Größe: px
Ab Seite anzeigen:

Download ""

Transkript

1 SmartMicroPay Ein Broker-basiertes Micropayment-Schema zum Bundling von Transaktionen M. Crameri 12. Marz 1999 Zusammenfassung Die heute verfugbaren Zahlungssysteme erlauben aufgrund zu hoher Transaktionskosten und Bearbeitungszeiten keine sinnvolle Verrechnung von Kleinstbetragen. Die Einzelabrechnung von Micropayments ist okonomisch und technologisch inezient. Durch die Einfuhrung von Brokern konnen die Transaktionen gebundelt und nach Erreichen einer bestimmten Limite durch eine einzige Zahlung beglichen werden. Um die nachtragliche Zahlung sicherzustellen, setzen wir einen Observer auf einer Smartcard ein, der dezentral die Interessen des Brokers wahrt und dafur sorgt, dass der Kunde nach Uberschreiten einer bestimmten Kreditlimite den Betrag bezahlen muss. Wir erweitern das Konzept von Observern und implementieren diese auf einer Multiapplikations-Chipkarte rein in Software. 1 Einleitung Informationsguter weisen zwei besondere Eigenschaften auf. Zum einen sind die Grenzkosten vernachlassigbar gering [Vari95]. Zum anderen eliminiert der Vetrieb uber elektronische Markte die bei materiellen Gutern hohen Distributionskosten. Deshalb konnen Informationsguter auf elektronischen Markten zu sehr geringem Preis angeboten werden. Diese Zahlungen in der Grosse eines Bruchteils von einem Dollar oder gar Cent werden Micropayments genannt. Um diese Mikrotransaktionen okonomisch sinnvoll Mario Crameri arbeitet bei der CREDIT SUISSE im PC-/Internet Banking und schreibt an einer Dissertation uber Micropayments. 1

2 abrechnen zu konnen, mussen die Transaktionskosten fur Micropayments stets geringer sein als der Wert der einzelnen Transaktion [Glass94]. In der Literatur ndet man uber 30 Eigenschaften von Zahlungssystemen [MacK97], welche je nach Anforderung eine andere Gewichtung erhalten. Im Zusammenhang mit Micropayments sind die beiden Eigenschaften geringe " Transaktionskosten\ und Ezienz\ besonders wichtig [Cram98]. " Kreditkarten-basierte Zahlungssysteme sind erst fur einen Betrag ab rund 20 USD einsetzbar, denn die minimalen Gebuhren betragen je nach Branche und Land etwa 2 USD. Europay Switzerland beispielswiese wickelt SET 1 -Zahlungen erst ab einem Betrag von 30 CHF ab. Da die elektronischen Checks ebenfalls auf die bestehende und teure Infrastruktur aufsetzen, bewegen sich diese Transaktionskosten in der gleichen Grossenordnung. Elektronisches Geld kann auf zwei Arten realisiert werden: rein in Software oder auf einer Chipkarte. Bis auf die Ausnahme von Millicent [Glas94] weisen diese Systeme in der Regel fur Kleinstzahlungen ebenfalls zu hohe Transaktionskosten auf. Die Gebuhren von CASH 2 betragen 0.05% der Transaktionssumme, aber mindestens 0.02 CHF. Dies ist fur eine Mikrotransaktion ebenfalls zuviel. Zahlungssysteme, die auf falschungssicherer Hardware basieren, wie beispielsweise elektronische Geldborsen in Chipkarten, weisen je nach Ausgestaltung Transaktionszeiten von bis zu 10 Sekunden auf. Ebenfalls Latenzzeiten in derselben Grossenordnung treten bei Software-basierten Systemen auf, die auf rechenintensive starke Kryptographie zuruckgreifen. Verschiedene Autoren verwenden in ihren Protokollen nicht ausschliesslich starke Kryptographie, sondern auch Hash-Funktionen, welche um den Faktor 100 bei der Uberprufung und um den Faktor 10'000 bei der Erzeugung schneller sind [Rive96]. Ein moglicher Ansatz sieht vor, dass nicht bei jeder Zahlung das gesamte Protokoll ausgefuhrt wird [Pede97]. Diese Systeme sind fur wiederkehrende Transaktionen optimiert und setzen nur zu Beginn fur die Authentisierung starke Kryptographie ein. Die Folgetransaktionen werden mittels Hash-Funktionen gesichert. Wir gehen mit SmartMicroPay noch einen Schritt weiter und fuhren eine Bundelung der Zahlung ein. Wir sind der Meinung, dass aufgrund zu hoher Transaktionskosten und Verarbeitungszeit des Systems die einzelnen Transaktionen nicht einzeln abgerechnet werden sollten, sondern als Sam- 1 Secure Electronic Transaction (SET) ist ein Verfahren fur sichere Kreditkartentransaktionen in oenen Netzwerken wie beispielsweise das Internet. 2 CASH ist die elektronische Geldborse die von Europay Switzerland in Zusammenarbeit mit den Schweizer Banken herausgegeben wird. 2

3 melzahlung, nachdem ein okonomisch sinnvoller Betrag erreicht wird. Im nachsten Abschnitt werden die Grundzuge von SmartMicroPay beschrieben und Erweiterungen des Observer-Konzepts fur das Bundling von Kleinsttransaktionen aufgezeigt. In Abschnitt 3 werden das Transaktionsmodell sowie der Protokollablauf vorgestellt. Danach werden in einem separaten Abschnitt detailliert Sicherheitsaspekte angesprochen. In einem letzten Teil schliesslich werden Schlussfolgerungen gezogen und oene Fragen diskutiert. 2 SmartMicroPay SmartMicroPay ist ein Broker-basiertes Micropayment-Schema, das fur wiederkehrende Transaktionen optimiert wurde. Die Broker im SmartMicroPay- Modell haben verschiedene Aufgaben. Zum einen konnen Brokerdienste in elektronischen Markten aufgrund von Economies of Scale zu Kosteneinsparungen fuhren [Schm95]. Dies geschieht durch die Bundelung von Angeboten und der Verrechnung. Infolge der sehr geringen Produktions- und Distributionskosten von digitalen Gutern kann auf Anbieterseite jedoch eine Entbundelung des Angebotes entstehen [Bako97]. Zum anderen dienen die Broker in diesem Modell als dauerhafte Schnittstelle zwischen Kunden und Inhaltsanbietern (sogenannte content-provider). Eine konstante Beziehung zwischen Kunden und Broker ist bei SmartMicroPay notwendig, da auf eine unmittelbare Verrechnung jeder Transaktion verzichtet wird. Eine Bundelung der Einzelzahlungen kann in der Regel auf zwei Arten geschehen. Der Kunde bezahlt im Voraus eine grossere Summe fur die einzelnen Transaktionen, die jeweils von diesem Betrag abgebucht werden. Ein Spezialfall davon stellen Abonnemente dar. Der Kunde bezahlt eine Pauschale fur eine gewisse Periode. Abonnemente konnen somit als vorausbezahlte (prepaid) Bundelung betrachtet werden. Diese Losung ist jedoch fur den Kunden uninteressant, da er normalerweise anfanglich nicht weiss, ob er den gesamten Betrag konsumiert. Dadurch werden Gelegenheitskaufer ausgeschlossen. Eine zweite Variante entsteht, falls man den Belastungszeitpunkt verschiebt. Der Kunde bezahlt erst spater fur die beanspruchten Leistungen. Aus dem pay before wird dann ein pay later. Dieser Ansatz ist fur den Kunden akzeptabler, da er nur die tatsachlich gekauften Guter bezahlen muss. Daneben weist diese Losung einen interessanten Nebeneekt auf: Sie entspricht nicht der allgemein anerkannten Denition von elektronischem Geld und unterliegt somit in den meisten westlichen Staaten nicht den gesetzlichen 3

4 Anforderungen { und kann demzufolge auch von Nicht-Banken emittiert werden. Gemass Denition der Bank fur internationalen Zahlungsausgleich ist elektronisches Geld stets vorausbezahlt (prepaid) [BIS98]. Bei der Bundelung von Transaktionen nach dem pay later-prinzip stellt sich unweigerlich die Frage, wie man sicherstellen kann, dass der Benutzer auch bezahlt und nicht einfach, ohne die Rechnung zu begleichen, seinen Einkauf beendet. Wir adaptieren dazu das Konzept von sogennanten 'Observern' [Chau92][CP93][Bran94]. Ein Observer ist ein falschungssicherer Chip auf einem nicht vertrauenswurdigen Medium, welcher die Interessen einer bestimmten Partei wahrnimmt. Die Grundidee ist, dass der Observer der Chipkarte nicht vertraut und vice versa. So kann ein Observer doublespending von elektronischem Geld verhindern, andere Konzepte wie etwa eine online Verikation konnen double-spending nur aufdecken, jedoch nicht verunmoglichen [Omah97] Im SmartMicroPay-Modell nimmt der Observer die Interessen des Brokers wahr und sorgt dafur, dass der Kunde nach dem Uberschreiten einer bestimmten Kreditlimite den Betrag begleichen muss. Abbildung 1: Observer-Konzept auf einer Smartcard. Der Observer darf keine Moglichkeit haben, mit der Aussenwelt zu kommunizieren [CP93]. Jegliche Kommunikation muss uber die klar denierte Schnittstelle der Smartcard erfolgen. Ist der Observer auf einer Smartcard untergebracht, dann muss er nicht zwingend in Hardware sein, da eine Smartcard per denitionem selbst schon als falschungssicher gilt. Wir verwenden fur die Umsetzung von SmartMicro- Pay eine Multiapplikations-Chipkarte. Der Observer ist dann lediglich eine Anwendung, eine weitere ist beispielsweise die elektronische Geldborse. Ist der Observer einmal auf der Smartcard installiert, dann unterscheidet er sich nicht wesentlich von einem rein in Hardware realisierten. Kritischer ist der 4

5 Prozess des Ladens des Observers. Moderne Multiapplikations-Chipkarten wie beispielsweise die Java Card besitzen ein spezielles Sicherheitskonzept, welches die einzelnen Anwendungen mitsamt den dazugehorigen Daten isoliert und somit vor unerlaubtem Zugri schutzt [JC97]. In Abschnitt 4 werden dazu einige Sicherheitsaspekte detaillierter behandelt. Neben den zu hohen Transaktionskosten und Verarbeitungszeiten weisen die heutigen Zahlungssysteme weitere Mangel auf. Bei einigen Systemen erfolgt eine online Verikation bei einer zentralen Instanz. Solche Systeme sind in der Regel nicht skalierbar. Andere Systeme gewahren dem Kunden keine Anonymitat. SmartMicroPay ist durch diese dezentralen Observer skalierbar und aufgrund von Pseudonymen anonym. Ein Pseudonym verschleiert die wahre Identitat des Benutzers [Chau85]. 2.1 Annahmen Die Vorteile von SmartMicroPay basieren auf zwei Annahmen: Erstens gehen wir davon aus, dass die Kunden wiederkehrende Transaktionen tatigen, das heisst keine einmaligen Einzelkaufe durchfuhren. Zweitens nehmen wir an, dass die Anzahl der Broker im System sehr gering ist. Diese beiden Hypothesen lassen sich rechtfertigen. Studien zum Nutzungsverhalten haben ergeben, dass der durchschnittliche Internet-Nutzer mehrere Seiten pro Woche aufruft. Die neueste Nutzerumfrage von GVU zeigt, dass rund 88% der Befragten taglich ins Internet einsteigen [GVU98]. Gemass dem Report von NetRating ruft ein aktiver Benutzer rund 46 Seiten pro Tag ab [Netr98]. Daraus kann man schliessen, dass ein durchschnittlicher Nutzer nun mindestens mehrere Seiten pro Wochen abruft. Wir vergleichen die Broker aus dem SmartMicroPay-Modell mit den heutigen Suchmaschinen. Es gibt nur eine begrenzte Anzahl von Suchmaschinen. Die Anzahl ist sogar abnehmend. Die nachste Generation, die sogennanten Portale, dienen dem Internet-Nutzer als Einstiegsfenster. Samtliche Transaktionen laufen uber den Portalanbieter, der in unserem Modell als Broker bezeichnet wird. Experten rechnen damit, dass sich nach einer Konsolidierungsphase nur drei bis funf Portale durchsetzen werden. 2.2 Beteiligte Parteien und Rollen In einer weiteren Sicht beteiligen sich bei SmartMicroPay drei Parteien: Kunde, Broker und Inhaltsanbieter. In einer engeren Sicht interessieren jedoch nur die Parteien Kunde und Broker. Ein Broker bundelt das Angebot verschiedener Anbieter und stellt es 5

6 seinen Kunden zur Verfugung. Auf die Abrechnung zwischen den Inhaltsanbietern und dem Broker wird hier nicht weiter eingegangen. Mogliche Ansatze sind Lizenzierung, Abonnements oder verbrauchsabhangige Verrechnungen [Bako97]. Wir beschranken uns im weiteren auf die Beziehung zwischen Kunde und Broker. Abbildung 2 stellt die beteiligten Parteien dar: Abbildung 2: Die beteiligten Parteien bei SmartMicroPay. Der Kunde muss sich initial bei einem Broker seiner Wahl das Observer- Modul auf seine Chipkarte laden. Der Kunde kann dazu irgendeine Multiapplikationskarte verwenden, sofern diese das Broker-Programm ausfuhren kann. Dies ist ein wesentlicher Vorteil von Software-Observern gegenuber Hardware-Implementierungen. Der Kunde benotigt keine spezielle, in der Regel nur fur diesen Zweck einsetzbare Chipkarte. Da es nur einige wenige Broker im gesamten System geben wird, muss dieser Vorgang nicht beliebig oft wiederholt werden. Zudem konnen die einzelnen Broker miteinander vernetzt sein, so dass der Kunde nur einen Observer fur mehrere Broker benotigt. 3 Transaktionsmodell SmartMicroPay besteht aus verschiedenen Transaktionen, welche im Folgenden detailliert beschrieben werden. Es werden Konzepte fur die Installation von Observern, fur die eigentliche Transaktion und weitere fur spezielle Falle wie etwa das Erhohen der Kreditlimite benotigt. 3.1 Installation des Observer-Moduls Der Kunde ladt sich ein Observer-Modul von seinem Broker auf die Smartcard (vgl. Abbildung 3). Damit der Kunde sicher ist, dass er auch tatsachlich einen Observer von Broker XY bekommen hat, sollte das Modul zertiziert sein. Der Visa OpenPlatform-Standard stellt dies beispielsweise sicher. Der Broker sendet dem Kunden das signierte Observer-Programm. Der Kunde uberpruft die Signatur des Observers. Digitale Signaturen identizieren zum einen den Author einer Nachricht und zum anderen stellen sie die 6

7 Abbildung 3: Installation des Observer-Moduls. Integritat der Nachricht sicher [Law96]. Stimmt die Unterschrift uberein, dann weiss der Kunde, dass der Observer vom Broker stammt { und unverandert ubertragen wurde. In einem zweiten Schritt mussen der Observer und die Smartcard gemeinsam ein Schlusselpaar erzeugen. Dies ist notwendig, weil weder die Smartcard noch der Observer alleine Nachrichten an den Broker senden durfen. Die Smartcard muss die Moglichkeit haben, jede Nachricht vom und zum Observer zu kontrollieren [Chau92]. Der Broker darf nicht den Kontostand auf dem Observer erhohen, ohne dass der Kunde tatsachlich Guter bezogen hat. Auch die Smartcard sollte den Broker nicht uber einen falschen Kontostand informieren konnen. Damit der Observer sich ausweisen kann, besitzt er einen integrierten Schlussel. Diesen kann er jedoch nicht direkt verwenden, da er den Observer in jeder Transaktion identizieren wurde [CP93]. Zudem kann die Smartcard so den Nachrichtenverkehr nicht mithoren. Also erzeugen der Observer und 7

8 die Smartcard zusammen ein Schlusselpaar. Das detaillierte Protokoll ist bei Chaum beschrieben [Chau93]. Der Observer darf die Schlussel nicht alleine kreieren, damit er keine Information in die Schlussel selbst codieren kann. Mittels Coin ipping-protokoll werden die Schlusselparameter erzeugt. Die Smartcard kann am Ende verizieren, ob ihre Parameter fur die Schlussel verwendet worden sind. Dieses neue Schlusselpaar muss noch bei einem key authentication center zertiziert werden, damit diese Schlussel in Zukunft verwendet werden konnen. Die Smartcard berechnet einen Zufallswert, welchen der Observer fur das blinding des oentlichen Schlussels verwendet. Der Observer rechnet den blinding-faktor in den oentlichen Schlussel, signiert diesen und sendet beides der Karte. Die Karte uberpruft das blinding und die Unterschrift und leitet den Schlussel an die Zertizierungsstelle weiter. Diese erkennt die ursprungliche Signatur des Observers, signiert den neuen, fur sie jedoch nicht erkennbaren oentlichen Schlussel, und sendet ihn zuruck zur Karte. Die Smartcard entfernt den Blinding-Faktor und behalt eine Kopie fur sich. Durch die Verwendung dieses Schlusselpaars kann der Observer sich in Zukunft anonym identizieren. Der neue Public key wird auch an den Broker gesandt, der die Signatur der Zertizierungsstelle veriziert [Chau93]. Nach erfolgreicher Uberprufung speichert der Broker den Public key des Observers in seiner Schlusseldatenbank. In einem weiteren Schritt mussen sich der Broker und die Smartcard auf ein gemeinsames Zahlungssystem einigen. Dazu fordert der Broker die Smartcard auf, eine Liste aller verfugbaren Zahlungsmethoden zu senden. Der Broker wahlt ein System aus und setzt in Abhangigkeit von der selektierten Zahlungsmethode die Kreditlimite fest. Bei Kreditkarten-basierten Systemen ist diese Limite hoher als etwa bei elektronischem Geld, da Unterschiede bei den Transaktionskosten bestehen. Der Broker sendet die Limite uber die Smartcard an den Observer, der diese speichert. Erst nachdem der Broker eine positive Antwort vom Observer erhalt, ist die Installation abgeschlossen. 3.2 Transaktionsablauf Der eigentliche Kaufvorgang wird gestartet, nachdem der Kunde die Transaktionen initiiert. Er sucht in der Datenbank des Brokers nach den entsprechenden Informationen. Man kann sich einen Broker vorstellen, der analog der heutigen Suchmaschinen eine Datenbank unterhalt, an welche die Kunden die Anfragen stellen konnen. Will der Kunde das erste Gut kaufen, wird er vom Broker aufgefordert, sich zu authentisieren. Wir verwenden 8

9 einen Beweis ohne Wissenvermittlung (zero knowledge proof ). Ein solches Protokoll beweist einem Verizierer, dass der zu Prufende eine bestimmte Information besitzt, ohne diese jedoch preiszugeben [Schn96]. Der Broker sendet dem Observer eine zufallige Zeichenfolge, welche der Observer mit seinem privaten Schlussel kodiert und zurucksendet. Der Broker entschlusselt die Nachricht mit dem oentlichen Schlussel des Observers und vergleicht das Resultat mit der Zeichenfolge. Stimmen die beiden uberein, dann hat der Observer seine Identitat bewiesen (oder zumindest, dass er den privaten Schlussel von XY besitzt). Nach erfolgreicher Authentisierung kann der Kunde die gewunschten Informationsguter beziehen. Der Betrag jeder Transaktion wird im Observer aufgezeichnet. Der Observer pruft jeweils, ob die Kreditlimite erreicht ist und sendet das Resultat dem Broker. Ist nun der aufgelaufene Betrag grosser als die Limite, muss der Kunde die Summe bezahlen. Weigert sich der Kunde, den Betrag zu begleichen, dann sendet der Observer stets eine negative Antwort zum Broker. Der Kunde kann erst wieder Guter beziehen, falls er seine Schuld begleicht. Alle folgenden Transaktionen werden nun gesammelt und spater abgerechnet. Der Kunde sieht jederzeit seinen Saldo aus dieser Sitzung und den kumulierten Betrag, welcher aus vorangegangen Transaktionen aufgelaufen ist. Durch die Bundelung der einzelnen Zahlungstransaktionen ist das System sehr ezient. Es muss nur wahrend der Authentisierung eine rechenintensive Public Key-Operation durchgefuhrt werden. Das Zahlungssystem, welches fur die Abrechnung des aufgelaufenen Betrages verwendet wird, hangt auf der einen Seite von der Hohe der Limite ab und auf der anderen Seite naturlich von den Systemen, welche Kunde und Broker gemeinsam haben. Wird die Limite genugend hoch angesetzt, das heisst uber 20 USD, dann konnen selbst Kreditkarten in den Einsatz kommen. Zudem erlaubt SmartMicroPay ein dierenziertes Pricing. Es kann den guten Kunden einfach Mengenrabatt gewahrt werden. Der Observer kann beispielsweise einen Transaktionszahler fuhren. Bei anderen anonymen Zahlungssystemen ist dies nicht moglich, da der Zahlungsempfanger den Zahlenden nicht kennt. 9

10 Abbildung 4: Transaktionsablauf bei SmartMicroPay. 10

11 3.3 Weitere Konzepte Limite andern Das Andern der Limite geht vom Broker aus. Neukunden verfugen uber eine tiefere Limite als treue Kunden, welche die kumulierte Rechnung schon mehrmals beglichen haben. Der Broker kann solchen Kunden eine hohere Limite gewahren. Abbildung 5 stellt den Ablauf dar: Abbildung 5: Andern der Limite. Der Broker kann periodisch die Bonitat seiner Kunden uberprufen. Dazu fordert er den Observer auf, die Bonitatsprufung vorzunehmen. Der Observer meldet dem Broker die Bonitat des Kunden zuruck. Aufgrund dieser kann der Broker entscheiden, ob die Kreditlimite des Kunden geandert werden soll. Die neue Limite wird an den Observer gesandt, der diese speichert Zahlungssystem wechseln Es kann vorkommen, dass der Kunde neue Zahlungssysteme zur Auswahl hat oder dass er bestehende entfernt. Er sendet dem Broker eine Anfrage, das Zahlungssystem zu andern. Der Broker fordert die aktuelle Liste der Zahlungsmethoden vom Kunden an, aus welcher er ein passendes System auswahlt. Je nach gewahltem System wird die Kreditlimite festgesetzt. Diese wird dem Observer gesandt, der die neue Limite speichert. Abbildung 6 zeigt den Vorgang auf: 11

12 4 Sicherheit Abbildung 6: Zahlungssystem wechseln. 4.1 Grundsatzliche Uberlegungen Die Sicherheit bei SmartMicroPay basiert zum einen dem Konzept von Observern. In der Literatur werden Observer als zusatzlicher Chip auf einer Smartcard vorgestellt [Chau92][CP93]. Wir erweitern dieses Konzept und verwenden sichere Multiapplikations-Chipkarten fur die Umsetzung von Observern in Software. Der Observer wird als Applikation mit eigenem Speicherbereich realisiert. Es gibt derzeit zwei Chipkarten-Plattformen, welche dynamisches Laden mehrerer Anwendungen erlauben: Java Card und MULTOS. Wir wollen die weiteren Ausfuhrungen am Sicherheitsmodell der Java Card demonstrieren. Bei der Java Karte erzeugen Applets, das sind kleine, auf der Chipkarte ausfuhrbare Programme, Objekte, um Daten zu reprasentieren, zu speichern und zu manipulieren [JC97]. Jedes Objekt auf der Karte gehort generell genau einem Applet. Das erzeugende Applet besitzt die vollen Privilegien ber das Objekt. Ein Zugri auf das Objekt ist nur diesem Applet moglich, es sei, das Objekt wird explizit mit anderen Applets geteilt. Demzufolge kann keine andere Anwendung Daten des Observers lesen, verandern oder gar loschen. Die Sicherheit bei SmartMicroPay beruht zudem auf der Falschungssicherheit von Smartcards. Obwohl einige abenteuerliche Attacken gegen 12

13 Smartcards wie das Einlegen in Saure oder das Ausmessen von Stromspannungen bekannt sind, gelten Smartcards als sehr sicher. Somit kann eine nicht authorisierte Drittpartei den Observer druch Manipulation an der Chipkarte nicht auslesen und verandern. Auf der anderen Seite verwendet das System Public key-kryptographie, um die Integritat und Identitat sicherzustellen. Die Sicherheit von kryptographischen Verfahren hangt vom verwendeten Algorithmus sowie von der Schlussellange ab. Es konnen verschiedene Algorithmen implementiert werden. Wir schlagen blinde RSA Signaturen oder blinde Schnorr Signaturen vor, die beide bei adaquater Schlussellange als sehr sicher gelten [Law96]. Will nun der Kunde den Observer manipulieren, muss er den privaten Schlussel des Brokers besitzen. 4.2 Bedrohungsszenarien " Smartcard-Simulation in Software\ Ein Angreifer konnte versuchen, die Smartcard-Funktionen in Software zu simulieren. Falls ihm das gelingt, kann er sich jedesmal vor Gebrauch eine Kopie seiner Smartcard\ erstellen. Der Broker erhoht den Kontostand auf " dem Observer korrekt. Nach der Transaktion kann der Angreifer jedoch die alte Kopie nehmen, um den Observer wieder in den Anfangszustand zu bringen. Dieses Szenario lasst sich vermeiden, indem die Smartcard mit einem integrierten Schlussel versehen wird, welcher den Observer entschlusselt und auf einer Smartcard installiert. Ohne Dechirierung kann der Observer nicht verwendet werden " Herausziehen der Smartcard\ Ein weiteres Bedrohungsszenario sieht wie folgt aus: Der Angreifer verwendet die korrekte Smartcard mit dem Observer, um sich beim Broker zu authentisieren. Nach jeder Transaktion zieht er die Smartcard aus dem Leser heraus, so dass der Broker den Bezug nicht belasten kann. Das Herausziehen der Smartcard aus dem Lesegerat wahrend einer Transaktion fuhrt dazu, dass der Status des Observers " eingefroren\ wird und beim nachsten Start an derselben Stelle fortgesetzt wird. Dies ein wesentlicher Unterschied von Smartcards zu konventionellen Rechnern. Zieht man bei einem PC den Stecker raus (was analog ist zum Herausziehen einer Smartcard aus dem Terminal, welches die Karte mit Strom versorgt), dann 13

14 sind samtliche Daten im uchtigen Speicher verloren. Bei Smartcards wird der uchtige zuerst in den nicht uchtigen Bereich geschrieben " Wegwerf-Observer\ Zum Schluss stellt sich noch die Frage, wie man sicherstellen kann, dass der Kunde nicht jedesmal einen neuen Observer installiert, wenn die Kreditlimite erreicht wird. Dies stellt aber kein Problem dar, solange die Gebuhren fur die Zertizierung des neu generierten Schlussels (siehe Abschnitt 3.1) grosser sind, als die maximale Kreditlimite. Dann hat der Kunde keinen okonomischen Anreiz, jedesmal einen neuen Observer zu laden. 5 Schlussfolgerungen und oene Fragen SmartMicroPay erlaubt die eziente Bundelung von wiederkehrenden Micropayments. Durch die Verwendung von dezentralen Observern und blinden Signaturen ist das System ezient, skalierbar und anonym. Eine Erweiterung von SmartMicroPay sieht vor, dass die einzelnen Zertizierungsstellen miteinander verbunden werden. Dadurch entstehen Vertrauensketten oder Zertizierungshierarchien. Dies hat den Vorteil, dass der Kunde nur ein einziges digitales Zertikat benotigt. Das Observer-Modul muss in so einem Fall jedoch Multi-Broker-fahig sein, das heisst fur mehr als ein Broker verwendet werden konnen. Im Rahmen dieses Dissertationsprojektes werden Teile dieses Systems auf einer Java Card implementiert. Literatur [Bako97] Y. Bakos, E. Brynjolfsson, Aggregation and Disaggregation of Information Goods: Implications for Bundling, Site Licensing and Micropayment Systems, [BIS98] [Bran94] BIS, Risk Management for Electronic Banking and Electronic Money Activities, Basel, S. Brands, Untraceable O-Line Cash in Wallets with Observers, in: Advances in Cryptology - CRYPTO '93, Lecture 14

15 Notes in Computer Science, vol. 773, Springer-Verlag, Berlin, [Chau85] [Chau92] [Chau93] [CP93] [Cram98] D. Chaum, Security Without Identication: Transaction Systems to Make Big Brother Obsolete, in: Communications of the ACM, vol. 28 no. 10, Oktober D. Chaum, Achieving Electronic Privacy, in: Scientic American, August D. Chaum, T. P. Pedersen, Wallet Databases with Observers, in: Advances in Cryptology - CRYPTO '92, Lecture Notes in Computer Science, vol. 740, Springer-Verlag, Berlin, R. J. F. Cramer, T. P. Pedersen, Improved Privacy in Wallets with Observers, in: Advances in Cryptology - EUROCRYPT '93, Lecture Notes in Computer Science, vol. 765, Springer- Verlag, Berlin, M. Crameri, C. H. Cap, Analyseraster fur Micropayments, in: Rostocker Informatik-Berichte 22, [Glas94] S. Glasmann, et al., The Millicent Protocol for Inexpensive Electronic Commerce, millicent.htm, [GVU98] Graphic, Visualization, and Usability Center, 9th WWW User Survey, Atlanta, surveys/, [JC97] Anonymous, Java Card 2.0, Programming Concepts, Sun Microsystems, javacard/jc20-concepts.ps, [Law96] L. Law, et al., How to make a Mint: The Cryptography of anonymous electronic cash., National Security Agency Oce of Information Security Research and Technology, nsamint/nsamint.htm, June [MacK97] J. MacKie-Mason, K. White, Evaluating and Selecting Digital Payment Mechanisms, in: G. L. Rosston, D. Waterman 15

16 (eds.), Interconnection and the Internet. Selected Papers from the 1996 Telecommunications Policy Research Conference, Lawrence Erlbaum, Mahwah, [Netr98] NetRating, Detailed Statistics on Web Usage, [Omah97] [Pede97] [Rive96] [Schm96] [Schm95] D. O'Mahony et al., Electronic Payment Systems, Artech House, Boston, T. P. Pederson, Electronic Payments of Small Amounts, in: Security Protocols, Volume 1189 of Lecture Notes in Computer Science, Springer-Verlag, Heidelberg, R. L. Rivest, A. Shamir, PayWord and MicroMint: Two simple micropayment schemes, C. Schmidt, R. Muller, A Framework for Micropayment Evaluation, Sonderforschungsbericht 373, Berlin, B. Schmid, et al., Electronic Mall: Banking und Shopping in globalen Netzen, Teubner, Stuttgart, [Schn96] B. Schneier, Applied Cryptography, Wiley, New York, [Vari95] H. R. Varian, Pricing Information Goods, ftp://alfred.sims.berkeley.edu/pub/papers/price-infogoods.ps.z,

Inhalt. Seminar: Codes und Kryptographie 1 1.6.2004

Inhalt. Seminar: Codes und Kryptographie 1 1.6.2004 Inhalt Grundgedanken und bereits bestehende Verfahren Anforderungen an Elektronischen Geld und grundlegende Protokolle Blinde Signaturen und Probleme die daraus erwachsen On-line Cash Off-line Cash Random

Mehr

Wie sicher sind Zahlungen im Internet?

Wie sicher sind Zahlungen im Internet? Wie sicher sind Zahlungen im Internet? Internet ist ein öffentliches Medium, wie z. B. die Post auch. Wenn ich einen Brief aufgebe muss ich (leider) damit rechnen, dass er verloren gehen kann oder dass

Mehr

Elektronisches Bargeld, ein erstes Beispiel

Elektronisches Bargeld, ein erstes Beispiel Kapitel 1 Elektronisches Bargeld, ein erstes Beispiel Auch im Zeitalter des bargeldlosen Bezahlens besitzt das klassische Bargeld durchaus noch seine Berechtigung Es ermöglicht eine einfache, schnelle,

Mehr

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

10.3 Zahlungsverkehr

10.3 Zahlungsverkehr 10.3 Zahlungsverkehr Beispiele: Einkaufen im WWW gebührenpflichtige Netzdienste elektronisches Einkaufen im Laden etc. Kreditkartenbasierte Systeme Kontenbasierte Systeme Elektronisches Bargeld ITS-10.3

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

Sichere Abwicklung von Geschäftsvorgängen im Internet

Sichere Abwicklung von Geschäftsvorgängen im Internet Sichere Abwicklung von Geschäftsvorgängen im Internet Diplomarbeit von Peter Hild Theoretische Grundlagen der Kryptologie Vorhandene Sicherheitskonzepte für das WWW Bewertung dieser Konzepte Simulation

Mehr

IT-Sicherheit Kapitel 3 Public Key Kryptographie

IT-Sicherheit Kapitel 3 Public Key Kryptographie IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer

Mehr

Handshake von SIM und GSM Basisstation

Handshake von SIM und GSM Basisstation Handshake von SIM und GSM Basisstation Prüfungsvorleistung im Rahmen der Vorlesung Chipkarten SS 05 Inhalt GSM und Sicherheit Sicherheitsdienste GSM Algo Authentifizierung PDU (herausgenommen) GSM und

Mehr

IT-Sicherheit Kapitel 12 Secure Electronic Transaction

IT-Sicherheit Kapitel 12 Secure Electronic Transaction IT-Sicherheit Kapitel 12 Secure Electronic Transaction Dr. Christian Rathgeb Sommersemester 2014 1 Einführung Durch Zunahme der E-Commerce-Aktivitäten (Nutzung von Dienstleistungen über offene Netze) besteht

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

17 Ein Beispiel aus der realen Welt: Google Wallet

17 Ein Beispiel aus der realen Welt: Google Wallet 17 Ein Beispiel aus der realen Welt: Google Wallet Google Wallet (seit 2011): Kontaktlose Bezahlen am Point of Sale Kreditkarten werden im Sicherheitselement des Smartphone abgelegt Kommunikation über

Mehr

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com Merkblatt: HSM Version 1.01 Systemvoraussetzungen, Setup und Trouble Shooting Kontakt: pdfsupport@pdf-tools.com Besitzer: PDF Tools AG Kasernenstrasse 1 8184 Bachenbülach Schweiz www.pdf-tools.com Copyright

Mehr

5. Signaturen und Zertifikate

5. Signaturen und Zertifikate 5. Signaturen und Zertifikate Folgende Sicherheitsfunktionen sind möglich: Benutzerauthentikation: Datenauthentikation: Datenintegrität: Nachweisbarkeit: Digitale Unterschrift Zahlungsverkehr Nachweis

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

Facharbeit Informatik Public Key Verschlüsselung Speziell: PGP Ole Mallow Basiskurs Informatik

Facharbeit Informatik Public Key Verschlüsselung Speziell: PGP Ole Mallow Basiskurs Informatik Facharbeit Informatik Public Key Verschlüsselung Speziell: PGP Ole Mallow Basiskurs Informatik Seite 1 von 9 Inhaltsverzeichnis Inhaltsverzeichnis...2 1. Allgemein...3 1.1 Was ist Public Key Verschlüsselung?...3

Mehr

Zahlungssysteme im Internet. Zahlungssysteme im Internet

Zahlungssysteme im Internet. Zahlungssysteme im Internet 1 Cybermoney Cybermoney bezeichnet im weitesten Sinn jedes Zahlungsmittel, das im Electronic Commerce verwendet werden kann. Alternative Bezeichnung: Digital Cash u.ä. Beispiele: Homebanking, Kreditkarte,

Mehr

millipay für ONLINE CONTENT millipay systems AG

millipay für ONLINE CONTENT millipay systems AG DAS PAYMENTsystem für ONLINE CONTENT systems AG NEUE und ZUFRIEDENE KUNDEN MIT PAID CONTENT. ist das grenzenlose Paymentsystem für Online Content: Einfach, sicher und präzise lassen sich auch kleinste

Mehr

7. 1 zum Überblick. 7. 1. 2. Begriff Zahlungsinstrument

7. 1 zum Überblick. 7. 1. 2. Begriff Zahlungsinstrument 7. 1 zum Überblick IT-Sicherheit für 05INM 7. Sicherheit ausgewählter Anwendungen Zahlungsinstrumente - Zahlungsinstrumente in E-Commerce-Lösungen - Prof. Dr. Uwe Petermann Dept. of Computer Science University

Mehr

IT Sicherheit: Authentisierung

IT Sicherheit: Authentisierung Dr. Christian Rathgeb IT-Sicherheit, Kapitel 4 / 18.11.2015 1/21 IT Sicherheit: Dr. Christian Rathgeb Hochschule Darmstadt, CASED, da/sec Security Group 18.11.2015 Dr. Christian Rathgeb IT-Sicherheit,

Mehr

9 Schlüsseleinigung, Schlüsselaustausch

9 Schlüsseleinigung, Schlüsselaustausch 9 Schlüsseleinigung, Schlüsselaustausch Ziel: Sicherer Austausch von Schlüsseln über einen unsicheren Kanal initiale Schlüsseleinigung für erste sichere Kommunikation Schlüsselerneuerung für weitere Kommunikation

Mehr

Elektronisches Geld, Zahlungssysteme und Sicherheit

Elektronisches Geld, Zahlungssysteme und Sicherheit Elektronisches Geld, Zahlungssysteme und Sicherheit Stellen Sie die Verfahren zur Anonymität dar? Kann damit wirklich Anonymität erreicht werden, wie sie für elektronisches Geld notwendig wäre? Aufbau

Mehr

Kryptografische Protokolle

Kryptografische Protokolle Kryptografische Protokolle Lerneinheit 6: Elektronisches Geld Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2016 14.6.2016 Anforderungen an elektronisches Geld Sicherheit:

Mehr

Kap. 2: Fail-Stop Unterschriften

Kap. 2: Fail-Stop Unterschriften Stefan Lucks 2: Fail-Stop Unterschriften 17 Digital Unterschreiben und Bezahlen Kap. 2: Fail-Stop Unterschriften Digitale Unterschriften (Synomym: Digitale Signaturen ): Fälschen mutmaßlich hart (RSA-Wurzeln,

Mehr

Das RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009

Das RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009 Das RSA-Verfahren Armin Litzel Proseminar Kryptographische Protokolle SS 2009 1 Einleitung RSA steht für die drei Namen Ronald L. Rivest, Adi Shamir und Leonard Adleman und bezeichnet ein von diesen Personen

Mehr

Beteiligte Komponenten bei SET Transaktionen (Teil 1)

Beteiligte Komponenten bei SET Transaktionen (Teil 1) Beteiligte Komponenten bei SET Transaktionen (Teil 1) Nachdem wir uns im ersten Teil mit der SET-Technologie im Allgemeinen beschäftigt haben, werden wir in diesem Artikel die einzelnen SET-Komponenten

Mehr

Seminar Web Science. Bitcoins. Nico Merten 16.05.2012. nmerten@uni-koblenz.de. N. Merten Seminar Web Science Folie 1

Seminar Web Science. Bitcoins. Nico Merten 16.05.2012. nmerten@uni-koblenz.de. N. Merten Seminar Web Science Folie 1 N. Merten Seminar Web Science Folie 1 Seminar Web Science Bitcoins Nico Merten nmerten@uni-koblenz.de 16.05.2012 Überblick N. Merten Seminar Web Science Folie 2 Überblick Einführung - Ursprung und Urheber

Mehr

Architektur von SmartCards und Embedded Systems. Informationstechnische Grundlagen II

Architektur von SmartCards und Embedded Systems. Informationstechnische Grundlagen II Architektur von SmartCards und Embedded Systems Informationstechnische Grundlagen II " Authentisierung " digitale Signatur " Zertifikate Seminarvortrag von Heiko Abraham H.Abraham 26. Apr 2000 1/15 Authentisierung

Mehr

Rainbow Technologies GmbH. Bedeutung von SSL in Ihrem Unternehmen

Rainbow Technologies GmbH. Bedeutung von SSL in Ihrem Unternehmen Rainbow Technologies GmbH Markus Kahmen Bedeutung von SSL in Ihrem Unternehmen Thursday, April 19, 2001 http://europe.rainbow.com 1 Das Internet Die Internet-Ära verspricht für die nächsten 10 Jahre mehr

Mehr

Merkblatt: Sichere E-Mail-Kommunikation zur datenschutz cert GmbH

Merkblatt: Sichere E-Mail-Kommunikation zur datenschutz cert GmbH Version 1.3 März 2014 Merkblatt: Sichere E-Mail-Kommunikation zur datenschutz cert GmbH 1. Relevanz der Verschlüsselung E-Mails lassen sich mit geringen Kenntnissen auf dem Weg durch die elektronischen

Mehr

An Online, Transferable E-Cash Payment System von Sai Anand und Veni Madhavan

An Online, Transferable E-Cash Payment System von Sai Anand und Veni Madhavan An Online, Transferable E-Cash Payment System von Sai Anand und Veni Madhavan ein Vortrag von Mark Manulis im Rahmen von Seminar Kryptologie SS 2002 Institut für Theoretische Informatik TU Braunschweig

Mehr

(ikp = i-key-protocol, i=1,2,3)

(ikp = i-key-protocol, i=1,2,3) (ikp = i-key-protocol, i=1,2,3) Lehrveranstaltung E-Business-Kommunikation Fachhochschule Bonn-Rhein-Sieg, Prof. Dr. M. Leischner SS 2004 Quelle: Mihir Bellare, Juan A. Garay, Ralf Hauser, Amir Herzberg,

Mehr

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002 Diffie-Hellman, ElGamal und DSS Vortrag von David Gümbel am 28.05.2002 Übersicht Prinzipielle Probleme der sicheren Nachrichtenübermittlung 'Diskreter Logarithmus'-Problem Diffie-Hellman ElGamal DSS /

Mehr

10. Elektronische Märkte

10. Elektronische Märkte 10. Elektronische Märkte Electronic Mall ( Marktplatz ) Informationssystem, mit dem - private Nutzer von ihrem Standort aus (zu Hause, Arbeitsplatz etc.) - über Telekommunikationssysteme - Marktaktionen

Mehr

Mobile Commerce. Sicherheit, Anwendungen und Perspektiven Dr. Bernd Dusemund Institut für Telematik 08.06.2001

Mobile Commerce. Sicherheit, Anwendungen und Perspektiven Dr. Bernd Dusemund Institut für Telematik 08.06.2001 Mobile Commerce Sicherheit, Anwendungen und Perspektiven Dr. Bernd Dusemund Institut für Telematik 08.06.2001 Inhalt Part I: Sicherheit - Gefährdungen im Mobile Commerce - Sicherheit durch PKI - WAP-Sicherheit:

Mehr

Sicherheit im E-Business

Sicherheit im E-Business Sicherheit im E-Business Roger Halbheer Global Risk Management Solutions Einige Zahlen Im Durchschnitt wird auf jede neu installierte Web-Seite nach 28 Sekunden das erste Mal zugegriffen - nach 5 Stunden

Mehr

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel Bernd Blümel 2001 Verschlüsselung Gliederung 1. Symetrische Verschlüsselung 2. Asymetrische Verschlüsselung 3. Hybride Verfahren 4. SSL 5. pgp Verschlüsselung 111101111100001110000111000011 1100110 111101111100001110000111000011

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit : Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Methode: Verschüsselung symmetrische Verfahren

Mehr

7 Elektronische Bezahlsysteme

7 Elektronische Bezahlsysteme 7 Elektronische Bezahlsysteme 1. Kreditkartensysteme 2. Blinde Unterschriften und ECash Stefan Lucks. Krypto II: Design, Analyse und Einsatz von Kryptosystemen (WS 04/05). p.1/18 7.1 Kreditkartensysteme

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa Informationen zu Verified by Visa 2 1. Was ist Verified by Visa? 2 2. Wie funktioniert Verified by Visa? 2 3. Wie schützt mich Verified by Visa? 2 4. Ist der Umgang mit Verified by Visa benutzerfreundlich?

Mehr

Authentikation und digitale Signatur

Authentikation und digitale Signatur TU Graz 23. Jänner 2009 Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Begriffe Alice und

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

Verunsicherte Kunden durch NFC Wie sicher ist NFC wirklich?

Verunsicherte Kunden durch NFC Wie sicher ist NFC wirklich? Verunsicherte Kunden durch NFC Wie sicher ist NFC wirklich? Michael Roland 23. Oktober 2013 IIR Payment Forum Cashless Wien This work is part of the project High Speed RFID within the EU program Regionale

Mehr

Häufige Fragen und Antworten

Häufige Fragen und Antworten FAQ DCC Warum wird DCC bei mir nicht angeboten? Muss der Kunde bei DCC auch die Auslandseinsatzgebühr bezahlen? Wie funktioniert bei DCC die Abrechnung bzw. der Kassenschnitt? Wer bestimmt den Wechselkurs?

Mehr

Sicherheitslösung SMS-Code

Sicherheitslösung SMS-Code Sicherheitslösung SMS-Code Mit dieser Anleitung helfen wir Ihnen, den Einstieg ins e-banking mit dem neuen Verfahren SMS-Code mittels Telefon zu erleichtern. Inhalt Login mit SMS-Code... 1 1. Sie sind

Mehr

OpenPGP Eine Einführung

OpenPGP Eine Einführung OpenPGP OpenPGP Eine Einführung Vortragender: Ole Richter Seminar: Electronic Identity Dozent: Dr. Wolf Müller 19. Dezember 2013 OpenPGP Eine Einführung 1/24 OpenPGP OpenPGP Eine Einführung 2/24 kurzer

Mehr

Digital Signature and Public Key Infrastructure

Digital Signature and Public Key Infrastructure E-Governement-Seminar am Institut für Informatik an der Universität Freiburg (CH) Unter der Leitung von Prof. Dr. Andreas Meier Digital Signature and Public Key Infrastructure Von Düdingen, im Januar 2004

Mehr

Zero Effort Backup (ZEB) automatische Datensicherung über das Internet

Zero Effort Backup (ZEB) automatische Datensicherung über das Internet Ralph Lehmann. Computerservice und IT-Beratung. Kochstraße 34. 04275 Leipzig Ralph Lehmann Computerservice und IT-Beratung Kochstraße 34 04275 Leipzig Ralph Lehmann Computerservice und IT-Beratung Tel.:

Mehr

Zahlungssysteme im Wandel der Zeit

Zahlungssysteme im Wandel der Zeit Zahlungssysteme im Wandel der Zeit A-SIT Zeitreise 1 Das Kompetenzzentrum für bargeldloses Bezahlen PayLife ist Drehscheibe zwischen den Karteninhabern, den Vertragspartnern und den Banken. 2 Payment is

Mehr

Kryptographie praktisch erlebt

Kryptographie praktisch erlebt Kryptographie praktisch erlebt Dr. G. Weck INFODAS GmbH Köln Inhalt Klassische Kryptographie Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Digitale Signaturen Erzeugung gemeinsamer Schlüssel

Mehr

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten Versuch: Eigenschaften einer Unterhaltung Instant Messaging Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten welche Rollen gibt es in einem IM-System? Analysieren

Mehr

KRYPTOSYSTEME & RSA IM SPEZIELLEN

KRYPTOSYSTEME & RSA IM SPEZIELLEN KRYPTOSYSTEME & RSA IM SPEZIELLEN Kryptosysteme allgemein Ein Kryptosystem ist eine Vorrichtung oder ein Verfahren, bei dem ein Klartext mithilfe eines Schlüssels in einen Geheimtext umgewandelt wird (Verschlüsselung)

Mehr

Sicherheit beim Online-Banking. Neuester Stand.

Sicherheit beim Online-Banking. Neuester Stand. Sicherheit Online-Banking Sicherheit beim Online-Banking. Neuester Stand. Gut geschützt. Unsere hohen Sicherheitsstandards bei der Übermittlung von Daten sorgen dafür, dass Ihre Aufträge bestmöglich vor

Mehr

Kartengestützter Zahlungsverkehr und Online-Banking

Kartengestützter Zahlungsverkehr und Online-Banking Übersicht: Kartengestützter Zahlungsverkehr und Online-Banking 2.3.5 Kartengestützter Zahlungsverkehr Seit einigen Jahren werden verstärkt kartengestützte Zahlungssysteme verwendet. Es sind unter anderen

Mehr

Secure Socket Layer V.3.0

Secure Socket Layer V.3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung

Mehr

Technische und kryptographische Aspekte

Technische und kryptographische Aspekte Kontaktlose Karten im egovernmentumfeld Technische und kryptographische Aspekte 2. Wildauer Symposium RFID und Medien TFH Wildau, 6. Oktober 2009 Dr. Kim Nguyen Bundesdruckerei, Marketing Product Definition

Mehr

Informatik für Ökonomen II HS 09

Informatik für Ökonomen II HS 09 Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und

Mehr

Einleitung Verfahren Programme Schlüsselverwaltung Passwörter Ende. GPG-Einführung. Martin Schütte. 13. April 2008

Einleitung Verfahren Programme Schlüsselverwaltung Passwörter Ende. GPG-Einführung. Martin Schütte. 13. April 2008 GPG-Einführung Martin Schütte 13. April 2008 Einleitung Verfahren Programme Schlüsselverwaltung Passwörter Ende Warum Kryptographie? Vertraulichkeit Mail nur für Empfänger lesbar. Integrität Keine Veränderung

Mehr

MultiCash@Sign. Ablaufbeschreibung/Anleitung

MultiCash@Sign. Ablaufbeschreibung/Anleitung Juni 2015 Willkommen zu MultiCash@Sign Was ist MultiCash@Sign? MultiCash@Sign ermöglicht es Benutzern von MultiCash, Zahlungsunterschriften von jedem beliebigen Ort und jedem beliebigen Windows-System

Mehr

Digital Honey Electronic Cash Smart Cards

Digital Honey Electronic Cash Smart Cards Georg Kristoferitsch Digital Honey Electronic Cash Smart Cards Chancen und Risiken des Zahlungsuerkehrs uia Internet UEBERREUTER Inhaltsverzeichnis Vorwort 9 1 Einleitung 11 2 Internet: Das Netz der Netze

Mehr

Kryptografische Protokolle

Kryptografische Protokolle Kryptografische Protokolle Lerneinheit 5: Authentifizierung Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2015 19.6.2015 Einleitung Einleitung Diese Lerneinheit hat Protokolle

Mehr

Rechneranmeldung mit Smartcard oder USB-Token

Rechneranmeldung mit Smartcard oder USB-Token Rechneranmeldung mit Smartcard oder USB-Token Verfahren zur Authentifizierung am Rechnersystem und angebotenen Diensten, SS2005 1 Inhalt: 1. Systemanmeldung 2. Grundlagen 3. Technik (letzte Woche) 4. Standards

Mehr

Sicherheit von Online-Voting Systemen

Sicherheit von Online-Voting Systemen Sicherheit von Online-Voting Systemen Ein Vortrag von Anne-Lena Simon Quelle: http://www.kreis-vg.de/index.php?object=tx 2098.1.1&ModID=7&FID=2164.3325.1&NavID=2098.29 Übersicht 1. Grundstruktur 2. Anforderungen

Mehr

Kryptographie II. Introduction to Modern Cryptography. Jonathan Katz & Yehuda Lindell

Kryptographie II. Introduction to Modern Cryptography. Jonathan Katz & Yehuda Lindell Kryptographie II Introduction to Modern Cryptography Jonathan Katz & Yehuda Lindell Universität zu Köln, WS 13/14 Medienkulturwissenschaft / Medieninformatik AM2: Humanities Computer Science Aktuelle Probleme

Mehr

PGP und das Web of Trust

PGP und das Web of Trust PGP und das Web of Trust Thomas Merkel Frubar Network 14. Juni 2007 E509 273D 2107 23A6 AD86 1879 4C0E 6BFD E80B F2AB Thomas Merkel (Frubar Network) PGP und das Web of Trust 14. Juni

Mehr

Vgl. Oestereich Kap 2.7 Seiten 134-147

Vgl. Oestereich Kap 2.7 Seiten 134-147 Vgl. Oestereich Kap 2.7 Seiten 134-147 1 Sequenzdiagramme beschreiben die Kommunikation/Interaktion zwischen den Objekten (bzw. verschiedenen Rollen) eines Szenarios. Es wird beschrieben, welche Objekte

Mehr

Erste Vorlesung Kryptographie

Erste Vorlesung Kryptographie Erste Vorlesung Kryptographie Andre Chatzistamatiou October 14, 2013 Anwendungen der Kryptographie: geheime Datenübertragung Authentifizierung (für uns = Authentisierung) Daten Authentifizierung/Integritätsprüfung

Mehr

Hinweise zur Inbetriebnahme der FMH-HPC auf Windows 7

Hinweise zur Inbetriebnahme der FMH-HPC auf Windows 7 7 Version 1.3,v0.20, 21.06.2013 Wollen Sie die FMH-HPC mit Standard-Applikationen wie zum Beispiel Login zu myfmh, E-Mails und Dokumente signieren, usw. verwenden, müssen Sie Ihren Windows PC entsprechend

Mehr

Anonymes Kommunizieren mit Mixminion

Anonymes Kommunizieren mit Mixminion Anonymes Kommunizieren mit Mixminion Seminar Peer-to-Peer Netzwerke Claudius Korzen Institut für Informatik Albert-Ludwigs-Universität, Freiburg SS 2009 28. Juli 2009 1/ 35 Überblick 1 Motivation 2 Grundlagen

Mehr

Ausarbeitung zum Vortrag Java Web Start von Adrian Fülöp Fach: Komponentenbasierte Softwareentwicklung WS 06/07 Fachhochschule Osnabrück

Ausarbeitung zum Vortrag Java Web Start von Adrian Fülöp Fach: Komponentenbasierte Softwareentwicklung WS 06/07 Fachhochschule Osnabrück Ausarbeitung zum Vortrag Java Web Start von Adrian Fülöp Fach: Komponentenbasierte Softwareentwicklung WS 06/07 Fachhochschule Osnabrück Adrian Fülöp (297545) - 1 - Inhaltsverzeichnis: 1. Einführung 2.

Mehr

Bankkarten Girocard. Die Girocard ist ganz schön praktisch! Till + Freunde Konto + Karte

Bankkarten Girocard. Die Girocard ist ganz schön praktisch! Till + Freunde Konto + Karte 1 Girocard Je nach Bank sind die Beträge, über die man täglich/wöchentlich verfügen kann, unterschiedlich. Jeder Bankkunde erhält zu seinem Konto eine Bankkarte, die Girocard. Mit ihr kann er Kontoauszüge

Mehr

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen"

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar Kommunikation in P2P-Netzen P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen" Ziele des Vortrags Sicherheit auf Konzept-Ebene Kommunikationsprotokolle Datenspeicherung Resistenz gegen Störungen, Angriffe,

Mehr

HVB globaltrxnet Installationsanleitung

HVB globaltrxnet Installationsanleitung HVB globaltrxnet Installationsanleitung Quick Guide Version 4.5 Juli 2013 Inhalt 1. VORGEHENSWEISE BEI DER INSTALLATION 2. SYSTEMVORAUSSETZUNGEN 3. DOWNLOAD UND INSTALLATION 3 1. VORGEHENSWEISE BEI DER

Mehr

Durchführung eines Upgrades von Windows 7 auf Windows 8

Durchführung eines Upgrades von Windows 7 auf Windows 8 Durchführung eines Upgrades von Windows 7 auf Windows 8 Stand: August 2012 CSL-Computer GmbH & Co. KG Sokelantstraße 35 30165 Hannover Telefon: 05 11-76 900 100 Fax 05 11-76 900 199 shop@csl-computer.com

Mehr

VERTRAUENSWÜRDIGE IDENTITÄTEN FÜR DIE CLOUD

VERTRAUENSWÜRDIGE IDENTITÄTEN FÜR DIE CLOUD VERTRAUENSWÜRDIGE IDENTITÄTEN FÜR DIE CLOUD Dr. Detlef Hühnlein, Johannes Schmölz ecsec GmbH, Sudetenstraße 16, D96247 Michelau Zusammenfassung 1 Einleitung che Schwachstellen enthalten. 44 FraunhoferGesellschaft

Mehr

Sicherheit und Mobilität ein lösbares Dilemma

Sicherheit und Mobilität ein lösbares Dilemma Sicherheit und Mobilität ein lösbares Dilemma KOBIL Systems GmbH Sascha Mizera, Product Management entwickelt, vermarktet und vertreibt seit 21 Jahren wichtige Basistechnologie zur uneingeschränkten und

Mehr

Allgemeine Erläuterungen zu

Allgemeine Erläuterungen zu en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM Informationen zu MasterCard SecureCode TM 3 1. Was ist der MasterCard SecureCode TM? 3 2. Wie funktioniert MasterCard SecureCode TM? 3 3. Wie schützt mich MasterCard SecureCode TM? 3 4. Ist der Umgang

Mehr

10. Kryptographie. Was ist Kryptographie?

10. Kryptographie. Was ist Kryptographie? Chr.Nelius: Zahlentheorie (SoSe 2015) 39 10. Kryptographie Was ist Kryptographie? Die Kryptographie handelt von der Verschlüsselung (Chiffrierung) von Nachrichten zum Zwecke der Geheimhaltung und von dem

Mehr

Übersicht. Agenda. Übersicht über aktuelle Verrechnungsmethoden. Übersicht über aktuelle Verrechnungsmethoden

Übersicht. Agenda. Übersicht über aktuelle Verrechnungsmethoden. Übersicht über aktuelle Verrechnungsmethoden Übersicht Übersicht über aktuelle Verrechnungsmethoden Wieso haben sich viele Methoden nicht oder nur lokal durchgesetzt? 1 Marktchancen der Methoden 2 Agenda Einleitung / Begriffe Übersicht über aktuelle

Mehr

Sicherheitskonzepte für das Internet

Sicherheitskonzepte für das Internet Martin Raepple Sicherheitskonzepte für das Internet Grundlagen, Technologien und Lösungskonzepte für die kommerzielle Nutzung Technische Universität Darmstadt FACHBEREICH INFORMATIK B I B L 1 O T H E K

Mehr

Datensicherung. Beschreibung der Datensicherung

Datensicherung. Beschreibung der Datensicherung Datensicherung Mit dem Datensicherungsprogramm können Sie Ihre persönlichen Daten problemlos Sichern. Es ist möglich eine komplette Datensicherung durchzuführen, aber auch nur die neuen und geänderten

Mehr

Collaboration Manager

Collaboration Manager Collaboration Manager Inhalt Installationsanleitung... 2 Installation mit Setup.exe... 2 Security Requirements... 3 Farmadministrator hinzufügen... 3 Secure Store Service... 3 Feature-Aktivierung... 5

Mehr

Technischer Datenschutz im Internet

Technischer Datenschutz im Internet Technischer Datenschutz im Internet Prof. Dr. Lehrstuhl Management der Informationssicherheit Uni Regensburg http://www-sec.uni-regensburg.de/ Was ist Sicherheit? Techniken zum Schutz? Stand der Technik?

Mehr

Sichere Datenhaltung in verteilten Systemen

Sichere Datenhaltung in verteilten Systemen Sichere Datenhaltung in verteilten Systemen Bericht über ein Großprojekt im medizinischen Bereich Dipl. Inform. Ramon Mörl Ausgangssituation Heterogene Infrastruktur verteilt über mehrere Standorte Mainframes,

Mehr

und Digitale Signatur

und Digitale Signatur E-Mail Sicherheit und Digitale Signatur 13/11/04 / Seite 1 Inhaltsverzeichnis Vorstellung Motivation und Lösungsansätze Sicherheitsdemonstration Asymetrische Verschlüsselung Verschlüsselung in der Praxis

Mehr

Anleitung zur Überprüfung der Signatur von Elektronischen Kontoauszügen

Anleitung zur Überprüfung der Signatur von Elektronischen Kontoauszügen Seite 1 Anleitung zur Überprüfung der Signatur von Elektronischen Kontoauszügen Zur Prüfung, ob die qualifizierte Signatur eines elektronischen Kontoauszugs gültig ist, können verschiedene Softwarelösungen

Mehr

PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser

PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser Theoretische Informatik Prof. Johannes Buchmann Technische Universität Darmstadt Graduiertenkolleg Enabling Technologies for Electronic Commerce

Mehr

Mitarbeiterbefragung

Mitarbeiterbefragung Arbeitspsychologie CoPAMed Arbeitspsychologie Mitarbeiterbefragung Zusatzmodul zur Verwaltung von arbeitspsychologischen Leistungen und zur Durchführung von anonymen Mitarbeiterbefragungen. CoPAMed Arbeitspsychologie

Mehr

Der Parameter CLOSE bewirkt, dass sich das Sicherungsprogramm am Ende der Sicherung automatisch schliesst

Der Parameter CLOSE bewirkt, dass sich das Sicherungsprogramm am Ende der Sicherung automatisch schliesst 1 Sicherung 1.1 Einleitung Die Applikation WSCAR basiert auf der Datenbank-Engine Firebird 1.5.5 / 2.5.2. Beide Programme sind nur auf der Hauptstation(Server) installiert und dürfen nie deinstalliert

Mehr

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source

Mehr

E-Payment-Systeme: zeitgemäße Ergänzung traditioneller Zahlungssysteme

E-Payment-Systeme: zeitgemäße Ergänzung traditioneller Zahlungssysteme IHK Darmstadt, Darmstadt, 30.Juni 2004 E-Payment-Systeme: zeitgemäße Ergänzung traditioneller Zahlungssysteme Dr. Stefan Heng E-Payment-Systeme 1 Ausgangssituation: Symbiose zwischen Zahlungssystemen und

Mehr

White paper. LEGIC card-in-card Lösungen Die virtuelle Transponder Technologie von LEGIC

White paper. LEGIC card-in-card Lösungen Die virtuelle Transponder Technologie von LEGIC White paper LEGIC card-in-card Lösungen Die virtuelle Transponder Technologie von LEGIC Die Karte in der Karte Die LEGIC Card-in-Card Lösungen für Smart Cards oder NFC Mobiltelefone ermöglichen die Zusammenführung

Mehr

Was ist Bitcoin? Zuerst einmal schauen wir uns die Grundlagen des Bitcoin-Systems an: Wie werden Bitcoins gespeichert? Wie werden sie überwiesen?

Was ist Bitcoin? Zuerst einmal schauen wir uns die Grundlagen des Bitcoin-Systems an: Wie werden Bitcoins gespeichert? Wie werden sie überwiesen? Was ist Bitcoin? Bitcoin ist eine vollkommen dezentral organisierte Währung, die mit keinem der bisher realisierten Geldsysteme auch nur annähernd zu vergleichen ist. Entsprechend schwer tun sich die Medien,

Mehr

Anonymität in digitalen Münzsystemen mit Wechselgeld

Anonymität in digitalen Münzsystemen mit Wechselgeld Anonymität in digitalen Münzsystemen mit Wechselgeld Heike Neumann Mathematisches Institut Justus-Liebig-Universität Gießen Arndtstrasse 2 G-35392 Gießen Heike.B.Neumann@math.uni-giessen.de Björn Fay Mathematisches

Mehr

Smartcard Management System

Smartcard Management System Smartcard Management System Benutzerhandbuch Zertifiziert vom Nationalinstitut für Standardisierung und Technologie der Vereinigten Staaten von Amerika. Certified by the National Institute of Standards

Mehr