem Betrag A akzeptiert.
  4. Verfahren nach Anspruch 1, bei dem die geheime Information aufgebaut ist aus Primzahlen P und Q, die eine Beziehung N = P·Q erfüllen; wobei in Schritt (4) der Benutzer (US) eine Einwegfunktion g(B||b) aus der mit b bezeichneten Zufallszahl und der Lizenz B berechnet, dann eine Blindunterschriftsvorverarbeitung Z = FeC(g(B||b)) für die Einwegfunktion g(B||b) durchführt und an die zweite Institution (BK) die resultierende Information Z als das elektronische Geld C zusammen mit dem Betrag A enthaltender Information sendet; wobei in Schritt (5) die zweite Institution einen dem Betrag A des elektronischen Geldes C entsprechenden geheimen Schlüssel verwendet, um eine Unterschrift Θ = DeC(Z) zu berechnen, und sie an den Benutzer sendet; wobei in Schritt (6) der Benutzer eine Blindunterschriftsnachverarbeitung C = GeC(Θ) für die empfangene Unterschrift Θ durchführt, um das elektronische Geld mit dem Betrag A zu erhalten; und wobei die Prozedur für die Zahlung an die dritte Partei folgenden Schritte umfasst: (6-1) in welchem der Benutzer Γ0 = < fΓ(C||0||N) > QR aus C, N, P und Q berechnet, wobei fΓ eine vorgegebene Zufallsfunktion darstellt, und
    Figure 00330001
    aus der öffentlichen Information N, dem elektronischen Geld C und einem Knoten j1 ... jq, der einem auszugebenden Betrag in einer hierarchischen Strukturtabelle entspricht, erzeugt, wobei q = 1, ..., t und fΩ eine vorgegebene Zufallsfunktion darstellt, und aus Γ0, Ωj1 ... jq (mit q = 1, ..., t), N, P und Q eine Wurzel eines dem ausgegebenen Betrag entsprechenden Knotenwerts
    Figure 00330002
    erzeugt; (6-2) in welchem der Benutzer I, N, Xj1...jt, B, b, C und j1, ..., jt an die dritte Partei sendet; (6-3) in welchem die dritte Partei die Gültigkeit der Lizenz B für Informationen (I, N) überprüft, indem geprüft wird, ob die Lizenz B die Gleichung VeB((N, I), B) = OKerfüllt, und die Gültigkeit des elektronischen Geldes C für Informationen (B, b) überprüft, indem geprüft wird, of das elektronische Geld die Gleichung VeC(g(B||b), C) = OKerfüllt, und wenn die Lizenz B und das elektronische Geld C gültig sind und (a/b) ein Jacobi-Symbol darstellt, die dritte Partei eine Prüfung vornimmt, um zu sehen, ob (X/N) = –1erfüllt ist, wonach die dritte Partei aus C und N fΓ(C||0||N),berechnet und aus C, j1, ..., jq und N Ωj1 ... jq = <fΩ(C||j1|| ... ||jq||N)>1 berechnet, wobei q = 1, ..., t, und ferner fΓ(C||0||N)1 Ω1 ... t) (q = 1, ..., t) und N verwendet, um zu prüfen, ob X die Beziehung
    Figure 00330003
    erfüllt, wobei d entweder den Wert ±1 oder ±2 hat; (6-4) in welchem, wenn alle Überprüfungen gelingen, die dritte Partei eine Anfrage Ei ϵ {0, 1} erzeugt, wobei i = 1, ..., K' ist, und K' eine vorgegebene positive ganze Zahl ist, und sie an den Benutzer sendet; (6-5) in welchem der Benutzer das elektronische Geld C, den Knotenwert (i, j1, ..., jt), der dem ausgegebenen Geldbetrag entspricht, die Information N und die geheime Information P und Q verwendet, um Λi = <fΛ(C||j1|| ... ||i||N)>QR zu berechnen, und N, P, Q, Λi und Ei verwendet, um
    Figure 00340001
    zu berechnen und dies an die dritte Partei sendet; und (6-6) in welchem die dritte Partei eine Überprüfung vornimmt, um zu sehen, ob die Information Yi die Gleichung (Yi/N) = (–1)S erfüllt, und C, i, j1, ..., jt, N und Yi überprüft, um zu sehen, ob sie Yi 2 ≡ d'fΛ(c||j1|| ... ||jt||i||N)(modN)erfüllen, wobei d' = ±1 oder ±2, und, wenn die Überprüfung gelingt, die dritte Partei I, N, X, B, b, C, j1, ..., jt, E; und Yi als den dem Knotenwert (i, j1, ..., jt) entsprechenden Geldbetrag akzeptiert; wobei die obigen Symbole definiert sind wie folgt: <Z>QR = dz mod N,so dass d ∈ {±1, ±2}, wobei dz mod N quadratische Reste sind, z eine positive ganze Zahl 0 < z < N ist;
    Figure 00340002
    so dass
    Figure 00340003
    = x mod N, (y'/N) = 1 und 0 < y' < N/2, wobei 1 ≤ t und
    Figure 00340004
    so dass
    Figure 00340005
    = x mod N, (y''/N) = –1 und 0 < y'' < N/2, wobei 1 ≤ t.
  5. Verfahren nach Anspruch 1, bei dem die geheime Information gebildet ist aus Primzahlen P und Q, die eine Beziehung N = P·Q erfüllen; wobei in Schritt (4) der Benutzer (US) eine Einwegfunktion g(B||b) aus der mit b bezeichneten Zufallszahl und der Lizenz B berechnet, dann eine Blindunterschriftsvorverarbeitung Z = FeC(g(B||b)) für die Einwegfunktion g(B||b) durchführt und die resultierende Information Z als das elektronische Geld C enthaltende Information an die zweite Institution (BK) zusammen mit dem Betrag A des elektronischen Geldes C sendet; wobei in Schritt (5) die zweite Institution einen dem Betrag A des elektronischen Geldes C entsprechenden geheimen Schlüssel verwendet, um eine Unterschrift Θ = DeC(Z) zu berechnen und sie an den Benutzer sendet wobei in Schritt (6) der Benutzer eine Blindunterschriftsnachverarbeitung C = GeC(Θ) für die empfangene Unterschrift Θ durchführt, um das elektronische Geld mit dem Betrag A zu erhalten; und wobei die Prozedur für die Zahlung an die dritte Partei die Schritte umfasst: (6-1) in welchem der Benutzer Γ0 = <fΓ(c||0||N)>QR aus C, N, P und Q berechnet, wobei fΓ eine vorgegebene Zufallsfunktion darstellt, und Ωj1 ... jq = <fΩ(C||j1|| ... ||jq||N)>1,aus der öffentlichen Information N, dem elektronischen Geld C und einem Knoten j1, ..., jt in einem hierarchischen Strukturbaum, der einem auszugebenden Betrag entspricht, erzeugt, wobei fΩ eine vorgegebene Zufallsfunktion darstellt, und aus Γ0, Ωj1...jq, N, P und Q eine Wurzel eines dem ausgegebenen Betrag entsprechenden Knotenwerts
    Figure 00350001
    berechnet, wobei q = 1, ..., t; (6-2) in welchem der Benutzer (US) I, N, Xj1...jt, B, b, C und j1, ..., jt an die dritte Partei sendet; (6-3) in welchem die dritte Partei die Gültigkeit der Lizenz B für Information (I, N) überprüft durch Prüfen, ob die Lizenz B die Gleichung VcB((N, I),B) = OKerfüllt und die Gültigkeit des elektronischen Geldes C für Information (B, b) überprüft durch Prüfen, ob das elektronische Geld die Gleichung VeC(g(B||b),C) = OKerfüllt, und wenn die Lizenz B und das elektronische Geld C gültig sind und (a/b) ein Jacobi-Symbol darstellt, die dritte Partei eine Überprüfung durchführt, um zu sehen, ob (X/N) = –1erfüllt ist, wonach die dritte Partei aus C und N fΓ(C||0||N) berechnet und aus C, j1, ..., jq und N Ωj1 ... jq = <fΩ(C||j1|| ... ||jq||N)>1 berechnet, wobei q = 1, ..., t, und fΩ eine vorgegebene Zufallsfunktion darstellt, und sie ferner fΓ(C||0||N), Ωj1...jq (q = 1, ..., t) und N verwendet, um zu prüfen, ob X die folgende Beziehung erfüllt:
    Figure 00350002
    wobei d entweder den Wert ±1 oder ±2 hat; (6-4) in welchem, wenn alle Überprüfungen erfolgreich sind, die dritte Partei eine Anfrage E ∊ ZU = {0, 1, ..., u – 1}, wobei u eine vorgegebene ganze Zahl ist, erzeugt und sie an den Benutzer (US) sendet; (6-5) in welchem der Benutzer das elektronische Geld C, den Knotenwert (1, j1 ... jt), der dem ausgegebenen Geldbetrag entspricht, die Information N und die geheime Information P und Q verwendet, um Λj1 ... jt = <fΛ (C||j1|| ... ||jt||N>QR zu berechnen und N, P, Q, Λi und E verwendet, um
    Figure 00350003
    zu berechnen und dies an die dritte Partei sendet; (6-6) in welchem die dritte Partei eine Überprüfung durchführt, um zu sehen, ob die Infor mation Yj1...jt die Gleichung erfüllt, und C, i, j1 ... jt, N und Yj1...jt überprüft, um zu sehen, ob sie die Gleichung
    Figure 00360001
    erfüllen, wobei d' = ±1 oder ±2, und, wenn die Überprüfung gelingt, die dritte Partei I, N, X, B, b, C, j1, ... jt, Ei und Yj1...jt als dem Knoten j1, ... jt entsprechenden Geldbetrag akzeptiert; wobei die obigen Symbole wie folgt definiert sind: <Z>QR = dz mod N,so dass d ∊ {±1, ±2}, wobei dz mod N quadratische Reste sind, z eine positive ganze Zahl 0 < z < N
    Figure 00360002
    so dass
    Figure 00360003
    = x mod N, (y'/N) = 1 und 0 < y' < N/2, wobei 1 ≤ t und
    Figure 00360004
    so dass
    Figure 00360005
    = x mod N, (y''/N) = 1 und 0 < y'' < N/2, wobei 1 ≤ t.
  6. Verfahren nach Anspruch 4 oder 5, bei dem, wenn (eB, nB) einen öffentlichen Schlüssel eines von der ersten Institution (BK, 40T) verwendeten RSA-Schemas darstellt und nB = PB × QB, eB × dB ≡ 1(mod L)und L = LCM{(PB – 1), (QB – 1)},gesetzt wird, die von der ersten Institution an der Information (N, I) im Schritt (2) angebrachte Unterschrift mit der folgenden Rechnung ausgeführt wird:
    Figure 00360006
    und die Überprüfung der Gültigkeit der Lizenz B für die Information (N, I) in Schritt (6-3) gelingt, wenn die folgende Gleichung erfüllt ist:
    Figure 00360007
  7. Verfahren nach Anspruch 4 oder 5, bei dem, wenn (ec, nc) einen öffentlichen Schlüssel eines von der zweiten Institution (BK, 40T) verwendeten RSA-Schemas darstellt und nC = PC x QC, eC x dC ≡ 1(mod L) und L = LCM{(PC – 1), (QC – 1)},gesetzt wird, r eine Zufallszahl darstellt und die Funktion der Blindunterschriftsvorverarbeitung FeC durch den Benutzer (US) in dem Schritt (4) wie folgt gesetzt wird:
    Figure 00360008
    die Funktion der Unterschrift DeC durch die zweite Institution (BK) in dem Schritt (5) wie folgt gesetzt wird, Θ = DeC(Z) = ZdC mod nC und die Funktion der Blindunterschriftsnachverarbeitung GeC durch den Benutzer in Schritt (6) wie folgt gesetzt wird: C = GeC(Θ) = Θ/r mod nC,die Überprüfung der Gültigkeit des elektronischen Geldes C für die Information (B, b) durch die dritte Partei (SH) in Schritt (6-3) gelingt, wenn die folgende Gleichung erfüllt ist:
    Figure 00370001
  8. Verfahren nach einem der Ansprüche 1 bis 7, bei dem die erste und zweite Institution jeweils Teil der gleichen Bank (BK) sind.
  9. Verfahren nach einem der Ansprüche 1 bis 7, bei dem die erste Institution eine vertrauenswürdige Instanz (40T) und die zweite Institution (BK) eine von der vertrauenswürdigen Instanz verschiedene Bank (BK) ist.
  10. Verfahren nach einem der Ansprüche 1 bis 7, bei dem eine Mehrzahl von Abteilungen (101, 102) der ersten Institution unterschiedliche Paare von sequentiell entsprechenden Stücken von Assoziationsinformation α verwenden, um die Entsprechung zwischen dem wahren Namen IDU des Benutzers (US) einerseits und dem Pseudonym I und/oder der öffentlichen Information N andererseits zu verwalten, so dass die Entsprechung zwischen dem Pseudonym I und/oder der öffentlichen Information N einerseits und dem wahren Namen andererseits durch die Assoziationsinformation α nur verfügbar gemacht wird, wenn die Mehrzahl von Abteilungen zusammenarbeiten.
  11. Verfahren nach Anspruch 10, bei dem die Mehrzahl von Abteilungen der ersten Institution eine Mehrzahl von vertrauenswürdigen Instanzen ist und die zweite Institution eine von der Mehrzahl von vertrauenswürdigen Instanzen verschiedene Bank (BK) ist.
  12. Institutionsvorrichtung zum Ausgeben einer Lizenz und von elektronischem Geld gemäß einem Verfahren zum Implementieren von rückverfolgbarem elektronischem Geld, wobei die Vorrichtung umfasst: ein Lizenzunterzeichnungsmittel (112), das eingerichtet ist, um einen geheimen Schlüssel für eine Lizenz zu verwenden, um mit einer ersten Unterzeichnungsfunktion DeB Information, die öffentliche Information N enthält, zu unterzeichnen und die unterzeichnete Information an den Benutzer (US) als eine Lizenz B enthaltende Information zu senden; und ein elektronisches Geldunterzeichnungsmittel (120), das eingerichtet ist, um mit einer zweiten Unterzeichnungsfunktion DeC die von dem Benutzer empfangene und die Lizenz B enthaltende Information zu unterzeichnen und an den Benutzer die unterzeichnete Information als elektronische Geldinformation zurückzusenden; dadurch gekennzeichnet, dass das Lizenzunterzeichnungsmittel (112) eingerichtet ist, um die die öffentliche Information N und das Pseudonym I enthaltende Information zu unterzeichnen, wobei die Vorrichtung ferner umfasst: ein Pseudonymerzeugungsmittel (110), das eingerichtet ist, um von einem Benutzer öffentliche Information N und den wahren Namen IDU des Benutzers enthaltende Information zu empfangen und ein dem wahren Namen IDU entsprechendes Pseudonym zu erzeugen; und ein Entsprechungsspeichermittel (11T), das eingerichtet ist, um den wahren Namen IDU einerseits und das Pseudonym I und/oder die öffentliche Information N andererseits zu halten.
  13. Vorrichtung nach Anspruch 12, ferner mit ersten und zweiten Institutionen, wobei die erste Institution (BK, 40T) das Pseudonymerzeugungsmittel (110), das Korrespondenzspeichermittel (11T) und das Lizenzunterzeichnungsmittel (112) aufweist und die zweite Institution (BK) das elektronische Geldunterzeichnungsmittel aufweist.
  14. Vorrichtung nach Anspruch 13, bei der die erste Institution eine Mehrzahl von Abteilungen (101, 102) umfasst, wobei die Mehrzahl von Abteilungen jeweils Assoziationsspeicher zum Speichern der Entsprechung zwischen dem wahren Namen IDU des Benutzers (US) einerseits und dem Pseudonym I und/oder der öffentlichen Information N andererseits durch Verwendung sequentiell entsprechender Stücke von Assoziationsinformation a haben, so dass die Entsprechung über die Stücke der Assoziationsinformation a nur verfügbar wird, wenn die mehreren Abteilungen miteinander kooperieren.
  15. Vorrichtung nach Anspruch 13 oder 14, bei der die erste und zweite Institution jeweils einen Teil der gleichen Bank (BK) bilden.
  16. Vorrichtung nach Anspruch 13 oder 14, bei der die erste Institution eine vertrauenswürdige Instanz (40T) und die zweite Institution eine von der vertrauenswürdigen Instanz verschiedene Bank (BK) ist.
  17. Vorrichtung nach Anspruch 14, bei der die Mehrzahl von Abteilungen der ersten Institution eine Mehrzahl von vertrauenswürdigen Instanzen ist und die zweite Institution eine von der Mehrzahl von vertrauenswürdigen Instanzen verschiedene Bank (BK) ist.
DE69630738T 1995-07-17 1996-07-16 Verfahren und Einrichtung für ein elektronisches Geldsystem mit Ursprungserkennung Expired - Fee Related DE69630738T2 (de)

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
JP18028195 1995-07-17
JP18028195 1995-07-17
JP24641595 1995-09-25
JP24641695 1995-09-25
JP24641595 1995-09-25
JP24641695 1995-09-25

Publications (2)

Publication Number Publication Date
DE69630738D1 DE69630738D1 (de) 2003-12-24
DE69630738T2 true DE69630738T2 (de) 2004-08-12

Family

ID=27324825

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69630738T Expired - Fee Related DE69630738T2 (de) 1995-07-17 1996-07-16 Verfahren und Einrichtung für ein elektronisches Geldsystem mit Ursprungserkennung

Country Status (3)

Country Link
US (1) US5889862A (de)
EP (1) EP0755136B1 (de)
DE (1) DE69630738T2 (de)

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10361802B1 (en) 1999-02-01 2019-07-23 Blanding Hovenweep, Llc Adaptive pattern recognition based control system and method
EP0891663A1 (de) * 1996-04-01 1999-01-20 Hewlett-Packard Company Übertragung digitaler unterschriften über ein netzwerk
US6945457B1 (en) 1996-05-10 2005-09-20 Transaction Holdings Ltd. L.L.C. Automated transaction machine
GB2317790B (en) * 1996-09-26 1998-08-26 Richard Billingsley Improvements relating to electronic transactions
AUPO323496A0 (en) * 1996-10-25 1996-11-21 Monash University Digital message encryption and authentication
GB9624127D0 (en) * 1996-11-20 1997-01-08 British Telecomm Transaction system
US6044462A (en) * 1997-04-02 2000-03-28 Arcanvs Method and apparatus for managing key revocation
AU2085199A (en) 1997-11-19 1999-06-07 Security Dynamics Technologies, Inc. Digital coin tracing using trustee tokens
DE69829938T2 (de) * 1997-12-26 2006-02-23 Nippon Telegraph And Telephone Corp. Verfahren zum Einführen von elektronischem Geld für einen Emittent mit elektronischen Saldo-Zählern, entsprechende Vorrichtung und Speicherelement mit gespeichertem Programm zur Durchführung des Verfahrens
US6108644A (en) * 1998-02-19 2000-08-22 At&T Corp. System and method for electronic transactions
US7222108B2 (en) * 1998-12-23 2007-05-22 Nippon Telegraph And Telephone Corporation Electronic cash implementing method and equipment using user signature and recording medium recorded thereon a program for the method
US6636969B1 (en) * 1999-04-26 2003-10-21 Lucent Technologies Inc. Digital signatures having revokable anonymity and improved traceability
WO2001015100A1 (en) 1999-08-26 2001-03-01 Eluv Holdings Ltd. Electronic currency, electronic wallet therefor and electronic payment systems employing them
US8571975B1 (en) 1999-11-24 2013-10-29 Jpmorgan Chase Bank, N.A. System and method for sending money via E-mail over the internet
WO2001043084A2 (en) 1999-12-06 2001-06-14 Pielemeier Ted A Method of masking the identity of a purchaser during a credit transaction
US6701303B1 (en) * 1999-12-23 2004-03-02 International Business Machines, Corp. E-commerce system and method of operation enabling a user to conduct transactions with multiple retailers without certification and/or trusted electronic paths
US10185936B2 (en) 2000-06-22 2019-01-22 Jpmorgan Chase Bank, N.A. Method and system for processing internet payments
US7181017B1 (en) 2001-03-23 2007-02-20 David Felsher System and method for secure three-party communications
US7110525B1 (en) 2001-06-25 2006-09-19 Toby Heller Agent training sensitive call routing system
US7372952B1 (en) 2002-03-07 2008-05-13 Wai Wu Telephony control system with intelligent call routing
US8396809B1 (en) 2002-05-14 2013-03-12 Hewlett-Packard Development Company, L.P. Method for reducing purchase time
US6934664B1 (en) 2002-05-20 2005-08-23 Palm, Inc. System and method for monitoring a security state of an electronic device
SG145524A1 (en) * 2002-08-07 2008-09-29 Mobilastic Technologies Pte Lt Secure transfer of digital tokens
US9818136B1 (en) 2003-02-05 2017-11-14 Steven M. Hoffberg System and method for determining contingent relevance
US7505931B2 (en) * 2003-03-03 2009-03-17 Standard Chartered (Ct) Plc Method and system for monitoring transactions
US7676034B1 (en) 2003-03-07 2010-03-09 Wai Wu Method and system for matching entities in an auction
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
US8458064B1 (en) 2006-01-30 2013-06-04 Capital One Financial Corporation System and method for transferring electronic account information
US8300798B1 (en) 2006-04-03 2012-10-30 Wai Wu Intelligent communication routing system and method
US20080028002A1 (en) * 2006-07-27 2008-01-31 Barkeloo Jason E Content publishing system and method
WO2008013920A2 (en) * 2006-07-27 2008-01-31 Somatic Digital, Llc System and method for digital rights management
WO2008045513A1 (en) * 2006-10-11 2008-04-17 Somatic Digital, Llc System and method for repurposing printed content to interact with digital content
WO2008045514A2 (en) * 2006-10-11 2008-04-17 Somatic Digital, Llc Open source publishing system and method
US8566247B1 (en) 2007-02-19 2013-10-22 Robert H. Nagel System and method for secure communications involving an intermediary
US7958057B2 (en) * 2007-03-28 2011-06-07 King Fahd University Of Petroleum And Minerals Virtual account based new digital cash protocols with combined blind digital signature and pseudonym authentication
JP5186790B2 (ja) * 2007-04-06 2013-04-24 日本電気株式会社 電子マネー取引方法、及び電子マネーシステム
EP1986146A1 (de) * 2007-04-27 2008-10-29 Gemplus Transaktionsverfahren zwischen zwei Einheiten für Anonymitätswiderruf für baumbasierte Schemata ohne zuverlässige Partei
DE102009034436A1 (de) * 2009-07-23 2011-01-27 Giesecke & Devrient Gmbh Verfahren und System zum Bezahlen mit geldwerten Beträgen in Form elektronischer Datensätze
US8326751B2 (en) * 2009-09-30 2012-12-04 Zynga Inc. Apparatuses,methods and systems for a trackable virtual currencies platform
WO2012004838A1 (en) * 2010-07-09 2012-01-12 Takeshi Mizunuma Service provision method
US9171324B2 (en) 2012-09-10 2015-10-27 King Fahd University Of Petroleum And Minerals Hybrid virtual account and token-based digital cash protocols
US9165297B2 (en) * 2012-09-10 2015-10-20 King Fahd University Of Petroleum And Minerals Virtual account and token-based digital cash protocols
US20150149346A1 (en) * 2013-11-27 2015-05-28 Goods Exchange Systems and methods for supporting charitable contributions
US20160160290A1 (en) 2014-11-03 2016-06-09 Genentech, Inc. Methods and biomarkers for predicting efficacy and evaluation of an ox40 agonist treatment

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4977595A (en) * 1989-04-03 1990-12-11 Nippon Telegraph And Telephone Corporation Method and apparatus for implementing electronic cash
US5224162A (en) * 1991-06-14 1993-06-29 Nippon Telegraph And Telephone Corporation Electronic cash system
US5557518A (en) * 1994-04-28 1996-09-17 Citibank, N.A. Trusted agents for open electronic commerce
NL9301348A (nl) * 1993-08-02 1995-03-01 Stefanus Alfonsus Brands Elektronisch betalingssysteem.

Also Published As

Publication number Publication date
EP0755136A2 (de) 1997-01-22
EP0755136B1 (de) 2003-11-19
US5889862A (en) 1999-03-30
DE69630738D1 (de) 2003-12-24
EP0755136A3 (de) 1998-03-25

Similar Documents

Publication Publication Date Title
DE69630738T2 (de) Verfahren und Einrichtung für ein elektronisches Geldsystem mit Ursprungserkennung
DE69633217T2 (de) Verfahren zum Implentieren von elektronischem Geld mit Hilfe einer Lizenz eines anonymen öffentlichen Schlüssels
EP3596653B1 (de) Ausstellen virtueller dokumente in einer blockchain
Dagher et al. Provisions: Privacy-preserving proofs of solvency for bitcoin exchanges
DE69932512T2 (de) Gerät und verfahren zur elektronischen versendung, speicherung und wiedergewinnung von authentifizierten dokumenten
Sander et al. Auditable, anonymous electronic cash
DE69738266T2 (de) Verfahren und Mittel zum Begrenzen des Missbrauches von gefälschten Kreditkarten, Zugangskarten, elektronischen Konten oder dergleichen
US5521980A (en) Privacy-protected transfer of electronic information
DE69635143T2 (de) Verfahren und Vorrichtung zur Erzeugung und Verwaltung eines privaten Schlüssels in einem kryptografischen System mit öffentlichem Schlüssel
DE112010004426B4 (de) Nicht verknüpfbare Übertragung ohne Gedächtnis mit Preisangaben und wiederaufladbaren Geldbörsen
WO2020212337A1 (de) Verfahren zum direkten übertragen von elektronischen münzdatensätzen zwischen endgeräten sowie bezahlsystem
EP3956845A1 (de) Gerät zum direkten übertragen von elektronischen münzdatensätzen an ein anderes gerät sowie bezahlsystem
EP4111348B1 (de) Verfahren zum direkten übertragen von elektronischen münzdatensätzen zwischen endgeräten, bezahlsystem, währungssystem und überwachungseinheit
Mambo et al. Unlinkable electronic coupon protocol with anonymity control
DE102005008610A1 (de) Verfahren zum Bezahlen in Rechnernetzen
DE69636612T2 (de) Zahlungsverfahren in einer Datenübertragungsanordnung und Anordnung zu dessen Implementierung
EP4111399B1 (de) Verfahren, endgerät, überwachungsinstanz sowie bezahlsystem zum verwalten von elektronischen münzdatensätzen
JP2879792B2 (ja) 電子現金の分割使用方法およびその装置
JP3171227B2 (ja) 信託機関付き電子紙幣実施方法
EP4111347B1 (de) Verfahren zum direkten übertragen von elektronischen münzdatensätzen zwischen endgeräten, bezahlsystem, währungssystem und überwachungsinstanz
JP3435677B2 (ja) 追跡可能な電子現金実施方法及びその装置
DE102021002329A1 (de) Verfahren zum registrieren eines elektronischen münzdatensatzes in einem münzregister; ein münzregister; eine teilnehmereinheit und ein computerprogrammprodukt
DE102006017911A1 (de) Elektronisches Bezahlsystem und Verfahren zum Ausführen eines Bezahlvorgangs
JPH0520344A (ja) 電子現金方式
DE102021129047A1 (de) Selektiv anonymisierende Überweisung einer Kryptowährung

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee