Ein Großteil der jüngsten Literatur über Offline-Bargeld hat sich auf das Hinzufügen von Funktionen konzentriert, um die Nutzung komfortabler zu gestalten. In diesem Kapitel werden wir zwei dieser Funktionen besprechen.
Übertragbarkeit ist eine Eigenschaft von Papiergeld, die es einem Benutzer ermöglicht, eine Münze auszugeben, die er gerade in einer Zahlung erhalten hat, ohne die Bank dazwischen kontaktieren zu müssen. Wir bezeichnen eine Zahlung als Überweisung, wenn der Zahlungsempfänger die erhaltene Münze in einer Nachzahlung verwenden kann. Ein Zahlungssystem ist übertragbar, wenn es mindestens eine Überweisung pro Münze zulässt. Abbildung 2 zeigt die maximale Länge des Pfades einer Münze in einem System, das zwei Transfers erlaubt. Die Schlusszahlung gilt nicht als Überweisung, da sie vom Zahlungsempfänger hinterlegt werden muss. Die Übertragbarkeit wäre für ein Offline-Kassensystem ein bequemes Feature, da es weniger Interaktion mit der Bank erfordert. (Ein übertragbares elektronisches Kassensystem ist per Definition offline, da Online-Systeme bei jeder Zahlung eine Kommunikation mit der Bank erfordern.)
 |
Übertragbare Systeme haben in der wissenschaftlichen Literatur wenig Beachtung gefunden. Die in Abschnitt 3.3 dargestellten Systeme sind nicht übertragbar, da der Zahlungsempfänger eine erhaltene Münze nicht in einer anderen Zahlung verwenden kann - seine einzige Möglichkeit besteht darin, sie bei der Bank einzuzahlen oder in neue Münzen umzutauschen. Jedes übertragbare Electronic-Cash-System hat die Eigenschaft, dass die Münze bei jeder Ausgabe "größer werden" muss (d.h. mehr Bits ansammeln). Dies liegt daran, dass die Münze Informationen über jede Person enthalten muss, die sie ausgegeben hat, damit die Bank die Fähigkeit behält, mehrere Spender zu identifizieren. (Siehe [5].) Dieses Wachstum macht es unmöglich, eine unbegrenzte Anzahl von Transfers zuzulassen. Die maximale Anzahl der Transfers, die in einem bestimmten System erlaubt ist, wird durch die zulässige Größe der Münze begrenzt.
Es gibt noch andere Bedenken in Bezug auf ein übertragbares elektronisches Kassensystem, selbst wenn die Anzahl der Überweisungen pro Münze begrenzt ist, und wir entfernen das Eigentum der Anonymität. Bis zur Einzahlung der Münze steht der Bank nur die Identität der Person zur Verfügung, die die Münze ursprünglich abgehoben hat. Alle anderen Transaktionen, die mit dieser Auszahlung zusammenhängen, können nur unter Mitwirkung jedes einzelnen Spenders dieser Münze rekonstruiert werden. Dies wirft die gleichen Probleme auf, die Papiergeld bei der Aufdeckung von Geldwäsche und Steuerhinterziehung aufwirft: Es liegen keine Aufzeichnungen über die Transaktionen vor.
Darüber hinaus verzögert jede Überweisung die Erkennung von wiederverwendeten oder gefälschten Münzen. Mehrfachausgaben werden erst bemerkt, wenn zwei Exemplare der gleichen Münze eingezahlt sind. Bis dahin kann es zu spät sein, den Täter zu fangen, und viele Benutzer haben möglicherweise gefälschte Münzen angenommen. Daher kann die Erkennung von Mehrfachausgaben im Nachhinein keine befriedigende Lösung für ein übertragbares Electronic-Cash-System darstellen. Ein übertragbares System kann sich auf physische Sicherheit verlassen müssen, um Mehrfachausgaben zu vermeiden. (Siehe 5.1.)
Angenommen, Alice ist in einem nicht übertragbaren, off-line Kassensystem eingeschrieben, und sie möchte einen Artikel von Bob kaufen, der z.B. $4,99 kostet. Wenn sie zufällig elektronische Münzen hat, deren Wert genau $4,99 beträgt, dann gibt sie diese Münzen einfach aus. Jedoch, es sei denn, Alice hat eine große Reserve von Münzen jeder möglichen Stückelung gespeichert, ist es unwahrscheinlich, dass sie die genaue Wechselgeld für die meisten Käufe haben wird. Sie kann nicht wünschen, solch eine große Reserve der Münzen an Hand für die etwas von den gleichen Gründen zu halten, die man nicht um eine große Menge Bargeld trägt: Verlust des Interesses und der Furcht vor dem Bargeld, das gestohlen oder verloren wird. Eine andere Möglichkeit ist, dass Alice eine Münze mit dem genauen Betrag für jede Zahlung abhebt, aber das erfordert eine Interaktion mit der Bank, die die Zahlung online aus ihrer Sicht vornimmt. Eine dritte Option ist, dass Bob Alice die Differenz zwischen ihrer Zahlung und dem Kaufpreis von 4,99 $ bezahlt. Dies stellt die Last einer exakten Zahlung auf Bob und erfordert auch, dass Alice sich mit der Bank in Verbindung setzt, um das "Wechselgeld" einzuzahlen.
Eine Lösung für das Dilemma von Alice ist die Verwendung von teilbaren Münzen: Münzen, die in Stücke "zerlegt" werden können, deren Gesamtwert dem Wert der ursprünglichen Münze entspricht. Dies ermöglicht exakte Offline-Zahlungen, ohne dass ein Vorrat an Münzen verschiedener Stückelungen gelagert werden muss. Papiergeld ist offensichtlich nicht teilbar, aber mangelnde Teilbarkeit ist nicht so sehr eine Unannehmlichkeit mit Papiergeld, weil es übertragbar ist. Münzen, die in einer Zahlung eingegangen sind, können in der nächsten Zahlung wieder verwendet werden, so dass die Versorgung mit verschiedenen Stückelungen bei jeder Transaktion teilweise wieder aufgefüllt wird. (Stellen Sie sich vor, wie schnell einem Kassierer das Wechselgeld ausgehen würde, wenn Papiergeld nicht übertragbar wäre und jede Zahlung in einen separaten Behälter für die nächste Bankeinzahlung gelegt würde!)
Es wurden drei teilbare Offline-Bargeldsysteme vorgeschlagen, allerdings zu Lasten einer längeren Transaktionszeit und zusätzlicher Speicherung. Eng und Okamotos teilbares Schema [7] basiert auf der "cut and choose"-Methode. Okamoto [11] ist viel effizienter und basiert auf das Schema von Brands, wird aber auch an Fergusons Schema arbeiten. Okamoto und Ohta [12] ist der effizienteste der drei, aber auch der komplizierteste. Es stützt sich auf die Schwierigkeit des Factorings und auf die Schwierigkeit der Berechnung diskreter Logarithmen.
 |
Alle drei dieser Schemata arbeiten, indem sie einen binären Baum mit jeder Münze mit dem Wert $w verbinden. (Siehe Abbildung 3). Jedem Knoten wird wie folgt ein monetärer Wert zugewiesen: der eindeutige Wurzelknoten (der Knoten auf Ebene 0) hat den Wert $w, die beiden Knoten auf Ebene 1 haben jeweils den Wert $w/2, die vier Knoten auf Ebene 2 haben jeweils den Wert $w/4, usw. Wenn w = 21, dann hat der Baum also l+ 1 Ebenen, und die Knoten auf Ebene j haben jeweils den Wert $w/2j. Die Blätter des Baumes sind die Knoten der Ebene l und haben die minimale Werteinheit.
Um den gesamten Betrag des Wertes $w auszugeben, wird der Wurzelknoten verwendet. Beträge unter $w können ausgegeben werden, indem man eine Menge von Knoten ausgibt, deren Werte sich zu dem gewünschten Betrag addieren.
Anfänglich kann jeder ganze Dollarbetrag von bis zu $w ausgegeben werden. Nachfolgende Zahlungen erfolgen nach den folgenden Regeln:
1. Sobald ein Knoten verwendet wird, können alle seine Nachkommen und Vorfahren9 Knoten nicht mehr verwendet werden.
2. Kein Knoten kann mehrfach verwendet werden.
Diese beiden Regeln stellen sicher, dass nicht mehr als ein Knoten auf einem Pfad von der Wurzel zu einem Blatt verwendet wird. Wenn diese beiden Regeln eingehalten werden, ist es unmöglich, mehr als den ursprünglichen Wert der Münze auszugeben. Wenn eine dieser Regeln gebrochen wird, dann werden zwei Knoten auf dem gleichen Weg verwendet, und die Informationen in den beiden entsprechenden Zahlungen können kombiniert werden, um die Identität der Person, die zu viel ausgegeben hat, auf die gleiche Weise zu enthüllen, wie die Identität eines Mehrfachausstellers.
Genauer gesagt, in den Schemata Eng/Okamoto und Okamoto hat jeder Benutzer einen geheimen Wert, s, der mit seiner Identität verknüpft ist (das Aufdecken von s wird seine Identität aufdecken, aber nicht umgekehrt). Somit entspricht jeder Knoten i einer Zeile
y = sx + ti
Wenn eine Zahlung über einen bestimmten Knoten n erfolgt, wird ti für alle Knoten i, die Vorfahren des Knotens n sind, angezeigt. Dann sendet der Zahlungsempfänger eine Challenge xi und der Zahler antwortet mit
y1 = sx1 + tn.
Dies zeigt einen Punkt (x1, y1) auf der Linie y = sx + tn, aber nicht die Linie selbst. Wenn ein und derselbe Knoten zweimal ausgegeben wird, dann zeigen Antworten auf zwei unabhängige Herausforderungen, x1 und x2, zwei Punkte auf derselben Linie: (x1, y1) und (x2, y2). Dann kann der geheime Wert s nach dem in 3.2 beschriebenen Zwei-Punkte-On-A-Line-Prinzip wiederhergestellt werden.
Wenn jemand versucht, eine Münze zu viel auszugeben, werden zwei Knoten im selben Pfad verwendet. Angenommen, die Knoten n und m befinden sich im gleichen Pfad und der Knoten n ist weiter von der Wurzel entfernt. Wenn Knoten n ausgegeben wird, wird tm angezeigt, da Knoten m ein Vorfahre von Knoten n ist. Wenn nun Knoten m auch ausgegeben wird, dann lautet die Antwort auf eine Challenge x1 y1 = sx1 + tm. Aber tm wurde enthüllt, als tn ausgegeben wurde, also wird sx1 und damit s enthüllt. Daher wird die Ausgabe von zwei Knoten im selben Pfad die Identität des Overspenders offenbaren. Das teilbare Okamoto/Ohta-Schema verwendet auch einen Binärbaum mit den gleichen Regeln für die Verwendung von Knoten, um Mehrfach- und Überausgaben zu verhindern. Wenn Knoten jedoch unsachgemäß verwendet werden, wird eine andere Technik verwendet, um die Identität des Spenders zu bestimmen. Anstatt das Identifikationsgeheimnis des Benutzers in einer Linie zu verbergen, für die bei der Ausgabe einer Münze ein Punkt aufgedeckt wird, wird das Identifikationsgeheimnis des Benutzers in der Faktorisierung eines RSA-Moduls versteckt. Wenn man den gleichen Knoten zweimal ausgibt oder zwei Knoten auf dem gleichen Weg ausgibt, erhält die Bank genügend Informationen, um den Modulus (der Teil der Münze ist) zu berücksichtigen und dann die geheimen Identifizierungsinformationen des Benutzers zu berechnen.
Obwohl diese drei teilbaren Schemata nicht nachvollziehbar sind, können Zahlungen, die aus der gleichen Ausgangsmünze stammen, miteinander "verbunden" werden, was bedeutet, dass man erkennen kann, ob zwei Zahlungen von derselben Münze und damit von derselben Person stammen. Dies zeigt nicht die Identität des Zahlers, wenn beide Zahlungen gültig sind (siehe Regeln 1 und 2, oben), aber die Offenlegung der Identität des Zahlers für einen Kauf würde die Identität des Zahlers für alle anderen Einkäufe, die mit derselben ursprünglichen Münze getätigt werden, offenbaren.
Dies sind drei Beispiele für Offline-Cash-Systeme mit teilbaren Münzen. Obwohl die Bereitstellung der Teilbarkeit das Protokoll erschwert, kann es ohne Verlust der Rückverfolgbarkeit oder der Fähigkeit, unsachgemäße Spender zu erkennen, durchgeführt werden. Das effizienteste teilbare Schema hat eine Transaktionszeit und einen Speicherbedarf pro Münze proportional zum Logarithmus von N, wobei N der gesamte Münzwert geteilt durch den Wert der kleinsten teilbaren Einheit ist. Es werden weitere Effizienzsteigerungen bei teilbaren Systemen erwartet, da die jüngste Verbesserung erst 1995 vorgestellt wurde.
__________
9 Ein Nachkomme eines Knotens n ist ein Knoten auf einem Pfad von Knoten n zu einem Blatt. Ein Vorfahre des Knotens n ist ein Knoten auf dem Weg vom Knoten n zum Wurzelknoten.
Weiter mit 5. Sicherheitsbelange ...