Langfristig sichere elektronische Geldsysteme mit Observern

Abstract

In Anlehnung an herkömmliches Bargeld wurde 1988 von D. Chaum, A. Fiat und M. Naor ein erstes anonymes elektronisches Zahlungssystem, ein so genanntes elektronisches Geldsystem, entwickelt. Als digitales Äquivalent zu unserem gewöhnlichen Bargeld bietet elektronisches Geld Anonymität, Fälschungssicherheit und Verifizierbarkeit der Echtheit als wesentliche Sicherheitsmerkmale. Anonymität ist die auszeichnende Eigenschaft elektronischer Geldsysteme und ein Großteil der in der Literatur vorgeschlagenen Systeme bietet perfekte Anonymität. In der 1992 erschienen Veröffentlichung von D. Nacchache und S. von Solms findet man eine Aufstellung krimineller Möglichkeiten, die Kunden auf Grund der perfekten Anonymität elektronischer Geldsysteme besitzen. Deshalb sollte es in elektronischen Geldsystemen die Möglichkeit geben, die Anonymität im Bedarfsfall aufzuheben. Man spricht dann auch von fairen elektronischen Geldsystemen. In fairen Geldsystemen begünstigen Sicherheitslücken in den Systemen der Bank und des Deanonymisierers die Kompromittierung der privaten Schlüssel beider Parteien, woraus sich weitreichende Konsequenzen für die Sicherheit der betroffenen Geldsysteme ergeben. Diese Dissertation stellt einen neuen Sicherheitsbegriff für elektronische bzw. faire elektronische Geldsysteme vor: Die langfristig sicheren elektronischen bzw. langfristig sicheren fairen elektronischen Geldsysteme. Im Gegensatz zu klassischen Geldsystemen werden die privaten Schlüssel der Bank und des Deanonymisierers in langfristig sicheren Geldsytemen in regelmäßigen Intervallen aktualisiert. Ein Angreifer darf in t der insgesamt N Intervalle die privaten Schlüssel der Bank bzw. des Deanonymisierers kompromittieren, ohne dass sich dies negativ auf die Sicherheit des Systems in den restlichen N-t Intervallen auswirkt. Die kryptografischen Grundlagen dieser Arbeit wurden in Kapitel 2 dargestellt. Ein Überblick über den aktuellen Stand der Forschung im Bereich elektronischer Geldsysteme und eine formale Definition dieser wurde in Kapitel 3 gegeben. Die bereits angesprochenen Konsequenzen einer Kompromittierung der Bank bzw. des Deanonymisierers wurden in Kapitel 4 ausführlich diskutiert. In Kapitel 5 wurde zunächst das Sicherheitsmodell langfristig sicherer blinder Signaturen vorgestellt, um darauf aufbauend ein formales Sicherheitsmodell langfristig sicherer (fairer) elektronischer Geldsysteme zu definieren. Gleichzeitig konnte in Kapitel 5 durch die Konstruktion eines generischen langfristig sicheren Geldsystems gezeigt werden, dass der Entwurf langfristig sicherer Geldsysteme auf Basis sicherer Geldsysteme möglich ist. Aufbauend auf dem von Frankel et al. 1998 vorgeschlagenen fairen Geldsystem wurde in Kapitel 6 ein langfristig sicheres faires elektronisches Geldsystem entwickelt. Damit Double-Spending von der Bank bereits im Voraus verhindert werden kann, wurde zusätzlich gezeigt, mit welchen Methoden man das System zu einer langfristig sicheren fairen elektronischen Geldbörse erweitern kann. In Kapitel 7 wurde die Fragestellung analysiert, unter welchen Voraussetzungen in fairen elektronischen Geldsystemen die Observer vom Deanonymisierer und nicht von der Bank ausgegeben werden können, und ob sich dadurch ggf. effizientere Protokolle entwickeln lassen. Dazu wurde ein generisches faires elektronisches Geldsystem entwickelt, in dem die Observer vom Deanonymisierer verteilt und Kunden- und Münztracing unter Verwendung der Observer realisiert werden. Auf diese Weise lassen sich, verglichen mit anderen fairen Geldsystemen, durch den Einsatz von Observern effizientere Abhebe- und Bezahl-Protkolle konstruieren. Allerdings ist die Effizienzsteigerung mit einem hohen Maß an Vertrauen in die Sicherheit der Observer verbunden, da von ihr letztlich die Sicherheit des Systems abhängt. Anonymous electronic payment systems were introduced by D. Chaum, A. Fiat and M. Naor. Due to their similarity with physical cash these systems are called electronic cash systems. Similar to physical cash the bank issuing electronic coins cannot trace the coins to their owner. Electronic cash, however, provides a stronger level of anonymity than physical cash. Unfortunately it was pointed out that anonymous electronic cash can become a tool for criminal activities. To solve the problem of criminal activity fair electronic cash systems were introduced, where anonymity can be revoked by a trusted third party. In a fair electronic cash system security vulnerabilities in the IT-infrastructure of both, bank and trustees, allow adversaries to compromise the private key material of the bank and the trustees. Consequently, in case of private key exposure, the security of a fair electronic cash system can no longer be guaranteed, which yields wide implications. This thesis introduces the notion of long-term secure (fair) electronic cash systems. In contrast to an ordinary electronic cash system the private keys of the bank and the trustees are frequently updated, while the public keys are not changed during the life time of the system. To improve security in comparison to an ordinary cash system, in a long-term secure (fair) electronic cash system an adversary is allowed to compromise up to t time periods without affecting the security of the remaining N-t time periods. In chapter 2 we describe the cryptographic building blocks of this thesis. Chapter 3 formally models electronic cash systems and gives an overview of the area of electronic cash. Chapter 4 addresses the emerging problems in case of the private keys being compromised. In chapter 5 we first introduce the model of long-term secure blind signatures. Based on this definition we suggest the new notion of long-term secure (fair) electronic cash systems. At the same time we propose a new generic long-term secure electronic cash system, which can be build upon any secure electronic cash system. Based on the fair electronic cash system suggested by Frankel, Tsiounis and Yung a new long-term secure fair electronic cash system is presented in chapter 6. In order to prevent the double-spending of electronic coins we also show how to integrate a so called observer into the new long-term secure fair electronic cash system. Last but not least in chapter 7 a new generic fair electronic cash system with observers is presented. In contrast to other fair electronic cash systems with observers the observers are issued by the trustee. In this way we obtain very efficient protocols on the one hand, but on the other hand the security of the proposed system heavily relies on the tamper resistance of the observer. Using appropriate building blocks the scheme proposed in this chapter can also be seen as a generic long-term secure fair electronic cash system.