8 September 2008. A Zipped PDF of the original document:
http://cryptome.org/jya/nsamint.zip (4.8MB)
Anonymous: Fried, Frank got NSA's permission to make this report available. They have offered to make copies available by contacting them at <21stCen[at]ffhsj.com> or (202) 639-7200. See: http://www.ffhsj.com/bancmail/21starch/961017.htm
Received October 31, 1996
With the Compliments of Thomas P. Vartanian
Fried, Frank, Harris, Schriver & Jacobson
1001 Pennsylvania Avenue, N.W.
Washington, D.C. 20004-2505
Telephone: (202) 639-7200
Laurie Law, Susan Sabett, Jerry Solinas
National Security Agency
Office of Information Security Research and Technology
Cryptology Division
18 June 1996
Nachfolgend eine automatische Übersetzung dieser NSA-Studie mit Hilfe von DEEPL der Webadresse: https://cryptome.org/jya/nsamint.htm
Mit dem Beginn des Informationszeitalters wird unsere Nation immer abhängiger von der Netzwerkkommunikation. Die computergestützte Technologie hat erhebliche Auswirkungen auf unsere Fähigkeit, auf Informationen zuzugreifen, sie zu speichern und zu verteilen. Zu den wichtigsten Anwendungen dieser Technologie gehört der elektronische Geschäftsverkehr: Finanztransaktionen über elektronische Informationen, die über Telekommunikationsleitungen ausgetauscht werden. Eine wesentliche Voraussetzung für den elektronischen Geschäftsverkehr ist die Entwicklung sicherer und effizienter elektronischer Zahlungssysteme. Das Bedürfnis nach Sicherheit wird durch den Aufstieg des Internets unterstrichen, das ein führendes Medium für den künftigen elektronischen Geschäftsverkehr zu werden verspricht.
Elektronische Zahlungssysteme gibt es in vielen Formen, einschließlich digitaler Schecks, Debitkarten, Kreditkarten und Wertkarten. Die üblichen Sicherheitsmerkmale für solche Systeme sind Privatsphäre (Schutz vor Lauschangriffen), Authentizität (Benutzeridentifikation und Nachrichtenintegrität) und Unleugbarkeit (Verhinderung der späteren Verweigerung einer Transaktion).
Die Art des elektronischen Zahlungssystems, auf die sich dieses Papier konzentriert, ist electronic cash. Wie der Name schon sagt, ist electronic cash ein Versuch, ein elektronisches Zahlungssystem nach dem Vorbild unseres Papierkassensystems aufzubauen. Papiergeld hat solche Eigenschaften wie: tragbar (leicht zu tragen), erkennbar (als gesetzliches Zahlungsmittel), daher leicht akzeptabel, übertragbar (ohne Beteiligung des Finanznetzwerkes), nicht nachvollziehbar (keine Aufzeichnung, wo das Geld ausgegeben wird), anonym (keine Aufzeichnung, wer das Geld ausgegeben hat) und hat die Fähigkeit, "Veränderung" vorzunehmen. Die Entwickler von electronic cash konzentrierten sich darauf, die Merkmale der Unauffindbarkeit und Anonymität zu erhalten. So wird electronic cash als ein elektronisches Zahlungssystem definiert, das neben den oben genannten Sicherheitsmerkmalen auch die Eigenschaften der Anonymität der Benutzer und der Unauffindbarkeit der Zahlung bietet...
In der Regel erreichen Electronic Cash Systeme diese Sicherheitsziele durch digitale Signaturen. Sie können als digitales Analogon zu einer handschriftlichen Unterschrift betrachtet werden. Digitale Signaturen basieren auf Public-Key-Kryptographie. In einem solchen Kryptosystem hat jeder Benutzer einen geheimen Schlüssel und einen öffentlichen Schlüssel. Der geheime Schlüssel wird verwendet, um eine digitale Signatur zu erstellen, und der öffentliche Schlüssel wird benötigt, um die digitale Signatur zu verifizieren. Um zu sagen, wer die Informationen signiert hat (auch die Nachricht genannt), muss man sicher sein, dass man weiß, wer einen bestimmten öffentlichen Schlüssel besitzt. Dies ist das Problem des Schlüsselmanagements, und seine Lösung erfordert eine Art Authentifizierungsinfrastruktur. Darüber hinaus muss das System über ausreichende Netzwerk- und physische Sicherheit verfügen, um die Geheimhaltung der geheimen Schlüssel zu gewährleisten.
Dieser Bericht hat die wissenschaftliche Literatur zu kryptographischen Techniken für die Implementierung sicherer Electronic Cash Systeme untersucht. Es wurden mehrere innovative Zahlungssysteme gefunden, die die Anonymität der Nutzer und die Rückverfolgbarkeit der Zahlungen gewährleisten. Obwohl kein bestimmtes Zahlungssystem gründlich analysiert wurde, scheint die Kryptographie selbst solide zu sein und die versprochene Anonymität zu liefern.
Diese Systeme sind jedoch aus der Sicht der Strafverfolgung weitaus weniger zufriedenstellend. Insbesondere die Gefahren von Geldwäsche und Fälschung sind potenziell weitaus gravierender als bei Papiergeld. Diese Probleme gibt es in jedem elektronischen Zahlungssystem, aber sie werden durch das Vorhandensein von Anonymität noch verschlimmert. Tatsächlich würde der weit verbreitete Einsatz von Electronic Cash die Anfälligkeit des nationalen Finanzsystems für Angriffe aus dem Informationskrieg erhöhen. Wir diskutieren Maßnahmen zur Bewältigung dieser Risiken; diese Maßnahmen würden jedoch dazu führen, dass die Anonymität der Nutzer eingeschränkt wird.
Dieser Bericht ist folgendermaßen aufgebaut. Kapitel 1 definiert die Grundbegriffe rund um elektronische Zahlungssysteme und Electronic Cash. Kapitel 2 bietet dem Leser eine kryptographische Beschreibung von Electronic-Cash-Protokollen auf hohem Niveau im Hinblick auf grundlegende Authentifizierungsmechanismen. Kapitel 3 beschreibt technisch spezifische Implementierungen, die in der wissenschaftlichen Literatur vorgeschlagen wurden. In Kapitel 4 werden die optionalen Merkmale der Übertragbarkeit und Teilbarkeit für Offline-Electronic Cash vorgestellt. Schließlich werden in Kapitel 5 die Sicherheitsfragen im Zusammenhang mit Electronic Cash diskutiert.
Die Autoren dieses Papiers möchten die folgenden Personen für ihren Beitrag zu dieser Forschungsbemühung durch zahlreiche Diskussionen und Rezensionen dieses Papiers würdigen: Kevin Igoe, John Petro, Steve Neal und Mel Currie.
Wir beginnen mit einer sorgfältigen Definition von "electronic cash". Dieser Begriff wird häufig für jedes elektronische Zahlungssystem verwendet, das oberflächlich dem Bargeld des Nutzers ähnelt. Tatsächlich ist electronic cash jedoch eine bestimmte Art von elektronischem Zahlungssystem, das durch bestimmte kryptographische Eigenschaften definiert ist. Wir konzentrieren uns nun auf diese Objekte.
Der Begriff des elektronischen Geschäftsverkehrs bezieht sich auf alle finanziellen Transaktionen, die die elektronische Übermittlung von Informationen betreffen. Die Informationspakete, die übertragen werden, werden gemeinhin als elektronische Token bezeichnet. Man sollte das Token, das eine Folge von Bits ist, nicht mit den physischen Medien verwechseln, auf denen die Informationen gespeichert und übertragen werden.
Wir bezeichnen das Speichermedium als Karte, da es sich in der Regel um eine Karte im Brieftaschenformat aus Kunststoff oder Karton handelt. (Zwei naheliegende Beispiele sind Kreditkarten und Geldautomatenkarten.) Die "Karte" könnte aber auch z.B. ein Computerspeicher sein.
Eine besondere Form des elektronischen Geschäftsverkehrs ist der elektronische Zahlungsverkehr. Ein elektronisches Zahlungsprotokoll ist eine Reihe von Transaktionen, an deren Ende eine Zahlung mit Hilfe eines von einem Dritten ausgestellten Tokens erfolgt ist. Das häufigste Beispiel sind Kreditkarten, wenn ein elektronisches Genehmigungsverfahren verwendet wird. Beachten Sie, dass unsere Definition impliziert, dass weder der Zahler noch der Zahlungsempfänger die Token.1
Das Szenario des elektronischen Zahlungsverkehrs geht von drei Arten von Spielern aus:2
__________
1 In diesem Sinne unterscheidet sich das elektronische Bezahlen von Systemen wie Prepaid-Telefonkarten und U-Bahn-Tarifkarten, bei denen das Token vom Zahlungsempfänger ausgegeben wird.
2 In 4.1 werden wir dieses Szenario verallgemeinern, wenn wir Transfers diskutieren.
Mit dem Aufkommen von Telekommunikation und Internet wird der elektronische Geschäftsverkehr immer häufiger über ein Übertragungsmedium abgewickelt, das nicht unter der Kontrolle des Finanzsystems steht. Es ist daher notwendig, Maßnahmen zu ergreifen, um die Sicherheit der über ein solches Medium gesendeten Nachrichten zu gewährleisten.
Die notwendigen Sicherheitseigenschaften sind:
Die letzten drei Eigenschaften werden zusammenfassend als Authentizität bezeichnet.
Diese Sicherheitsmerkmale können auf verschiedene Weise erreicht werden. Die Technik, die sich immer mehr durchsetzt, ist der Einsatz einer Authentifizierungsinfrastruktur. In einem solchen Setup wird die Privatsphäre dadurch erreicht, dass jede Nachricht verschlüsselt wird, indem ein privater Schlüssel verwendet wird, der nur dem Absender und Empfänger bekannt ist. Die Echtheitsmerkmale werden über die Schlüsselverwaltung erreicht, z.B. das System zur Erzeugung, Verteilung und Speicherung der Schlüssel der Benutzer.
Die Schlüsselverwaltung erfolgt über eine Zertifizierungsstelle oder einen vertrauenswürdigen Agenten, der für die Bestätigung der Identität eines Benutzers verantwortlich ist. Dies geschieht für jeden Benutzer (einschließlich Banken), dem ein digitales Identitätszertifikat ausgestellt wird. Das Zertifikat kann immer dann verwendet werden, wenn sich der Benutzer gegenüber einem anderen Benutzer identifizieren möchte. Darüber hinaus ermöglichen die Zertifikate die sichere und authentifizierte Einrichtung eines privaten Schlüssels zwischen den Benutzern. Dieser private Schlüssel wird dann verwendet, um nachfolgende Nachrichten zu verschlüsseln. Diese Technik kann implementiert werden, um einige oder alle der oben genannten Sicherheitsmerkmale zur Verfügung zu stellen.
Obwohl die Authentifizierungsinfrastruktur von der Einrichtung des elektronischen Geschäftsverkehrs getrennt sein kann, ist ihre Sicherheit ein wesentlicher Bestandteil der Sicherheit des elektronischen Geschäftsverkehrssystems. Ohne eine vertrauenswürdige Zertifizierungsstelle und eine sichere Infrastruktur können die oben genannten vier Sicherheitsmerkmale nicht erreicht werden, und der elektronische Geschäftsverkehr wird über ein nicht vertrauenswürdiges Übertragungsmedium unmöglich.
Wir gehen davon aus, dass im weiteren Verlauf dieses Papiers einige Authentifizierungsinfrastrukturen vorhanden sind, die die vier Sicherheitsmerkmale bereitstellen.
Wir haben den Schutz der Privatsphäre als Schutz vor dem Abhören der eigenen Kommunikation definiert. Einige Befürworter der Privatsphäre wie David Chaum (siehe[2],[3]) definieren den Begriff jedoch weitaus weiter. Echte "Privatsphäre" bedeutet für sie, dass die eigene Einkaufsgeschichte nicht für Banken und Kreditkartenunternehmen (und damit auch für die Regierung) einsehbar ist. Um dies zu erreichen, braucht man nicht nur Privatsphäre, sondern Anonymität. Insbesondere braucht man die Anonymität des Zahlers während der Zahlung sowie Zahlungsunverfolgbarkeit, so dass die Bank nicht erkennen kann, wessen Geld in einer bestimmten Zahlung verwendet wird.
Diese Funktionen sind bei Kreditkarten nicht verfügbar. Das einzige konventionelle Zahlungssystem, das sie anbietet, ist Bargeld. So haben Chaum und andere Unternehmen electronic cash (oder digital cash) eingeführt, ein elektronisches Zahlungssystem, das beide Funktionen bietet. Der Ablauf einer elektronischen Barzahlung ist wie folgt:
Abhebung, bei der Alice einen Teil ihres Vermögens von ihrem Bankkonto auf ihre Karte überweist.
Zahlung, bei der Alice Geld von ihrer Karte an Bob überweist.
Einzahlung, bei der Bob das Geld, das er erhalten hat, auf sein Bankkonto überweist.
(Siehe Abbildung 1.)
 |
Diese Verfahren können auf zwei Arten implementiert werden:
Beachten Sie, dass bei einem Online-System Zahlung und Einzahlung keine getrennten Schritte sind. Wir werden auf Online-Cash und Offline-Cash-Systeme verweisen und dabei das Wort "elektronisch" weglassen, da keine Verwechslungsgefahr mit Papiergeld besteht.
__________
3 Im Zusammenhang mit Electronic Cash wird der Token üblicherweise als elektronische Münze bezeichnet.
Wie in jedem Zahlungssystem gibt es hier das Potenzial für kriminellen Missbrauch, mit der Absicht, entweder das Finanzsystem zu betrügen oder den Zahlungsmechanismus zu nutzen, um irgend ein anderes Verbrechen zu erleichtern. Einige dieser Probleme werden wir im 5. Kapitel näher betrachten. Allerdings soll jetzt das Problem der Fälschung beleuchtet werden, da die Zahlungsprotokolle einen eingebauten Schutz vor Fälschungen enthalten.
Es gibt zwei Missbräuche eines Electronic-Cash-Systems analog zur Fälschung von physischem Bargeld:
Man kann mit Fälschungen umgehen, indem man versucht, sie zu verhindern, oder indem man versucht, sie nachträglich auf eine Art und Weise aufzudecken, die den Täter identifiziert. Vorbeugung ist eindeutig vorzuziehen, alle anderen Dinge sind gleichwertig.
Obwohl es verlockend ist, sich Electronic-Cash-Systeme vorzustellen, in denen die Übertragungs- und Speichermedien sicher sind, wird es sicherlich Anwendungen geben, in denen dies nicht der Fall ist. (Ein offensichtliches Beispiel ist das Internet, dessen Benutzer bekanntermaßen anfällig für Viren und Lauschangriffe sind. Deshalb brauchen wir Techniken, mit denen wir mit Fälschungen umgehen können, die über die physische Sicherheit hinausgehen.)
Zum Schutz vor Tokenfälschungen setzt man auf die üblichen Authentizitätsfunktionen der Benutzeridentifikation und Nachrichtenintegrität. (Beachten Sie, dass der "Benutzer", der durch die Münze identifiziert wird, die ausgebende Bank und nicht der anonyme Spender ist.)
Zum Schutz vor Mehrfachausgaben unterhält die Bank eine Datenbank mit ausgegebenen elektronischen Münzen. Münzen, die sich bereits in der Datenbank befinden, sind zur Einzahlung abzulehnen. Wenn die Zahlungen online sind, verhindert dies Mehrfachausgaben. Wenn offline, ist das Beste, was wir tun können, zu erkennen, wenn mehrere Ausgaben aufgetreten sind. Zum Schutz des Zahlungsempfängers ist es dann notwendig, den Regulierer zu identifizieren. Daher ist es notwendig, den Anonymitätsmechanismus bei Mehrfachausgaben zu deaktivieren.
Die Eigenschaften von Authentizität, Anonymität und Multi-Spender-Exposure werden am bequemsten mit Public-Key-Kryptographie erreicht. Wie dies geschieht, werden wir in den nächsten beiden Kapiteln diskutieren.