Exkurs: Auszahlung am Geldautomaten (altes Verfahren bis 1999).

Geldkarten sind normalerweise nicht anonym - sie sind mit einem »Schattenkonto« bei der Bank verknüpft. [Bank/Maestro-Karte, ehemals ec-Karte.] Es gibt auch anonyme Geldkarten (»Prepaid«, 10 DM Pfand).

Ideale Eigenschaften elektronischen Geldes

Fälschungssicherheit:

Nur autorisierte Stellen können Geld anfertigen.

Universalität:

Das Geld kann über Netze übertragen und an beliebiger Stelle verwendet werden.

Offline-Verwendbarkeit:

An keiner Stelle des Protokolls ist eine Kommunikationsverbindung zu einer Bank oder anderen Zentralstelle nötig.

Einmalverwendbarkeit

Das Geld kann nicht mehrfach ausgegeben werden.

Anonymität:

Niemand kann die Verbindung zwischen der Identität des Käufers und dem Kaufvorgang herstellen. (Außer dem Händler bei Sichtkontakt. Hauptanwendung ist aber anonymes Kaufen im Netz.)

Übertragbarkeit:

Das Geld kann an andere Besitzer weitergegeben werden.

Teilbarkeit:

Das Geld kann in Teilbeträgen ausgegeben werden.

Szenario des elektronischen Geldes

Echtes Hartgeld ist perfekt anonym, Papiergeld (durch die Seriennummer) verfolgbar (wichtige Ermittlungshilfe in Erpressungsfällen!).

Teilnehmer des Protokolls:

• A = Alice (Kundin)
• B = Bob (Bank)
• H = Hans (Händler)
• K = Klaus (Krimineller)

Herstellung einer elektronischen Münze (»Prägung«)

A = Alice möchte von der RSA-Bank B eine 1000-€-Münze (gegen Abbuchung des Betrags von ihrem Konto).

Idee: Repräsentation durch ein Pseudonym; dieses soll mit dem Wert 1000 € verbunden und genau einmal verwendbar sein.

Realisierung:

1. A wählt zufällige Seriennummer w.
2. A lässt w von B blind unterschreiben.

Verwendung einer elektronischen Münze

A will bei H mit ihrer 1000-€-Münze bezahlen.

1. H prüft die Echtheit der Münze (mit öffentlichem Prüfschlüssel von B).
2. H reicht Münze bei der Bank B ein.
3. B prüft die Echtheit.
4. B schreibt H 1000 € gut.

Eigenschaften des elektronischen Geldes

(nach diesem Protokoll)

1. A (oder K) kann kein Falschgeld erzeugen:
   • Der Signaturschlüssel der Bank ist geheim.
   • Erzeugen passender Seriennummer zu gegebener Unterschrift ist ausgeschlossen durch vorgegebene Struktur von w (wie bei Pseudonymen - z. B. große Zahl v zweimal hintereinandergeschrieben).
2. A bleibt vor H und B anonym (wie bei Pseudonymen); auch B kann die Münze nicht wiedererkennen.
3. B kann kein ungültiges Geld ausgeben: A prüft die Unterschrift nach Erhalt.
4. B ist vor Wiederverwendung sicher - durch Speicherung der Seriennummer w bei Einlösung.
5. B kann Wiederverwendung vortäuschen, um nicht zahlen zu müssen - dazu Kooperation mit (geeignetem) H notwendig.
6. H kann Münze als echt erkennen.
7. H ist vor Wiederverwendung nicht sicher
   • Lösung: online-Verbindung oder Erweiterung des Protokolls.
8. K (auch H) kann Münze stehlen oder kopieren und selbst verwenden.
• Schutz für A: Camouflage der blinden Unterschrift erst beim Bezahlen entfernen.
9. K kann A erpressen und Münze anonym verwenden.
   • Abhilfe: A verzichtet sofort auf ihre Anonymität und meldet w an B.

Mögliche Erweiterungen des Protokolls

• Berücksichtigung verschiedener Münzwerte
• Schutz von H vor Wiederverwendung
• Aufdeckungsmöglichkeit des Pseudonyms bei Betrugsversuch durch Wiederverwendung

Umsetzung bei DigiCash, Modellversuch bei der Deutschen Bank. Durchsetzung am Markt gescheitert - politisch sind weniger anonyme Zahlungsmethoden bevorzugt! Rückverfolgung von Geldflüssen ist eine wichtige Methode der Strafverfolgung.

Zum Thema Datenschutz versus Verbrechensbekämpfung:

Kidnapping mit elektronischem Geld

1. K kidnappt den Bundeskanzler.
2. K erzeugt 10000 Seriennummern für 1000-€-Münzen und hinterlegt diese (in camouflierter Form) an einer Stelle, die er später der Polizei bekanntgibt,
3. fordert, diese von verschiedenen Banken als echt kennzeichnen zu lassen und die Ergebnisse an öffentlicher Stelle zu deponieren (irgendwie getarnt oder verschlüsselt) (Zeitungsanzeige oder Newsgruppe).
4. K holt sich das Geld dort ab und lässt den Bundeskanzler wieder frei.

Hauptsächlich aus diesem Grund ist anonymes elektronisches Geld zur Zeit politisch nicht durchzusetzen. Im Gegenteil, die Europäische Zentralbank plant sogar, bis 2005 größere Euro-Banknoten zusätzlich mit Identifikations-Chips (Transpondern) auszustatten [Heise, 20. 12. 2001] [Heise, 26. 12. 2001]. Diese werden eine lückenlose Verfolgung der Banknote ermöglichen. Als Grund offen genannt wird aber vor allem die höhere Fälschungssicherheit. Man darf gespannt sein, wie fälschungssicher solche Chips sind.

Elektronische Zahlungssysteme im Internet

DigiCash ecash
Mondex Home Page
Network Payment Mechanisms and Digital Cash