Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
298<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
297<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
6.4.2 E<strong>in</strong>schränkung der Anonymität durch vorgegebene Konten<br />
Es wäre denkbar, daß e<strong>in</strong> so vollständig anonymes Zahlungssystem wie das <strong>in</strong> §6.4.1 beschriebene<br />
nicht erwünscht ist, da dabei, zum<strong>in</strong>dest ohne zusätzliche Vorkehrungen, niemand (<strong>in</strong>sbesondere<br />
auch nicht das F<strong>in</strong>anzamt) Aussagen über das Eigentum oder E<strong>in</strong>kommen der Benutzer machen kann.<br />
Allerd<strong>in</strong>gs gilt das gleiche auch für gewöhnliches Bargeld, <strong>und</strong> selbst <strong>in</strong> bisherigen bargeldlosen<br />
Zahlungssystemen wird die im Pr<strong>in</strong>zip vorhandene Information über Personen mit Konten bei<br />
mehreren Banken zum<strong>in</strong>dest offiziell nur sehr selten zusammengeführt.<br />
Aus diesen Gründen könnte jedem Benutzer nur die Inhabe e<strong>in</strong>es e<strong>in</strong>zigen Kontos (oder e<strong>in</strong>er<br />
bekannten Anzahl) gestattet se<strong>in</strong>, über das alle Zahlungen abgewickelt werden müssen. Dies kann<br />
durch Nichtanonymität der Konten oder mittels umrechenbarer Autorisierungen für die E<strong>in</strong>richtung<br />
anonymer Konten erzwungen werden. Auch für diese Situation kann man durch Abwandlung des<br />
Protokolls aus §6.4.1 e<strong>in</strong> sicheres Zahlungssystem konstruieren, das so anonym wie unter dieser<br />
Voraussetzung möglich ist.<br />
Die Voraussetzung läßt sich dadurch ausdrücken, daß p B<br />
Z (X,t) oder pEB (Y,t) diesmal für alle<br />
Zahlungen e<strong>in</strong>es Benutzers X bzw. Y gleich, d.h. von t unabhängig ist. Damit ist das Protokoll aus<br />
§6.4.1 nicht mehr völlig anonym, da X <strong>und</strong> Y e<strong>in</strong>ander <strong>in</strong> Schritt [1] unnötigerweise ihre sie<br />
e<strong>in</strong>deutig kennzeichnenden Kontonummern p B<br />
Z (X,t) <strong>und</strong> pEB (Y,t) mitteilen würden <strong>und</strong> B sähe,<br />
zwischen welchen zweien der festen Konten e<strong>in</strong> Transfer stattf<strong>in</strong>det.<br />
Die Lösung ist, anonyme, bei jedem Transfer wechselnde Zwischenpseudonyme e<strong>in</strong>zuführen, so<br />
daß zunächst X das Geld von se<strong>in</strong>em Konto abhebt <strong>und</strong> auf se<strong>in</strong> Zwischenpseudonym transferiert,<br />
dann unter diesem an Y unter dessen Zwischenpseudonym zahlt, <strong>und</strong> zuletzt Y das Geld wieder auf<br />
se<strong>in</strong> Konto e<strong>in</strong>zahlt. Die e<strong>in</strong>zelnen Transfers laufen dabei nach dem Protokoll aus §6.4.1 ab, <strong>in</strong>sbesondere<br />
werden die Autorisierungen, das Recht erhalten zu haben, zwischen den Teiltransfers auf<br />
andere Pseudonyme umgerechnet, so daß eigentlich Zahlender <strong>und</strong> Empfänger je zwei zusammengehörende<br />
Zwischenpseudonyme haben. Bezeichne<br />
• pK(X) das vorgegebene, zum Konto gehörende Pseudonym e<strong>in</strong>er Person X,<br />
• pab (X,t) das Pseudonym des Zahlenden X im Transfer t, unter dem er das Geld abhebt,<br />
• pZwZ (X,t) das Zwischenpseudonym des Zahlenden X im Transfer t, d.h. dasjenige, unter dem<br />
er an Y zahlt,<br />
• pZwE (Y,t) das Zwischenpseudonym des Empfängers Y im Transfer t, d.h. dasjenige, unter<br />
dem er das Recht von X empfängt, <strong>und</strong><br />
• pe<strong>in</strong>(Y,t) das Pseudonym des Empfängers Y im Transfer t, unter dem er das Geld e<strong>in</strong>zahlt.<br />
Da man die <strong>in</strong> [6] erhaltene Bestätigung über den Empfang des Rechtes <strong>in</strong> e<strong>in</strong>em zukünftigen Transfer<br />
verwendet, um dasselbe Recht, d.h. denselben Geldbetrag zu transferieren, ist es s<strong>in</strong>nvoll, <strong>in</strong> diesem<br />
Zahlungssystem wie bei Bargeld Rechte vorgegebener Nennwerte zu verwenden, aus denen man bei<br />
jeder Zahlung den gewünschten Betrag zusammensetzt. Natürlich muß man auch bei B Geld<br />
wechseln dürfen.<br />
Damit man den umgeformten Bestätigungen bei ihrer Verwendung <strong>in</strong> [2] den Nennwert ansieht,<br />
verwendet B für jeden Nennwert N e<strong>in</strong>e andere digitale Signatur, d.h. e<strong>in</strong> eigenes Pseudonym pB,N .<br />
Die <strong>Sicherheit</strong> des Protokolls ergibt sich daraus, daß am Ende e<strong>in</strong>es Transfers jeder der drei Beteiligten<br />
genügend Dokumente über dessen Stattf<strong>in</strong>den hat (die er aufbewahren muß) <strong>und</strong> auch während<br />
des Transfers jeder e<strong>in</strong>em objektiven Dritten stets entweder den aktuellen Zustand beweisen oder<br />
diesen überprüfbar herstellen kann, <strong>in</strong>dem er die bisher von anderen erhaltenen Nachrichten vorlegt<br />
<strong>und</strong> se<strong>in</strong>e eigenen, sofern deren Erhalt abgestritten wird, noch e<strong>in</strong>mal sendet.<br />
Außerdem können Forderungen <strong>in</strong>nerhalb e<strong>in</strong>es Transfers, die e<strong>in</strong>getrieben werden müssen, nur<br />
an den Zeugen entstehen, der nicht anonym ist.<br />
Halten sich X <strong>und</strong> Y an das Protokoll, so ist die Anonymität des Protokolls maximal, da ke<strong>in</strong>er durch<br />
den Transfer über e<strong>in</strong>en anderen irgendwelche neue Information erhält: Der Zeuge erfährt bei e<strong>in</strong>er<br />
Zahlung ke<strong>in</strong>es der Pseudonyme, die X <strong>und</strong> Y sonst verwenden, sondern nur zwei neue, die außer <strong>in</strong><br />
dieser e<strong>in</strong>en Zahlung nie mehr vorkommen. X <strong>und</strong> Y erfahren zwar vone<strong>in</strong>ander auch die Pseudonyme,<br />
die sie bei dieser Zahlung gegenüber dem Zeugen verwenden, aber da diese mit nichts verkettbar<br />
s<strong>in</strong>d <strong>und</strong> ohneh<strong>in</strong> klar war, daß irgendwelche Pseudonyme gegenüber dem Zeugen verwendet werden,<br />
stellt auch dies ke<strong>in</strong>e neue Information dar.<br />
Daß die Anonymität des Protokolls maximal ist, heißt aber noch nicht, daß <strong>in</strong> jeder Situation<br />
starke Anonymität herrscht, denn es gibt andere Möglichkeiten zur Informationsgew<strong>in</strong>nung.<br />
Zum e<strong>in</strong>en gibt es außer den eigens gewählten Pseudonymen noch andere Kennzeichen für die<br />
Benutzer, die die Partner unabhängig vom gewählten Protokoll erfahren müssen. Hier s<strong>in</strong>d das vor<br />
allem Betrag <strong>und</strong> Zeitpunkt der Zahlung. Insbesondere ist der Zahlende nur unter all denjenigen<br />
verborgen, die zu dieser Zeit e<strong>in</strong> Recht dieses Betrags haben können, was e<strong>in</strong>en zusätzlichen Gr<strong>und</strong><br />
darstellt, nur wenige feste Nennwerte zuzulassen.<br />
Zum anderen erzeugt das Zahlungssystem selbstverständlich ke<strong>in</strong>e zusätzliche Anonymität für<br />
Pseudonyme, die auch <strong>in</strong> anderen Situationen verwendet werden. Muß z.B. X den Transfer nachweisen,<br />
so werden dadurch die Pseudonyme pZ (X,t) <strong>und</strong> pE (Y,t) mite<strong>in</strong>ander verkettet; dies ist gerade<br />
das Ziel des Nachweises.<br />
Die Benutzer können also völlig selbst bestimmen, wieviel der ihnen ermöglichten Anonymität sie<br />
aufgeben wollen, <strong>in</strong>dem sie manche Pseudonyme mehrfach verwenden oder durch Erklärungen<br />
verketten.<br />
Davon wählt also X zuerst pZwZ (X,t), berechnet e<strong>in</strong> passendes pab (X,t), läßt als ersten Teiltransfer<br />
das Recht von pK(X) auf pab(X,t) übertragen <strong>und</strong> rechnet die Bestätigung auf pZwZ(X,t) um. Bei<br />
diesem Teiltransfer können die Schritte [1], [4] <strong>und</strong> [5] des Protokolls wegfallen, da X sich nicht<br />
se<strong>in</strong>e eigenen Pseudonyme mitteilen muß <strong>und</strong> auch ke<strong>in</strong>e Quittung des Transfers benötigt. Auch das<br />
Beilegen der Autorisierung <strong>in</strong> [2] kann unterbleiben, da B selbst den Kontostand weiß; nur im<br />
Streitfalle wird die Autorisierung benötigt.<br />
Nun muß Y se<strong>in</strong> Pseudonym pe<strong>in</strong> (Y,t) wählen <strong>und</strong> e<strong>in</strong> dazu passendes pZwE (Y,t) berechnen.<br />
Daraufh<strong>in</strong> wird das Recht nach dem vollständigen Protokoll aus §6.4.1 von pZwZ (X,t) auf pZwE (Y,t)<br />
übertragen, wobei auch die Quittungen entstehen.<br />
Nachdem Y die Bestätigung über den Erhalt des Rechtes auf pe<strong>in</strong> (Y,t) umgerechnet hat, transferiert<br />
er es auf pK (Y), wiederum unter Auslassung von [1], [4], [5] <strong>und</strong> diesmal auch des Schrittes<br />
[6].<br />
Die Dokumente, die der Zeuge B im ersten bzw. zweiten Teiltransfer als Bestätigung über den<br />
Erhalt der Zahlung ausstellt, dürfen dabei nicht gleich aussehen, denn andernfalls könnte Y die Bestätigung<br />
aus dem zweiten Teiltransfer unter Umgehung des Kontos unmittelbar für e<strong>in</strong>e neue Zahlung<br />
Hat Y <strong>in</strong> [4] die Quittung verweigert, so verwendet X als Ersatzquittung die Bestätigung des Zeugen<br />
aus [3] <strong>und</strong> die Bestätigung von Y aus [1]. Durch Verwendung der Ersatzquittung gegenüber e<strong>in</strong>em<br />
Dritten (ungleich Y) erfährt der Zeuge also möglicherweise die Zuordnung von p B<br />
Z (X,t) zu pZ(X,t)<br />
<strong>und</strong> von p B<br />
E (Y,t) zu pE (Y,t), so daß im Verweigerungsfall die Anonymität leicht e<strong>in</strong>geschränkt wird.<br />
Für den Fall, daß X <strong>und</strong> Y e<strong>in</strong>ander vertrauen <strong>und</strong> auf e<strong>in</strong>e Quittung verzichten können, kann man die<br />
Bestätigung des Zeugen B an X über den Vollzug des Transfers e<strong>in</strong>sparen. Die Bestätigung von Y <strong>in</strong><br />
[1] ist aber weiterh<strong>in</strong> nötig, da X erst durch sie das Pseudonym p B<br />
E (Y,t) von Y erfährt, <strong>und</strong> sie muß<br />
auch nach wie vor von Y mit pE (Y,t) authentisiert werden, damit X sicher ist, daß er se<strong>in</strong> Recht an<br />
den Richtigen transferiert. Außerdem muß <strong>in</strong> diesem Fall entweder X schon <strong>in</strong> [1] Y verb<strong>in</strong>dlich<br />
mitteilen, was für e<strong>in</strong>e Zahlung stattf<strong>in</strong>den wird, oder sie müssen sich am Ende noch e<strong>in</strong>mal über<br />
deren Zustandekommen verständigen, da andernfalls nicht bemerkt würde, wenn beim Transfer, also<br />
entweder bei der Übertragung oder durch B, e<strong>in</strong> Fehler aufträte.