In diesem Abschnitt werden einige Fragen zur Sicherheit von Electronic Cash behandelt. Zuerst besprechen wir Wege, um Mehrfachausgaben in Offline-Systemen zu vermeiden, und wir beschreiben das Konzept der Wallet-Beobachter. Wir besprechen auch die Folgen eines unerwarteten Ausfalls der Systemsicherheit. Schließlich beschreiben wir eine Lösung für einige der Strafverfolgungsprobleme, die durch Anonymität entstehen.
In 1.3 erklärten wir, dass Mehrfachausgaben bei Online-Zahlungen durch die Pflege einer Datenbank mit verbrauchten elektronischen Münzen verhindert werden können, aber es gibt keine kryptographische Methode, um zu verhindern, dass eine Offline-Münze mehr als einmal ausgegeben wird. Stattdessen werden Offline-Mehrfachausgaben erkannt, wenn die Münze eingezahlt und mit einer Datenbank verbrauchter Münzen verglichen wird. Selbst bei anonymen, nicht nachvollziehbaren Zahlungssystemen kann die Identität des Mehrfachverwenders offengelegt werden, wenn der Missbrauch festgestellt wird. Die Erkennung nach der Tatsache kann in den meisten Fällen ausreichen, um Mehrfachausgaben zu verhindern, aber sie wird das Problem nicht lösen. Wenn jemand in der Lage war, ein Konto unter einer falschen Identität zu erhalten, oder bereit war, zu verschwinden, nachdem er eine große Geldsumme wieder ausgegeben hatte, konnte er das System erfolgreich betrügen.
Eine Möglichkeit, das Problem der Mehrfachausgaben in einem Offline-System zu minimieren, besteht darin, eine Obergrenze für den Wert jeder Zahlung festzulegen. Dies würde die finanziellen Verluste für einen bestimmten Händler durch die Annahme von Münzen, die zuvor eingezahlt wurden, begrenzen. Dies hindert jedoch niemanden daran, die gleiche kleine Münze mehrmals an verschiedenen Orten auszugeben.
Um Mehrfachausgaben bei Offline-Zahlungen zu vermeiden, müssen wir uns auf physische Sicherheit verlassen. Eine "fälschungssichere" Karte könnte Mehrfachausgaben verhindern, indem sie eine Münze nach dem Ausgeben entfernt oder deaktiviert. Leider gibt es so etwas wie eine echte "manipulationssichere" Karte nicht. Stattdessen sprechen wir von einer "manipulationssicheren" Karte, die physikalisch so konstruiert ist, dass es sehr schwierig ist, ihren Inhalt zu verändern. Dies kann in Form einer Smartcard, einer PC-Card10 oder eines beliebigen Speichermediums mit einem manipulationssicheren Computerchip geschehen. Dies wird Missbrauch in den meisten Fällen verhindern, da der typische Kriminelle nicht die Mittel hat, die Karte zu modifizieren. Selbst bei einer fälschungssicheren Karte ist es nach wie vor unerlässlich, kryptographische Sicherheit zu bieten, um Fälschungen zu verhindern und mehrere Spender zu erkennen und zu identifizieren, falls der Manipulationsschutz irgendwie besiegt wird. Außerdem würde die Festlegung von Grenzwerten für den Wert von Offline-Zahlungen die Kostenwirksamkeit von Manipulationen an der Karte verringern.
Manipulationssichere Karten können dem Karteninhaber auch persönliche Sicherheit und Privatsphäre bieten, indem sie es Gegnern erschweren, die auf der Karte gespeicherten Informationen (wie geheime Schlüssel, Algorithmen oder Aufzeichnungen) zu lesen oder zu ändern.
__________
10 Ehemals PCMCIA oder Personal Computer Memory Card International Association.
Alle in 3.3 vorgestellten Offline-Bargeldsysteme können kryptographisch die Identität mehrerer Spender erkennen, aber die einzige Möglichkeit, Offline-Mehrfachausgaben zu verhindern, besteht darin, ein manipulationssicheres Gerät wie eine Smartcard zu verwenden. Ein Nachteil dieses Ansatzes ist, dass der Benutzer diesem Gerät sehr viel Vertrauen schenken muss, da der Benutzer die Möglichkeit verliert, Informationen zu überwachen, die in die Karte eindringen oder sie verlassen. Es ist denkbar, dass das manipulationssichere Gerät ohne Wissen des Anwenders private Informationen über den Benutzer ausspionieren könnte.
Chaum und Pedersen [6] schlugen die Idee vor, ein manipulationssicheres Gerät in ein benutzergesteuertes Außenmodul einzubetten, um die Sicherheitsvorteile eines manipulationssicheren Geräts zu erreichen, ohne dass der Benutzer dem Gerät vertrauen muss. Sie nennen diese Kombination eine elektronische Geldbörse (siehe Abbildung 4). Das Außenmodul (z.B. ein kleiner Handheld-Computer oder der PC des Benutzers) ist für den Benutzer zugänglich. Das innere Modul, das nicht gelesen oder verändert werden kann, wird als "Beobachter" bezeichnet. Alle Informationen, die den Beobachter zugeführt werden oder ihn verlassen, müssen durch das Außenmodul geleitet werden, so dass der Benutzer Informationen, die die Karte erreichen oder verlassen, überwachen kann. Allerdings kann das Außenmodul eine Transaktion ohne die Mitwirkung des Beobachters nicht abschließen. Dies gibt dem Beobachter die Möglichkeit, den Benutzer daran zu hindern, Transaktionen durchzuführen, die er nicht billigt, wie z.B. das mehrfache Ausgeben derselben Münze.
 |
Brands [1] und Ferguson [8] haben beide gezeigt, wie man Beobachter in ihre jeweiligen Electronic-Cash-Systeme einbindet, um Mehrfachausgaben zu vermeiden. Das Brands-Schema integriert Beobachter auf eine viel einfachere und effizientere Art und Weise. Im Grundschema von Brands ist der geheime Schlüssel des Benutzers in jede seiner Münzen integriert. Wenn eine Münze ausgegeben wird, verwendet der Spender sein Geheimnis, um eine gültige Antwort auf eine Herausforderung des Zahlungsempfängers zu erstellen. Der Zahlungsempfänger wird die Antwort überprüfen, bevor er die Zahlung annimmt.
In Brands-Schema mit Walletbeobachtern wird dieses Benutzergeheimnis zwischen dem Benutzer und seinem Beobachter geteilt. Das kombinierte Geheimnis ist eine modulare Summe der beiden Anteile, so dass eine Aktie des Geheimnisses keine Informationen über das kombinierte Geheimnis preisgibt. Die Zusammenarbeit zwischen dem Benutzer und dem Beobachter ist notwendig, um eine gültige Antwort auf eine Herausforderung während eines Zahlungsvorgangs zu erhalten. Dies geschieht, ohne dass der Benutzer oder der Beobachter dem anderen Informationen über seinen Anteil am Geheimnis preisgibt. Es verhindert auch, dass der Beobachter die Antwort kontrolliert, so dass der Beobachter keine Informationen über den Spender preisgeben kann.
Ein Beobachter könnte auch verwendet werden, um die Transaktionen des Benutzers zu einem späteren Zeitpunkt zu verfolgen, da er alle Transaktionen, an denen er beteiligt ist, protokollieren kann. Dies setzt jedoch voraus, dass die Bank (oder derjenige, der das Tracing durchführt) in der Lage sein muss, den Beobachter zu erhalten und zu analysieren. Außerdem können nicht alle Arten von Beobachtern verwendet werden, um Transaktionen zu verfolgen. Sowohl Brands als auch Ferguson behaupten, dass sie Beobachter in ihre Systeme einbeziehen können und dennoch die Unauffindbarkeit der Transaktionen der Nutzer beibehalten, selbst wenn der Beobachter, der für die Transaktionen verwendet wird, gefunden wurde und analysiert werden kann.
In jedem kryptographischen System besteht das Risiko eines Sicherheitsfehlers. Ein Sicherheitsfehler in einem Electronic-Cash-System würde dazu führen, dass Geld gefälscht oder dupliziert werden kann. Es gibt verschiedene Möglichkeiten, wie ein Electronic-Cash-System versagen könnte.
Eine der gravierendsten Arten von Fehlern wäre, dass die Kryptographie (das Protokoll oder die zugrundeliegende Mathematik) nicht die beabsichtigte Sicherheit bietet.11 Dies könnte es jemandem ermöglichen, gültige Münzen ohne Kenntnis des geheimen Schlüssels einer autorisierten Bank zu erstellen oder gültige geheime Schlüssel ohne physischen Zugang zu ihnen zu erhalten. Jeder, der sich der Schwäche bewusst ist, könnte Münzen herstellen, die von einer legitimen Bank im System stammen.
Eine weitere schwerwiegende Art von Fehlern kann in einer spezifischen Implementierung des Systems auftreten. Zum Beispiel, wenn der Zufallszahlengenerator der Bank nicht gut ist, kann man die geheime Zufallszahl erraten und sie zur Berechnung der geheimen Schlüssel verwenden, die zur Erzeugung von elektronischem Geld verwendet werden.
Selbst wenn die Kryptographie und die Implementierung sicher sind, könnte die Sicherheit bei einer physischen Kompromittierung scheitern. Wenn ein Computer-Hacker, Dieb, unehrlicher Bankangestellter oder ein Schurkenstaat Zugang zum geheimen Schlüssel der Bank erhalten sollte, könnten sie Falschgeld erschaffen. Wenn sie Zugriff auf den geheimen Schlüssel eines Benutzers erhalten, können sie das Geld dieses Benutzers ausgeben. Wenn sie die Software des Benutzers oder der Bank modifizieren könnten, könnten sie die Sicherheit des Systems zerstören.
Die oben genannten Ausfallszenarien gelten nicht nur für das Electronic-Cash-System, sondern auch für die zugrunde liegende Authentifizierungsinfrastruktur. Jede Form des elektronischen Geschäftsverkehrs hängt stark von der Fähigkeit der Nutzer ab, den Authentifizierungsmechanismen zu vertrauen. Wenn ein Angreifer beispielsweise eine Fälschung der digitalen Signatur der Zertifizierungsstelle nachweisen könnte, würde dies das Vertrauen der Benutzer in ihre Fähigkeit, sich gegenseitig zu identifizieren, untergraben. Daher müssen die Zertifizierungsstellen ebenso gründlich abgesichert werden wie die Banken.
Alle drei in diesem Papier beschriebenen Grundschemata sind anonym, was es für niemanden unmöglich macht, eine eingezahlte Münze mit dem Abhebungsdatensatz der Ursprungsbank dieser Münze zu verbinden. Diese Eigenschaft hat schwerwiegende Folgen im Falle eines Sicherheitsfehlers, der zur Fälschung von Token führt. Wenn eine Münze zur Einzahlung eingereicht wird, ist es unmöglich festzustellen, ob sie gefälscht ist. Selbst die Ursprungsbank ist nicht in der Lage, ihre eigenen Münzen zu erkennen, so dass die Kompromittierung nicht erkannt werden kann. Es ist denkbar, dass die Kompromittierung erst dann entdeckt wird, wenn die Bank feststellt, dass der Gesamtwert der Einlagen ihres Electronic Cash den Betrag übersteigt, den sie mit einem bestimmten Schlüssel geschaffen hat. Zu diesem Zeitpunkt könnten die Verluste verheerend sein.
Nach der Entdeckung einer Schlüsselkompromittierung wird die Bank immer noch nicht in der Lage sein, gültige Münzen von ungültigen Münzen zu unterscheiden, da Ein- und Auszahlungen nicht miteinander verknüpft werden können. Die Bank müsste ihren geheimen Schlüssel ändern und alle Münzen ungültig machen, die mit dem kompromittierten Schlüssel signiert wurden. Die Bank kann noch nicht ausgegebene Münzen ersetzen, aber die Gültigkeit von nicht nachvollziehbaren Münzen, die bereits ausgegeben oder eingezahlt wurden, kann ohne Mitwirkung des Zahlers nicht festgestellt werden. Die Unauffindbarkeit der Zahlung verhindert, dass die Bank die Identifikationsangaben ermittelt.
Es ist möglich, diesen Schaden zu minimieren, indem die Anzahl der Münzen, die von einer einzigen Kompromittierung betroffen sind, begrenzt wird. Dies könnte durch Änderung des öffentlichen Schlüssels der Bank in bestimmten Zeitabständen geschehen, oder wenn der Gesamtwert der von einem einzigen Schlüssel ausgegebenen Münzen einen bestimmten Grenzwert überschreitet. Diese Art der Abschottung reduziert jedoch die Anonymität, indem sie den Pool an Abhebungen, die einer bestimmten Einzahlung entsprechen könnten, verkleinert und umgekehrt.
__________
11 Uns ist nichts in der Literatur bekannt, was auf diese Art von Misserfolg mit den in diesem Papier besprochenen Protokollen hindeuten würde.
Die Anonymitätseigenschaften von Electronic Cash werfen mehrere Probleme bei der Strafverfolgung auf, da sie verhindern, dass Abhebungen und Einzahlungen miteinander verknüpft werden. Im vorigen Abschnitt haben wir erklärt, wie dies die Erkennung von gefälschten Münzen verhindert. Anonymität macht es auch schwierig, Geldwäsche und Steuerhinterziehung aufzudecken, da es keine Möglichkeit gibt, den Zahler und den Zahlungsempfänger miteinander zu verknüpfen. Schließlich ebnet Electronic Cash den Weg für neue Versionen alter Straftaten wie Entführung und Erpressung (vgl.[13]), bei denen Geldtransaktionen nun sicher vom Heimcomputer des Täters aus durchgeführt werden können.12)
Eine Möglichkeit, diese Bedenken zu minimieren, besteht darin, dass große Transaktionen oder eine große Anzahl von Transaktionen in einem bestimmten Zeitraum nachvollziehbar sein müssen. Dies würde die Begehung von Straftaten mit hohen Bargeldbeträgen erschweren. Aber auch ein strenges Limit, wie z.B. ein Maximum von $100 pro Tag bei Auszahlungen und Einzahlungen, kann sich schnell summieren, besonders wenn man mehrere Konten eröffnen kann, jedes mit einem eigenen Limit. Auch die Begrenzung der Ausgaben in einem bestimmten Zeitraum müsste auf ein manipulationssicheres Gerät angewiesen sein.
Eine weitere Möglichkeit, diese Bedenken zu minimieren, besteht darin, einen Mechanismus zur Wiederherstellung der Rückverfolgbarkeit unter bestimmten Bedingungen, wie z.B. einem Gerichtsbeschluss, bereitzustellen. Die Rückverfolgbarkeit kann nach ihrer Richtung in zwei Typen unterteilt werden.
Stadler, Piveteau und Camenisch stellen in [14] eine Lösung vor, die die Rückverfolgbarkeit sowohl vorwärts als auch rückwärts bedingt wiederherstellt. Im grundlegenden Cut-and-Choice-Schema ist jedem Auszahlungssatz eine Identifizierungsnummer zugeordnet, und jedem Einzahlungssatz ist eine andere Identifizierungsnummer zugeordnet. Es gibt zunächst keine Möglichkeit, diese beiden Datensätze miteinander zu verknüpfen.
Um einen Mechanismus für die Wiederherstellung der Rückverfolgbarkeit zu schaffen, wird die Auszahlungsnummer (zusammen mit einigen anderen Daten, die nicht mit der Auszahlung in Verbindung gebracht werden können) mit dem öffentlichen Schlüssel einer vertrauenswürdigen Einheit verschlüsselt und in die Münze selbst integriert. Diese verschlüsselte Auszahlungsnummer wird als Teil des Zahlungsprotokolls an den Zahlungsempfänger weitergegeben und dann an die Bank weitergegeben, wenn die Münze vom Zahlungsempfänger eingezahlt wird. Der Zahler führt die Verschlüsselung während der Auszahlungstransaktion durch, aber die Bank kann versichern, dass die Verschlüsselung ordnungsgemäß durchgeführt wurde. Wenn die erforderlichen Voraussetzungen für die Rückverfolgung erfüllt sind, kann die Zahlung oder Einzahlung an die Vertrauensperson, die den geheimen Schlüssel besitzt, übergeben werden, um die Auszahlungsnummer zu entschlüsseln. Diese Auszahlungsnummer ermöglicht es der Bank, auf ihre Auszahlungsunterlagen zuzugreifen und den Zahler zu identifizieren.
Um einen Mechanismus zur Wiederherstellung der Rückverfolgbarkeit zu schaffen, muss sich der Zahler bei der Entnahme der Münze auf eine Pfandnummer verpflichten. Der Zahler verschlüsselt diese Einzahlungsnummer mit dem öffentlichen Schlüssel einer allgemein vertrauenswürdigen Einrichtung (zusammen mit einigen anderen Daten, die nicht mit der Einzahlung in Verbindung gebracht werden können) und muss diesen Wert als Teil des Abhebungsprotokolls an die Bank senden. Die Bank kann feststellen, dass der Zahler nicht betrogen hat, obwohl sie nur die Depotnummer in verschlüsselter Form sieht. Wenn die erforderlichen Bedingungen für die Rückverfolgung erfüllt sind, kann der Auszahlungssatz an die vertrauenswürdige Instanz, die den geheimen Schlüssel besitzt, übergeben werden, um die Depotnummer zu entschlüsseln. Anhand dieser Depotnummer kann die Bank den Einleger (den Zahlungsempfänger) identifizieren.
Stadler et al. haben gezeigt, dass es möglich ist, einen Mechanismus zur Wiederherstellung der Rückverfolgbarkeit in eine oder beide Richtungen bereitzustellen. Dies kann verwendet werden, um Benutzern Anonymität zu bieten und gleichzeitig viele der Probleme der Strafverfolgung zu lösen, die in einem völlig unauffindbaren System existieren. Die Fähigkeit, Transaktionen in beide Richtungen zu verfolgen, kann den Strafverfolgungsbehörden dabei helfen, Steuerhinterzieher und Geldwäscher zu fangen, indem sie aufdecken, wer von dem verdächtigen Kriminellen bezahlt hat oder bezahlt wurde. Elektronische Erpresser können erwischt werden, weil die Einzahlungsnummern der unrechtmäßig erworbenen Münzen des Opfers entschlüsselt werden könnten, um den Erpresser zu identifizieren, wenn das Geld eingezahlt wird.
Die Möglichkeit, die Rückverfolgbarkeit wiederherzustellen, löst nicht ein sehr wichtiges Problem der Strafverfolgung: das Aufspüren gefälschter Münzen. Rückwärtsverfolgung hilft, eine gefälschte Münze zu identifizieren, wenn eine bestimmte Zahlung oder Einzahlung (oder Einzahler) unter Verdacht steht. In diesem Fall wird die Rückwärtsverfolgung die Auszahlungsnummer offenbaren, so dass die auslösende Bank ihren Auszahlungsbeleg finden und die Gültigkeit der Münze überprüfen kann. Wenn jedoch eine gefälschte Münze in das System gelangt, kann sie erst dann entdeckt werden, wenn die Bank, deren Geld gefälscht wird, feststellt, dass der Gesamtwert ihrer elektronischen Bareinzahlungen unter Verwendung eines bestimmten Schlüssels den Wert ihrer Abhebungen übersteigt. Der einzige Weg, um festzustellen, welche Einzahlungen echt und welche gefälscht sind, wäre, die Erlaubnis zu erhalten, die Auszahlungsnummern für jede Einzahlung von Electronic Cash mit dem kompromittierten Schlüssel zu entschlüsseln. Dies würde die Privatsphäre verletzen, die anonymes Bargeld schützen sollte.
Leider ist das Schema von [14] nicht effizient, weil es auf der sperrigen Cut-and-Choose-Methode basiert. Es könnte jedoch möglich sein, ähnliche Ideen anzuwenden, um die Rückverfolgbarkeit in einem effizienteren Electronic-Cash-System wiederherzustellen.
__________
12 Wir werden uns nicht auf solche Verbrechen gegen Einzelpersonen konzentrieren, sondern auf Verbrechen gegen die Regierung, das Bankensystem und die Volkswirtschaft.
Weiter mit der Schlußfolgerung und den Referenzen ...