An Online, Transferable E-Cash Payment System von Sai Anand und Veni Madhavan

Transkript

1 An Online, Transferable E-Cash Payment System von Sai Anand und Veni Madhavan ein Vortrag von Mark Manulis im Rahmen von Seminar Kryptologie SS 2002 Institut für Theoretische Informatik TU Braunschweig gewidmet Giorgi Ushveridze

2 1 Vorwort Die meisten e-cash (electronic cash) basierten Zahlungssysteme sind nicht übertragbar. Die Übertragbarkeit einer Zahlungssystem bedeutet, daß der Zahlungsempfänger mit seiner, während einer Transaktion empfangenen, e-münze direkt wieder bezahlen kann, d.h. ohne die e-münze zunächst bei der Bank durch eine neue auszutauschen. Normalerweise behält die e-münze ihre Gültigkeit solange bis die Transaktion nicht abgeschlossen ist. Das Ziel dieses Vortrags ist ein Zahlungssystem zu präsentieren, daß es erlaubt die e-münzen unterschiedlichen Empfängern über die verteilten Transaktionen zu übertragen, ohne daß die e-münzen dabei ihre Gültigkeit verlieren. Dies würde den Operationen mit dem realen physischen Geld entsprechen. Besondere Beachtung findet dabei die Erkennung und Vorbeugung von doppelten Zahlungen. In diesem System wird die Verifikation der e-münzen auf mehrere Entitäten verteilt, was ein deutlicher Gegensatz zum physischen Geld darstellt, wo allein die ausstellende Stelle (z.b. Zentralbank) die Verifikation vornehmen kann. Dieses System gewährleistet neben der Übertragbarkeit auch die Sicherheitsaspekte bezüglich Anonymität und Gerechtigkeit.

3 2 Einführung Mit der rapiden Steigerung der Anzahl von Internet-Nutzern, war es nur eine Frage der Zeit bis das Internet als Medium für unterschiedliche Zahlungsoperationen verwendet wurde. Eine wichtige Rolle bei dieser Verbreitung spielt die Entwicklung von online e-cash Zahlungssystemen. Die wichtigen Merkmale bei der Verwendung vom physischen Geld, nämlich die Anonymität, Übertragbarkeit und Fungibilität (Wechsel eines großen Geldscheins in kleinere), sollten auch auf e-cash Systeme übertragen werden. Um die Sicherheit solcher Systeme zu gewährleisten, wurden kryptographische Ansätze vielfältig genutzt und ihre Effizienz ist eng mit den Optimisierungsproblemen verbunden. Es gibt zwei Arten von elektronischen Zahlungssystemen, online und offline. Beide benutzen e-münzen als Zahlungsmittel. online Zahlungssysteme (Fig. 1) benutzen beim Geldtransfer zwischen dem Zahler und Empfänger eine dritte Partei, normalerweise eine Bank, um die Authentizität der Münzen zu gewährleisten. offline Zahlungssysteme (Fig. 2) erlauben den Geldtransfer allein zwischen dem Zahler und Empfänger. Das Geld wird dann verifiziert, wenn der Empänger es bei seiner Bank einzahlt. Fig. 1 online-zs Fig. 2 offline-zs Die Übertragbarkeit der e-münzen fehlt bei meisten bisher entwickelten Zahlungssystemen der beiden Arten. Die Gültigkeit der e-münzen ist durch die Dauer der Transaktion beschränkt. Dies ist ein gravierender Unterschied zu dem physischen Geld, das ihren Wert auch nach mehreren Transaktionen zwischen unterschiedlichen Parteien behält. Ein wesentlicher Vorteil vom übertragbaren Geld ist, daß die ausstellende Stelle keine neuen Münzen für jede neue Transaktion auszustellen braucht. Bei vielen bekannten Zahlungssystemen fehlt solche Übertragbarkeit.

4 3 Beispiel: ECash von David Chaum (Fig. 3) Es wird das RSA-Verfahren benutzt. e B, d B sind RSA-Schlüsseln der Bank, von dem Geldwert w abhängig. e K, d K sind RSA-Schlüsseln des Kundes, der ein Konto bei der Bank hat. e H, d H sind RSA-Schlüsseln des Händlers, der auch ein Konto bei der Bank hat. Geld abheben - Kunde wählt zufällig einen Seriennummer r und einen blinding factor b mit ggt(b,n) = 1; berechnet und sendet zusammen mit dem gewünschtem Wert w an die Bank. - Bank bestimmt s, sendet die Signatur an den Kunden und belastet sein Konto mit w. - Kunde berechnet und bekommt damit von der Bank signiertes e-geld mit dem Wert w, womit er online bezahlen kann. Zahlungsvorgang - Kunde besitzt eine von Bank signierte e-münze und will damit bezahlen. Er chiffriert und sendet dies an den Händler. - Händler dechiffriert, signiert zu und sendet an die Bank. - Bank verifiziert die Nachricht des Händlers und anschließend verifiziert ihre eigene Signatur auf r, indem berechnet wird. Der somit ermittelter Seriennummer r wird auf das Vorhandensein einer Doppelzahlung überprüft. Falls keine Doppelzahlung vorkommt, legt die Bank den Wert w auf das Konto des Händlers und notiert sich den benutzten Seriennummer, damit später keine Doppelzahlung damit möglich wird. Fig. 3 ECash von David Chaum

5 4 Beim Geldabheben wird das Verfahren der blinden Signatur (s.u.) benutzt. Wie man sofort sieht wird damit die Anonymität des Kundes bei der Zahlung gewährleistet, da die Bank nichts über die Zuordnung der Seriennumer zu dem Kunden weiß. Der Nachteil von ECash liegt in der steigenden Anzahl von benutzten Seriennummern, da die e-münzen nicht übertragbar sind, denn für jede Geldabhebung muss ein neuer Seriennummer, also eine neue e-münze ausgegeben werden. blinde Signatur erlaubt einer Person eine gewünschte Nachricht von einer anderen Person unterschrieben zu bekommen, ohne daß diese zweite Person Informationen über die Nachricht bekommt. Es wird RSA benutzt. (n,e) und (n,d) sind jeweils ein öffentlicher und ein privater Schlüssel von Bob. Alice möchte, daß Bob eine Nachricht M unterschreibt und dabei nichts von ihr erfährt. - Alice wählt zufällig den blinding factor b mit ggt(b,n) = 1; sendet r = (b e M) mod n an Bob; - Bob sendet die Signatur t = r d mod n an Alice - Alice berechnet die Signatur s von Bob auf M durch s = (b -1 t) mod n Nachweis: Beispiel: p = 7, q = 5 n = 35, ϕ(n) = 24, e = 5, d = 5, M = 6, b = 4 b -1 = 9 r = (b e M) mod n = 19 (wird an Bob versandt) t = r d mod n = 24 (Signatur von Bob) s = (b -1 t) mod n = (9 * 24) mod 35 = 6 M d mod n = 6 5 mod 35 = 6. Ein Nachteil von online Zahlungssystemen ist, daß die Menge der von der ausstellenden Stelle zu verifizierenden e-münzen sehr groß sein kann, denn jede e- Münze in einer Transaktion von einem zentralen Server verifiziert werden muß. Das in diesem Vortrag beschriebene Zahlungssystem verteilt diese Menge an unterschiedlichen Server. Da der Zahler und der Empfänger im Internet keine richtigen Identitäten von einander kennen, muss das System noch die entsprechende Sicherheit bei Transaktionen gewährleisten. Nun zu der eigentlichen Beschreibung des E-Cash Zahlungssystems von Anand und Madhavan.

6 5 1 E-Cash Zahlungssystem von Sai Anand und Veni Madhavan 1.1 Setup und Notationen Drei Parteien nehmen an einer e-münzen-transaktion teil: Kunde (K), Händler (H), authorisierte Verifizierungsstelle (VS), dabei werden die e-münzen von K nach H transferiert und von VS verifiziert. VS macht eine zweifache Arbeit: zunächst muss überprüft werden, ob eine e-münze nicht zum zweiten mal ausgegeben werde, und dann wird die e-münze mit einer Information signiert, die es dem Händler erlaubt, diese e-münze später auszugeben. Vor der Beschreibung des Protokolls erkläre ich die dabei benutzten Notationen: - Eine Signatur auf eine Nachricht M von der Partei X wird mit S X (M) bezeichnet. - E X (M) gibt die Chiffrierung der Nachricht M mit dem öffentlichen Schlüssel von X - H ist eine bekannte stark kollisionsfreie Hashfunktion (z.b. MD-5/SHA-1) - K XY ist ein symmetrischer Schlüssel zwischen den Parteien X und Y (z.b. DES) - COIN bezeichnet eine e-münze und hat den folgenden Format: Fig. 4 COIN Format Die erste, von der Bank mit dem privaten Schlüssel signierte, Komponente besteht aus einer Seriennummer (SNUM), dem Geldwert (WERT), dem Gültigkeitsende der e-münze (EXPD) und dem Zeitstempell der Geldausgabe (ZS). Die zweite Komponente wird von der gegenwärtigen VS 0 signiert und besteht aus dem Namen der nachfolgenden VS 1, dem Zeitstempel der Verifizierung (ZS 0 ), sowie dem Hashwert von SNUM und ZS. Die dritte Komponente einer e-münze ist der Name der gegenwärtigen VS 0. Zum Zeitpunkt der Geldausgabe ist die gegenwärtige Verifizierungsstelle die Bank selbst und ZS 0 = ZS. 1.2 E-Münzen Austauschprotokoll (Fig. 6) 1. Kunde K schickt eine Warenbestellung an den Händler H. 2. H signiert eine Nachricht die aus einer Transaktionsnummer (TID), Warenbeschreibung (WB), dem Preis (P) und dem Zeitstempel der Bestellung (ZS) besteht und schickt folgendes an K. 3. K sendet an H. VS i wird nicht chiffriert, damit der Händler weiss, wohin er die Nachricht zur Verifizierung schicken muss. 4. H sendet an VS i zwei Nachrichten: a) Die chiffrierten Nachricht von K aus Schritt 3: b) und, wobei VS i+1 der Name der Verifikationsstelle ist, die der Händler bei der späteren Zahlung mit dieser e-münze benutzen muss. Der Schlüssel K H VS wird von dem Händler für jeden Ablauf des Austauschprotokolls erneut generiert. Dieser Schlüssel wird von VS i zur Signierung der

7 6 e-münze beim Abschicken an den Händler benutzt. 5. VS i dechiffriert die Nachrichten und verifiziert COIN. Dies geschieht folgendermaßen: zunächst überprüft VS i mit Hilfe der zweiten Nachricht, indem Sie den Namen von VS i+1 feststellt, daß sie tatsächlich die gegenwärtige Verifizierungsstelle ist. Dann überprüft VS i, ob der Seriennummer SNUM aus COIN in ihrer Datenbank auftaucht. Falls nicht, so ist die e-münze glaubwürdig. Dann wird SNUM zusammen mit dem Zeitstempel der vorherigen Verifizierung ZS in die Datenbank aufgenommen und die e-münze erneut signiert. Falls SNUM der e-münze in der Datenbank von VS i aufgelistet ist, so wird ZS mit Zeitstempel aus der Datenbank vergliechen, falls dieser dabei größer ist, so ist die e-münze ebenfalls glaubwürdig und muß von VS i signiert werden. Falls die e-münze sich als nicht glaubwürdig erweist, so wird die Transaktion abgebrochen und die Nachricht Reject an den Händler versandt. Die erneute Signierung von COIN durch VS i geschieht durch die Ersetzung der zweiten Komponente aus COIN (siehe Fig. 4.) Die neue Komponente enthält einen neuen Zeitstempel der Verifizierung ZS i, den Namen der nachfolgenden Verifizierungsstelle VS i+1 und den ursprünglichen Hashwert, den man auch überprüfen kann. Die dritte Komponente von COIN wird mit dem Namen von VS i ersetzt. Fig. 5 zeigt die signierte e-münze von VS i. glaubwürdige e-münze vor der Signierung: e-münze nach der Signierung: Fig. 5 COIN Verifizierung/Signierung von VS i Die somit signierte e-münze wird mit dem Schlüssel K HVS chiffriert und zurück an H mit der Nachricht OK versandt. 6. Falls H die Nachricht OK bekommt, schickt er eine von ihm signierte Zahlungsquittung an K. Wenn H jedoch Reject bekommt, informiert er entsprechend K und bricht die Bestellung ab. Wie man sieht, wird nach dem erfolgreichen Abschluß der Transaktion die e-münze an den Händler weiter übertragen, d.h. es wird ihm möglich sein die empfangene e- Münze direkt auszugeben, ohne sie zunächst von der Bank abzuheben.

8 7 Fig. 6 E-ZS von Anand / Madhavan 1.3 Abhebungs- und Einzahlungsprotokolle Da die e-münzen in diesem Zahlungssystem übertragbar sind werden folgende Protokolle viel seltener ausgeführt als es in anderen Zahlungssystemen der Fall ist. E-Münze abheben (engl. withdrawal), Protokoll 1. Kunde K sendet an die Bank B eine chiffrierte Aufforderung, die den gewünschten Betrag (G), die Wechselart (W), die Kontonummer (KNr) und den Namen der Verifizierungsstelle (VS 1 ) enthält. 2. B überprüft zunächst, ob K auf seinem Konto ausreichend Geld besitzt. Falls dies der Falls ist, wird das e-geld des entsprechenden Wechselartes (COINS) an K chiffriert weitergeleitet. Den öffentlichen Schlüssel von K bekommt B bei der Kontoeröffnung. 3. K dechiffriert die Nachricht und kann mit der e-münze bezahlen. Die Anonymität von K kann durch die Benutzung der blinden Signatur (vgl. S. 3) gewährleistet werden. E-Münze einzahlen (engl. deposit), Protokoll 1. Kunde K, der eine e-münze auf sein Konto einzahlen will, sendet eine chiffrierte Nachricht, die die e-münzen (COINS) und die zugehörige Kontonummer (KNr). Dazu gibt K die aktuelle Verifizierungsstelle (VS k ) an.

9 8 2. B läßt die Authentizität der e-münzen von VS k überprüfen (vgl. E-Münzen Austauschprotokoll (1.2 (5.)). 3. Falls sich die e-münzen als gültig erweisen, werden sie an das Konto eingezahlt. 1.4 Resolutionsprotokoll Ein gutes e-zahlungssystem muß dem Kunden eine Sicherheit gewährleisten, daß dieser nach einer erfolgreichen Geldüberweisung an den Händler im Streitfall seinen gerechten Anspruch an die gekaufte Ware nachweisen kann und dem Händler eine Garantie geben, daß er das Geld bekommen hat. Dem Händler wird der Empfang der Gelder durch die Verifizierung durch eine authorisierte Verifizierungsstelle (VS) gewährleistet. Bei erfolgreichen Transaktion bekommt er eine von VS signierte e-münze (vgl. Fig. 2.) mit der er sofort bezahlen kann. Eine abgebrochene Transaktion, z.b. im Falle der ungültigen e-münzen, berechtigt den Händler den Warentransfer an den Kunden abzusagen. Was kann aber der Kunde tun, wenn der Händler keine Waren an ihn ausliefern will, obwohl eine Geldübergabe stattgefunden hatte. Der Kunde muß also eine Möglichkeit haben diese Geldübergabe nachzuweisen. Im Schritt 2 des E-Münzen Austauschprotokolls (vgl. 1.2) sendet der Händler eine signierte Nachricht an den Kunden die folgendes enthält: eine Warenbeschreibung (WB), Transaktionsnummer (TID), den Preis (P) und dem Zeitstempel der Transaktion (ZS). Durch seine Signatur kann diese Nachricht eindeutig dem Händler als Absender zugewiesen werden. Falls nun der Kunde nachweisen kann, daß die von ihm an den Händler gesendete e- Münzen gültig waren und durch eine Verifizierungsstelle authentifiziert worden sind, dann kann er seinen Anspruch an die beschriebene Ware rechtfertigen. Um dies nachzuweisen führt der Kunde das folgende Protokoll aus. Resolutionsprotokoll 1. Kunde K sendet eine Überprüfungsanfrage an die Verifizierungsstelle VS i, die eine von dem Händler signierte Nachricht zusammen mit den gesendeten e-münzen enthält. Die VS i entspricht der Verifizierungsstelle aus der Transaktion. 2. VS i überprüft die Signatur von dem Händler. Falls diese in Ordnung ist, überprüft VS i, ob die benutzten e-münzen von ihr verifiziert worden sind. Wenn beides stimmt, so hat der Kunde Recht und VS i weist den Händler an die Ware auszuliefern. Falls dieser sich weigert, so wird die, an ihn in damaliger Transaktion, übergetragene e-münze ungültig gemacht, indem eine entsprechende Nachricht an die VS i+1 gesendet wird. Zugleich wird die übertragene e-münze bei dem Kunden rekonstruiert, damit er durch das abgebrochene Geschäft kein Geld verliert.

10 9 2 Eigenschaften des E-Zahlungssystems 2.1 Anonymität Die Anonymität wird dem Käufer und dem Händler gleichermaßen gewährleistet, solange diese die vorgegebenen Kommunikationsrichtlinien befolgen. Zu keinem Zeitpunkt kann der Händler die Identität des Käufers bestimmen, denn letzter allein die chiffrierten e-münzen absendet, die keine Angaben über den Besitzer enthalten. Aus dem selben Grund bleibt auch der Käufer gegenüber der Verifizierungsstelle anonym. Jedenfalls ein ehrlicher Händler ist zufrieden, wenn er das Geld überwiesen bekommt, und wird sich nicht weiter für die Identität des Kundes interessieren. Die Identität des Händlers ist dem Käufer bekannt. Dies ist auch richtig, denn sonst kann er das Geld nicht überweisen. Der Händler interessiert sich vor allem für die Anonymität gegenüber der Verifizierungsstelle. Dies wird im E-Münzen Austauschprotokoll (vgl. 1.2) gewährleistet, denn dort zu keinem Zeitpunkt die Identität des Händlers gegenüber der Verifizierungsstelle offenbart wird. Falls allerdings der Händler die Transaktion nach dem Erhalt von e-münzen abbricht, sprich die Ware nicht versendet, dann kann nach der Anwendung des Resolutionsprotokolls (vgl. 1.4) seitens des Kundes die Identität des Händlers der Verifizierungsstelle bekannt werden. Dies bedeutet, daß der Händler solange anonym bleibt, wie er ehrlich an der Transaktion teilnimmt. 2.2 Gerechtigkeit Die Gerechtigkeit wird für beide Parteien, den Käufer und den Händler, gewährleistet. Gerechtigkeit bedeutet hier, daß unabhängig von dem Ausgang einer Transaktion keine der beteiligten Parteien einen Nachteil in Form des Geld- oder Warenverlustes erfährt. Der Händler sendet die Waren an den Käufer nur dann, wenn er zunächst die authentische e-münzen von der Verifizierungsstelle bekommt, also nachdem eine erfolgreiche Zahlung des Kundes stattgefunden hat. Sonst bekommt er Reject und muß die Ware nicht liefern. Umgekehrt, mit Hilfe des Resolutionsprotokolls (vgl. 1.4) kann die Verifizierungsstelle erkennen, daß der Kunde das e-geld tatsächlich überwiesen hat. Dies gibt dem Kunden entsprechende Garantie, daß er sein e-geld zurückbekommt, wenn der Händler keine Ware liefert. Da der Händler schon weiss, daß sein Betrugsversuch entdeckt werden kann, wird er wahrscheinlich gar nicht versuchen seinen Kunden zu betrügen, denn dies würde längerfristig dem Geschäft schaden. 2.3 Übertragbarkeit (engl. transferability) Die wichtigste Eigenschaft des vorgestellten E-Zahlungssystem ist die Übertragbarkeit der e-münzen. Diese Übertragbarkeit wird durch die Zuordnung eines Zeitstempels während der jeweiligen Transaktion durch die aktuelle Verifizierungsstelle realisiert. Bei der Bezahlung mit der e-münze kann demnach der Zeitstempel der e-münze mit dem Zeitstempel in der Datenbank verglichen werden und daraus bestimmt werden ob man mit der e-münze bereits bezahlt hat. Wegen der Übertragbarkeit entfällt die Notwendigkeit in der Ausführung der Abhebungs- und Einzahlungsprotokolle (vgl. 1.3) bei jeder Transaktion. Außerdem

11 10 entfällt die Notwendigkeit einer eindeutigen Verifizierungsstelle. Die Verifizierung der e-münzen ist über mehrere Stellen verteilt, was die Effizienz steigert. 3 Erweiterungen / Optimisierung In diesem Abschnitt erläutere ich einige Erweiterungen des E-Münzen Austauschprotokolls (vgl. 1.2) für den Fall, daß in einer Transaktion mit mehreren e - Münzen bezahlt werden soll. Zudem wird die Hierarchie der Verifizierungsstellen zur Optimisierung des Verifikationsmechanismus erläutert. 3.1 Zahlung mit mehreren e-münzen Falls es mehr als eine e-münze ausgegeben werden muss, ist es nicht sehr praktisch alle e-münzen mit dem öffentlichen Schlüssel der Verifizierungsstelle zu chiffrieren. Stattdessen generiert der Kunde einen symmetrischen Schlüssel K K VS (z.b. für DES) und chiffriert diesen, sowie den Hashwert aus Protokoll 1.2 (3.) mit dem öffentlichen Schlüssel von der Verifizierungsstelle VS. Die e-münzen werden dann mit dem Schlüssel K K VS chiffriert. Dieser Schlüssel kann ausserdem, falls nötig, zum Senden von Wechselgeld an den Kunden benutzt werden. Da allerdings die Verifizierungsstelle keine Identität des Kundes kennt, werden die e-münzen aus dem Wechselgeld über den Händler an den Kunden weitergeleitet. Der Händler kennt K K VS nicht und kann deshalb die e- Münzen nicht dechiffrieren. 3.2 Fungibilität Die Fungibilität bedeutet hier, daß man eine e-münze in mehreren e-münzen des kleineren Wertes aufspalten kann. Die Fungibilität kann folgendermaßen gewährleistet werden. Der Benutzer hat eine manipulationssichere Vorrichtung (z.b. eine Software) in die er seine e-münze eingibt, um sie in kleinere e-münzen zu spalten. Die genauen Angaben über das benötigte Wechselgeld wird ebenfalls von dem Benutzer gemacht. Diese Vorrichtung besitzt einen internen geheimen Schlüssel mit dem das e-wechselgeld signiert wird. Die Signatur von e-münzen aus dem Wechselgeld ist nicht die gleiche, wie die von der ursprünglichen e-münze. Dennoch kann die Verifizierungsstelle feststellen, ob die e-münzen aus dem Wechselgeld von einer ursprüngichen gültigen e-münze stammen. Dies kann erreicht werden, indem z.b. die kleineren e-münzen Informationen über die ursprüngliche e- Münze und über den Wechsel selbst mitspeichern. Damit eine e-münze aus dem Wechselgeld selbst später keine weitere Menge von e-wechselgeld bilden kann, muß sie entsprechende Notation bekommen. Das e-wechselgeld wird mit dem internen geheimen Schlüssel signiert. 3.3 Hierarchie der Verifizierungsstellen In der Praxis werden bei den meisten Transaktionen mehrere unterschiedlichen e- Münzen zugleich übertragen. Für die Effizienzsteigerung ist deshalb bei der Verifizierung eine Verteilung der Arbeit auf mehreren Stellen notwendig. Jede e- Münze kann von jeder Verifizierungsstelle verifiziert werden. Welche Stelle die aktuelle Verifizierungsstelle für die jeweilige e-münze ist, wird in der dritten

12 11 Komponente der e-münze angegeben. Falls eine Stelle besonders belastet wird, kann ihre Arbeit ausgegliechen auf die nachfolgenden Stellen verteilt werden. Bei der ursprünglichen Ausgabe einer e-münze (siehe Abhebungsprotokoll (vgl. 1.3)) übernimmt die Bank des Kundes selbst die Rolle der Verifizierungsstelle. Alle anderen Verifizierungsstellen sind durchnummeriert. Bei jeder Transaktion wird für die e-münze die nachfolgende Verifizierungsstelle angegeben. 4 Schlußfolgerung In diesem Vortrag wurde ein elektronisches Zahlungssystem mit der Übertragbarkeitseigenschaft besprochen. Diese Eigenschaft eliminiert die Notwendigkeit der Ausführung der Geldabhebungs-/einzahlungsprotokolle bei jeder Transaktion. Auch braucht die Bank keine neue e-münze vor jeder Transaktion auszugeben. Ebenfalls ist eine ausgegliechene Verteilung der Arbeit auf mehreren Verifizierungsstellen im Falle einer Belastung möglich. Gerechtigkeit für beide Parteien einer Transaktion, dem Käufer und dem Händler, ist gleichermaßen gewährleistet (vgl. Resolutionsprotokoll 1.4). Keine der Parteien kann im Laufe der Transaktion das Geld bzw. die Ware verlieren. Alle Transaktionen werden entweder erfolgreich abgeschlossen oder abgebrochen. Das System gibt zudem die Sicherheitsgarantien und gewährt Anonymität den Beteiligten an einer Transaktion. A Quellen Aufsatz von R. Sai Anand und C.E. Veni Madhavan: An Online, Transferable E-Cash Payment System (engl.) Webseiten: