Größe: px
Ab Seite anzeigen:

Download ""

Transkript

1 SmartMicroPay Ein Broker-basiertes Micropayment-Schema zum Bundling von Transaktionen M. Crameri 12. Marz 1999 Zusammenfassung Die heute verfugbaren Zahlungssysteme erlauben aufgrund zu hoher Transaktionskosten und Bearbeitungszeiten keine sinnvolle Verrechnung von Kleinstbetragen. Die Einzelabrechnung von Micropayments ist okonomisch und technologisch inezient. Durch die Einfuhrung von Brokern konnen die Transaktionen gebundelt und nach Erreichen einer bestimmten Limite durch eine einzige Zahlung beglichen werden. Um die nachtragliche Zahlung sicherzustellen, setzen wir einen Observer auf einer Smartcard ein, der dezentral die Interessen des Brokers wahrt und dafur sorgt, dass der Kunde nach Uberschreiten einer bestimmten Kreditlimite den Betrag bezahlen muss. Wir erweitern das Konzept von Observern und implementieren diese auf einer Multiapplikations-Chipkarte rein in Software. 1 Einleitung Informationsguter weisen zwei besondere Eigenschaften auf. Zum einen sind die Grenzkosten vernachlassigbar gering [Vari95]. Zum anderen eliminiert der Vetrieb uber elektronische Markte die bei materiellen Gutern hohen Distributionskosten. Deshalb konnen Informationsguter auf elektronischen Markten zu sehr geringem Preis angeboten werden. Diese Zahlungen in der Grosse eines Bruchteils von einem Dollar oder gar Cent werden Micropayments genannt. Um diese Mikrotransaktionen okonomisch sinnvoll Mario Crameri arbeitet bei der CREDIT SUISSE im PC-/Internet Banking und schreibt an einer Dissertation uber Micropayments. 1

2 abrechnen zu konnen, mussen die Transaktionskosten fur Micropayments stets geringer sein als der Wert der einzelnen Transaktion [Glass94]. In der Literatur ndet man uber 30 Eigenschaften von Zahlungssystemen [MacK97], welche je nach Anforderung eine andere Gewichtung erhalten. Im Zusammenhang mit Micropayments sind die beiden Eigenschaften geringe " Transaktionskosten\ und Ezienz\ besonders wichtig [Cram98]. " Kreditkarten-basierte Zahlungssysteme sind erst fur einen Betrag ab rund 20 USD einsetzbar, denn die minimalen Gebuhren betragen je nach Branche und Land etwa 2 USD. Europay Switzerland beispielswiese wickelt SET 1 -Zahlungen erst ab einem Betrag von 30 CHF ab. Da die elektronischen Checks ebenfalls auf die bestehende und teure Infrastruktur aufsetzen, bewegen sich diese Transaktionskosten in der gleichen Grossenordnung. Elektronisches Geld kann auf zwei Arten realisiert werden: rein in Software oder auf einer Chipkarte. Bis auf die Ausnahme von Millicent [Glas94] weisen diese Systeme in der Regel fur Kleinstzahlungen ebenfalls zu hohe Transaktionskosten auf. Die Gebuhren von CASH 2 betragen 0.05% der Transaktionssumme, aber mindestens 0.02 CHF. Dies ist fur eine Mikrotransaktion ebenfalls zuviel. Zahlungssysteme, die auf falschungssicherer Hardware basieren, wie beispielsweise elektronische Geldborsen in Chipkarten, weisen je nach Ausgestaltung Transaktionszeiten von bis zu 10 Sekunden auf. Ebenfalls Latenzzeiten in derselben Grossenordnung treten bei Software-basierten Systemen auf, die auf rechenintensive starke Kryptographie zuruckgreifen. Verschiedene Autoren verwenden in ihren Protokollen nicht ausschliesslich starke Kryptographie, sondern auch Hash-Funktionen, welche um den Faktor 100 bei der Uberprufung und um den Faktor 10'000 bei der Erzeugung schneller sind [Rive96]. Ein moglicher Ansatz sieht vor, dass nicht bei jeder Zahlung das gesamte Protokoll ausgefuhrt wird [Pede97]. Diese Systeme sind fur wiederkehrende Transaktionen optimiert und setzen nur zu Beginn fur die Authentisierung starke Kryptographie ein. Die Folgetransaktionen werden mittels Hash-Funktionen gesichert. Wir gehen mit SmartMicroPay noch einen Schritt weiter und fuhren eine Bundelung der Zahlung ein. Wir sind der Meinung, dass aufgrund zu hoher Transaktionskosten und Verarbeitungszeit des Systems die einzelnen Transaktionen nicht einzeln abgerechnet werden sollten, sondern als Sam- 1 Secure Electronic Transaction (SET) ist ein Verfahren fur sichere Kreditkartentransaktionen in oenen Netzwerken wie beispielsweise das Internet. 2 CASH ist die elektronische Geldborse die von Europay Switzerland in Zusammenarbeit mit den Schweizer Banken herausgegeben wird. 2

3 melzahlung, nachdem ein okonomisch sinnvoller Betrag erreicht wird. Im nachsten Abschnitt werden die Grundzuge von SmartMicroPay beschrieben und Erweiterungen des Observer-Konzepts fur das Bundling von Kleinsttransaktionen aufgezeigt. In Abschnitt 3 werden das Transaktionsmodell sowie der Protokollablauf vorgestellt. Danach werden in einem separaten Abschnitt detailliert Sicherheitsaspekte angesprochen. In einem letzten Teil schliesslich werden Schlussfolgerungen gezogen und oene Fragen diskutiert. 2 SmartMicroPay SmartMicroPay ist ein Broker-basiertes Micropayment-Schema, das fur wiederkehrende Transaktionen optimiert wurde. Die Broker im SmartMicroPay- Modell haben verschiedene Aufgaben. Zum einen konnen Brokerdienste in elektronischen Markten aufgrund von Economies of Scale zu Kosteneinsparungen fuhren [Schm95]. Dies geschieht durch die Bundelung von Angeboten und der Verrechnung. Infolge der sehr geringen Produktions- und Distributionskosten von digitalen Gutern kann auf Anbieterseite jedoch eine Entbundelung des Angebotes entstehen [Bako97]. Zum anderen dienen die Broker in diesem Modell als dauerhafte Schnittstelle zwischen Kunden und Inhaltsanbietern (sogenannte content-provider). Eine konstante Beziehung zwischen Kunden und Broker ist bei SmartMicroPay notwendig, da auf eine unmittelbare Verrechnung jeder Transaktion verzichtet wird. Eine Bundelung der Einzelzahlungen kann in der Regel auf zwei Arten geschehen. Der Kunde bezahlt im Voraus eine grossere Summe fur die einzelnen Transaktionen, die jeweils von diesem Betrag abgebucht werden. Ein Spezialfall davon stellen Abonnemente dar. Der Kunde bezahlt eine Pauschale fur eine gewisse Periode. Abonnemente konnen somit als vorausbezahlte (prepaid) Bundelung betrachtet werden. Diese Losung ist jedoch fur den Kunden uninteressant, da er normalerweise anfanglich nicht weiss, ob er den gesamten Betrag konsumiert. Dadurch werden Gelegenheitskaufer ausgeschlossen. Eine zweite Variante entsteht, falls man den Belastungszeitpunkt verschiebt. Der Kunde bezahlt erst spater fur die beanspruchten Leistungen. Aus dem pay before wird dann ein pay later. Dieser Ansatz ist fur den Kunden akzeptabler, da er nur die tatsachlich gekauften Guter bezahlen muss. Daneben weist diese Losung einen interessanten Nebeneekt auf: Sie entspricht nicht der allgemein anerkannten Denition von elektronischem Geld und unterliegt somit in den meisten westlichen Staaten nicht den gesetzlichen 3

4 Anforderungen { und kann demzufolge auch von Nicht-Banken emittiert werden. Gemass Denition der Bank fur internationalen Zahlungsausgleich ist elektronisches Geld stets vorausbezahlt (prepaid) [BIS98]. Bei der Bundelung von Transaktionen nach dem pay later-prinzip stellt sich unweigerlich die Frage, wie man sicherstellen kann, dass der Benutzer auch bezahlt und nicht einfach, ohne die Rechnung zu begleichen, seinen Einkauf beendet. Wir adaptieren dazu das Konzept von sogennanten 'Observern' [Chau92][CP93][Bran94]. Ein Observer ist ein falschungssicherer Chip auf einem nicht vertrauenswurdigen Medium, welcher die Interessen einer bestimmten Partei wahrnimmt. Die Grundidee ist, dass der Observer der Chipkarte nicht vertraut und vice versa. So kann ein Observer doublespending von elektronischem Geld verhindern, andere Konzepte wie etwa eine online Verikation konnen double-spending nur aufdecken, jedoch nicht verunmoglichen [Omah97] Im SmartMicroPay-Modell nimmt der Observer die Interessen des Brokers wahr und sorgt dafur, dass der Kunde nach dem Uberschreiten einer bestimmten Kreditlimite den Betrag begleichen muss. Abbildung 1: Observer-Konzept auf einer Smartcard. Der Observer darf keine Moglichkeit haben, mit der Aussenwelt zu kommunizieren [CP93]. Jegliche Kommunikation muss uber die klar denierte Schnittstelle der Smartcard erfolgen. Ist der Observer auf einer Smartcard untergebracht, dann muss er nicht zwingend in Hardware sein, da eine Smartcard per denitionem selbst schon als falschungssicher gilt. Wir verwenden fur die Umsetzung von SmartMicro- Pay eine Multiapplikations-Chipkarte. Der Observer ist dann lediglich eine Anwendung, eine weitere ist beispielsweise die elektronische Geldborse. Ist der Observer einmal auf der Smartcard installiert, dann unterscheidet er sich nicht wesentlich von einem rein in Hardware realisierten. Kritischer ist der 4

5 Prozess des Ladens des Observers. Moderne Multiapplikations-Chipkarten wie beispielsweise die Java Card besitzen ein spezielles Sicherheitskonzept, welches die einzelnen Anwendungen mitsamt den dazugehorigen Daten isoliert und somit vor unerlaubtem Zugri schutzt [JC97]. In Abschnitt 4 werden dazu einige Sicherheitsaspekte detaillierter behandelt. Neben den zu hohen Transaktionskosten und Verarbeitungszeiten weisen die heutigen Zahlungssysteme weitere Mangel auf. Bei einigen Systemen erfolgt eine online Verikation bei einer zentralen Instanz. Solche Systeme sind in der Regel nicht skalierbar. Andere Systeme gewahren dem Kunden keine Anonymitat. SmartMicroPay ist durch diese dezentralen Observer skalierbar und aufgrund von Pseudonymen anonym. Ein Pseudonym verschleiert die wahre Identitat des Benutzers [Chau85]. 2.1 Annahmen Die Vorteile von SmartMicroPay basieren auf zwei Annahmen: Erstens gehen wir davon aus, dass die Kunden wiederkehrende Transaktionen tatigen, das heisst keine einmaligen Einzelkaufe durchfuhren. Zweitens nehmen wir an, dass die Anzahl der Broker im System sehr gering ist. Diese beiden Hypothesen lassen sich rechtfertigen. Studien zum Nutzungsverhalten haben ergeben, dass der durchschnittliche Internet-Nutzer mehrere Seiten pro Woche aufruft. Die neueste Nutzerumfrage von GVU zeigt, dass rund 88% der Befragten taglich ins Internet einsteigen [GVU98]. Gemass dem Report von NetRating ruft ein aktiver Benutzer rund 46 Seiten pro Tag ab [Netr98]. Daraus kann man schliessen, dass ein durchschnittlicher Nutzer nun mindestens mehrere Seiten pro Wochen abruft. Wir vergleichen die Broker aus dem SmartMicroPay-Modell mit den heutigen Suchmaschinen. Es gibt nur eine begrenzte Anzahl von Suchmaschinen. Die Anzahl ist sogar abnehmend. Die nachste Generation, die sogennanten Portale, dienen dem Internet-Nutzer als Einstiegsfenster. Samtliche Transaktionen laufen uber den Portalanbieter, der in unserem Modell als Broker bezeichnet wird. Experten rechnen damit, dass sich nach einer Konsolidierungsphase nur drei bis funf Portale durchsetzen werden. 2.2 Beteiligte Parteien und Rollen In einer weiteren Sicht beteiligen sich bei SmartMicroPay drei Parteien: Kunde, Broker und Inhaltsanbieter. In einer engeren Sicht interessieren jedoch nur die Parteien Kunde und Broker. Ein Broker bundelt das Angebot verschiedener Anbieter und stellt es 5

6 seinen Kunden zur Verfugung. Auf die Abrechnung zwischen den Inhaltsanbietern und dem Broker wird hier nicht weiter eingegangen. Mogliche Ansatze sind Lizenzierung, Abonnements oder verbrauchsabhangige Verrechnungen [Bako97]. Wir beschranken uns im weiteren auf die Beziehung zwischen Kunde und Broker. Abbildung 2 stellt die beteiligten Parteien dar: Abbildung 2: Die beteiligten Parteien bei SmartMicroPay. Der Kunde muss sich initial bei einem Broker seiner Wahl das Observer- Modul auf seine Chipkarte laden. Der Kunde kann dazu irgendeine Multiapplikationskarte verwenden, sofern diese das Broker-Programm ausfuhren kann. Dies ist ein wesentlicher Vorteil von Software-Observern gegenuber Hardware-Implementierungen. Der Kunde benotigt keine spezielle, in der Regel nur fur diesen Zweck einsetzbare Chipkarte. Da es nur einige wenige Broker im gesamten System geben wird, muss dieser Vorgang nicht beliebig oft wiederholt werden. Zudem konnen die einzelnen Broker miteinander vernetzt sein, so dass der Kunde nur einen Observer fur mehrere Broker benotigt. 3 Transaktionsmodell SmartMicroPay besteht aus verschiedenen Transaktionen, welche im Folgenden detailliert beschrieben werden. Es werden Konzepte fur die Installation von Observern, fur die eigentliche Transaktion und weitere fur spezielle Falle wie etwa das Erhohen der Kreditlimite benotigt. 3.1 Installation des Observer-Moduls Der Kunde ladt sich ein Observer-Modul von seinem Broker auf die Smartcard (vgl. Abbildung 3). Damit der Kunde sicher ist, dass er auch tatsachlich einen Observer von Broker XY bekommen hat, sollte das Modul zertiziert sein. Der Visa OpenPlatform-Standard stellt dies beispielsweise sicher. Der Broker sendet dem Kunden das signierte Observer-Programm. Der Kunde uberpruft die Signatur des Observers. Digitale Signaturen identizieren zum einen den Author einer Nachricht und zum anderen stellen sie die 6

7 Abbildung 3: Installation des Observer-Moduls. Integritat der Nachricht sicher [Law96]. Stimmt die Unterschrift uberein, dann weiss der Kunde, dass der Observer vom Broker stammt { und unverandert ubertragen wurde. In einem zweiten Schritt mussen der Observer und die Smartcard gemeinsam ein Schlusselpaar erzeugen. Dies ist notwendig, weil weder die Smartcard noch der Observer alleine Nachrichten an den Broker senden durfen. Die Smartcard muss die Moglichkeit haben, jede Nachricht vom und zum Observer zu kontrollieren [Chau92]. Der Broker darf nicht den Kontostand auf dem Observer erhohen, ohne dass der Kunde tatsachlich Guter bezogen hat. Auch die Smartcard sollte den Broker nicht uber einen falschen Kontostand informieren konnen. Damit der Observer sich ausweisen kann, besitzt er einen integrierten Schlussel. Diesen kann er jedoch nicht direkt verwenden, da er den Observer in jeder Transaktion identizieren wurde [CP93]. Zudem kann die Smartcard so den Nachrichtenverkehr nicht mithoren. Also erzeugen der Observer und 7

8 die Smartcard zusammen ein Schlusselpaar. Das detaillierte Protokoll ist bei Chaum beschrieben [Chau93]. Der Observer darf die Schlussel nicht alleine kreieren, damit er keine Information in die Schlussel selbst codieren kann. Mittels Coin ipping-protokoll werden die Schlusselparameter erzeugt. Die Smartcard kann am Ende verizieren, ob ihre Parameter fur die Schlussel verwendet worden sind. Dieses neue Schlusselpaar muss noch bei einem key authentication center zertiziert werden, damit diese Schlussel in Zukunft verwendet werden konnen. Die Smartcard berechnet einen Zufallswert, welchen der Observer fur das blinding des oentlichen Schlussels verwendet. Der Observer rechnet den blinding-faktor in den oentlichen Schlussel, signiert diesen und sendet beides der Karte. Die Karte uberpruft das blinding und die Unterschrift und leitet den Schlussel an die Zertizierungsstelle weiter. Diese erkennt die ursprungliche Signatur des Observers, signiert den neuen, fur sie jedoch nicht erkennbaren oentlichen Schlussel, und sendet ihn zuruck zur Karte. Die Smartcard entfernt den Blinding-Faktor und behalt eine Kopie fur sich. Durch die Verwendung dieses Schlusselpaars kann der Observer sich in Zukunft anonym identizieren. Der neue Public key wird auch an den Broker gesandt, der die Signatur der Zertizierungsstelle veriziert [Chau93]. Nach erfolgreicher Uberprufung speichert der Broker den Public key des Observers in seiner Schlusseldatenbank. In einem weiteren Schritt mussen sich der Broker und die Smartcard auf ein gemeinsames Zahlungssystem einigen. Dazu fordert der Broker die Smartcard auf, eine Liste aller verfugbaren Zahlungsmethoden zu senden. Der Broker wahlt ein System aus und setzt in Abhangigkeit von der selektierten Zahlungsmethode die Kreditlimite fest. Bei Kreditkarten-basierten Systemen ist diese Limite hoher als etwa bei elektronischem Geld, da Unterschiede bei den Transaktionskosten bestehen. Der Broker sendet die Limite uber die Smartcard an den Observer, der diese speichert. Erst nachdem der Broker eine positive Antwort vom Observer erhalt, ist die Installation abgeschlossen. 3.2 Transaktionsablauf Der eigentliche Kaufvorgang wird gestartet, nachdem der Kunde die Transaktionen initiiert. Er sucht in der Datenbank des Brokers nach den entsprechenden Informationen. Man kann sich einen Broker vorstellen, der analog der heutigen Suchmaschinen eine Datenbank unterhalt, an welche die Kunden die Anfragen stellen konnen. Will der Kunde das erste Gut kaufen, wird er vom Broker aufgefordert, sich zu authentisieren. Wir verwenden 8

9 einen Beweis ohne Wissenvermittlung (zero knowledge proof ). Ein solches Protokoll beweist einem Verizierer, dass der zu Prufende eine bestimmte Information besitzt, ohne diese jedoch preiszugeben [Schn96]. Der Broker sendet dem Observer eine zufallige Zeichenfolge, welche der Observer mit seinem privaten Schlussel kodiert und zurucksendet. Der Broker entschlusselt die Nachricht mit dem oentlichen Schlussel des Observers und vergleicht das Resultat mit der Zeichenfolge. Stimmen die beiden uberein, dann hat der Observer seine Identitat bewiesen (oder zumindest, dass er den privaten Schlussel von XY besitzt). Nach erfolgreicher Authentisierung kann der Kunde die gewunschten Informationsguter beziehen. Der Betrag jeder Transaktion wird im Observer aufgezeichnet. Der Observer pruft jeweils, ob die Kreditlimite erreicht ist und sendet das Resultat dem Broker. Ist nun der aufgelaufene Betrag grosser als die Limite, muss der Kunde die Summe bezahlen. Weigert sich der Kunde, den Betrag zu begleichen, dann sendet der Observer stets eine negative Antwort zum Broker. Der Kunde kann erst wieder Guter beziehen, falls er seine Schuld begleicht. Alle folgenden Transaktionen werden nun gesammelt und spater abgerechnet. Der Kunde sieht jederzeit seinen Saldo aus dieser Sitzung und den kumulierten Betrag, welcher aus vorangegangen Transaktionen aufgelaufen ist. Durch die Bundelung der einzelnen Zahlungstransaktionen ist das System sehr ezient. Es muss nur wahrend der Authentisierung eine rechenintensive Public Key-Operation durchgefuhrt werden. Das Zahlungssystem, welches fur die Abrechnung des aufgelaufenen Betrages verwendet wird, hangt auf der einen Seite von der Hohe der Limite ab und auf der anderen Seite naturlich von den Systemen, welche Kunde und Broker gemeinsam haben. Wird die Limite genugend hoch angesetzt, das heisst uber 20 USD, dann konnen selbst Kreditkarten in den Einsatz kommen. Zudem erlaubt SmartMicroPay ein dierenziertes Pricing. Es kann den guten Kunden einfach Mengenrabatt gewahrt werden. Der Observer kann beispielsweise einen Transaktionszahler fuhren. Bei anderen anonymen Zahlungssystemen ist dies nicht moglich, da der Zahlungsempfanger den Zahlenden nicht kennt. 9

10 Abbildung 4: Transaktionsablauf bei SmartMicroPay. 10

11 3.3 Weitere Konzepte Limite andern Das Andern der Limite geht vom Broker aus. Neukunden verfugen uber eine tiefere Limite als treue Kunden, welche die kumulierte Rechnung schon mehrmals beglichen haben. Der Broker kann solchen Kunden eine hohere Limite gewahren. Abbildung 5 stellt den Ablauf dar: Abbildung 5: Andern der Limite. Der Broker kann periodisch die Bonitat seiner Kunden uberprufen. Dazu fordert er den Observer auf, die Bonitatsprufung vorzunehmen. Der Observer meldet dem Broker die Bonitat des Kunden zuruck. Aufgrund dieser kann der Broker entscheiden, ob die Kreditlimite des Kunden geandert werden soll. Die neue Limite wird an den Observer gesandt, der diese speichert Zahlungssystem wechseln Es kann vorkommen, dass der Kunde neue Zahlungssysteme zur Auswahl hat oder dass er bestehende entfernt. Er sendet dem Broker eine Anfrage, das Zahlungssystem zu andern. Der Broker fordert die aktuelle Liste der Zahlungsmethoden vom Kunden an, aus welcher er ein passendes System auswahlt. Je nach gewahltem System wird die Kreditlimite festgesetzt. Diese wird dem Observer gesandt, der die neue Limite speichert. Abbildung 6 zeigt den Vorgang auf: 11

12 4 Sicherheit Abbildung 6: Zahlungssystem wechseln. 4.1 Grundsatzliche Uberlegungen Die Sicherheit bei SmartMicroPay basiert zum einen dem Konzept von Observern. In der Literatur werden Observer als zusatzlicher Chip auf einer Smartcard vorgestellt [Chau92][CP93]. Wir erweitern dieses Konzept und verwenden sichere Multiapplikations-Chipkarten fur die Umsetzung von Observern in Software. Der Observer wird als Applikation mit eigenem Speicherbereich realisiert. Es gibt derzeit zwei Chipkarten-Plattformen, welche dynamisches Laden mehrerer Anwendungen erlauben: Java Card und MULTOS. Wir wollen die weiteren Ausfuhrungen am Sicherheitsmodell der Java Card demonstrieren. Bei der Java Karte erzeugen Applets, das sind kleine, auf der Chipkarte ausfuhrbare Programme, Objekte, um Daten zu reprasentieren, zu speichern und zu manipulieren [JC97]. Jedes Objekt auf der Karte gehort generell genau einem Applet. Das erzeugende Applet besitzt die vollen Privilegien ber das Objekt. Ein Zugri auf das Objekt ist nur diesem Applet moglich, es sei, das Objekt wird explizit mit anderen Applets geteilt. Demzufolge kann keine andere Anwendung Daten des Observers lesen, verandern oder gar loschen. Die Sicherheit bei SmartMicroPay beruht zudem auf der Falschungssicherheit von Smartcards. Obwohl einige abenteuerliche Attacken gegen 12

13 Smartcards wie das Einlegen in Saure oder das Ausmessen von Stromspannungen bekannt sind, gelten Smartcards als sehr sicher. Somit kann eine nicht authorisierte Drittpartei den Observer druch Manipulation an der Chipkarte nicht auslesen und verandern. Auf der anderen Seite verwendet das System Public key-kryptographie, um die Integritat und Identitat sicherzustellen. Die Sicherheit von kryptographischen Verfahren hangt vom verwendeten Algorithmus sowie von der Schlussellange ab. Es konnen verschiedene Algorithmen implementiert werden. Wir schlagen blinde RSA Signaturen oder blinde Schnorr Signaturen vor, die beide bei adaquater Schlussellange als sehr sicher gelten [Law96]. Will nun der Kunde den Observer manipulieren, muss er den privaten Schlussel des Brokers besitzen. 4.2 Bedrohungsszenarien " Smartcard-Simulation in Software\ Ein Angreifer konnte versuchen, die Smartcard-Funktionen in Software zu simulieren. Falls ihm das gelingt, kann er sich jedesmal vor Gebrauch eine Kopie seiner Smartcard\ erstellen. Der Broker erhoht den Kontostand auf " dem Observer korrekt. Nach der Transaktion kann der Angreifer jedoch die alte Kopie nehmen, um den Observer wieder in den Anfangszustand zu bringen. Dieses Szenario lasst sich vermeiden, indem die Smartcard mit einem integrierten Schlussel versehen wird, welcher den Observer entschlusselt und auf einer Smartcard installiert. Ohne Dechirierung kann der Observer nicht verwendet werden " Herausziehen der Smartcard\ Ein weiteres Bedrohungsszenario sieht wie folgt aus: Der Angreifer verwendet die korrekte Smartcard mit dem Observer, um sich beim Broker zu authentisieren. Nach jeder Transaktion zieht er die Smartcard aus dem Leser heraus, so dass der Broker den Bezug nicht belasten kann. Das Herausziehen der Smartcard aus dem Lesegerat wahrend einer Transaktion fuhrt dazu, dass der Status des Observers " eingefroren\ wird und beim nachsten Start an derselben Stelle fortgesetzt wird. Dies ein wesentlicher Unterschied von Smartcards zu konventionellen Rechnern. Zieht man bei einem PC den Stecker raus (was analog ist zum Herausziehen einer Smartcard aus dem Terminal, welches die Karte mit Strom versorgt), dann 13

14 sind samtliche Daten im uchtigen Speicher verloren. Bei Smartcards wird der uchtige zuerst in den nicht uchtigen Bereich geschrieben " Wegwerf-Observer\ Zum Schluss stellt sich noch die Frage, wie man sicherstellen kann, dass der Kunde nicht jedesmal einen neuen Observer installiert, wenn die Kreditlimite erreicht wird. Dies stellt aber kein Problem dar, solange die Gebuhren fur die Zertizierung des neu generierten Schlussels (siehe Abschnitt 3.1) grosser sind, als die maximale Kreditlimite. Dann hat der Kunde keinen okonomischen Anreiz, jedesmal einen neuen Observer zu laden. 5 Schlussfolgerungen und oene Fragen SmartMicroPay erlaubt die eziente Bundelung von wiederkehrenden Micropayments. Durch die Verwendung von dezentralen Observern und blinden Signaturen ist das System ezient, skalierbar und anonym. Eine Erweiterung von SmartMicroPay sieht vor, dass die einzelnen Zertizierungsstellen miteinander verbunden werden. Dadurch entstehen Vertrauensketten oder Zertizierungshierarchien. Dies hat den Vorteil, dass der Kunde nur ein einziges digitales Zertikat benotigt. Das Observer-Modul muss in so einem Fall jedoch Multi-Broker-fahig sein, das heisst fur mehr als ein Broker verwendet werden konnen. Im Rahmen dieses Dissertationsprojektes werden Teile dieses Systems auf einer Java Card implementiert. Literatur [Bako97] Y. Bakos, E. Brynjolfsson, Aggregation and Disaggregation of Information Goods: Implications for Bundling, Site Licensing and Micropayment Systems, [BIS98] [Bran94] BIS, Risk Management for Electronic Banking and Electronic Money Activities, Basel, S. Brands, Untraceable O-Line Cash in Wallets with Observers, in: Advances in Cryptology - CRYPTO '93, Lecture 14

15 Notes in Computer Science, vol. 773, Springer-Verlag, Berlin, [Chau85] [Chau92] [Chau93] [CP93] [Cram98] D. Chaum, Security Without Identication: Transaction Systems to Make Big Brother Obsolete, in: Communications of the ACM, vol. 28 no. 10, Oktober D. Chaum, Achieving Electronic Privacy, in: Scientic American, August D. Chaum, T. P. Pedersen, Wallet Databases with Observers, in: Advances in Cryptology - CRYPTO '92, Lecture Notes in Computer Science, vol. 740, Springer-Verlag, Berlin, R. J. F. Cramer, T. P. Pedersen, Improved Privacy in Wallets with Observers, in: Advances in Cryptology - EUROCRYPT '93, Lecture Notes in Computer Science, vol. 765, Springer- Verlag, Berlin, M. Crameri, C. H. Cap, Analyseraster fur Micropayments, in: Rostocker Informatik-Berichte 22, [Glas94] S. Glasmann, et al., The Millicent Protocol for Inexpensive Electronic Commerce, millicent.htm, [GVU98] Graphic, Visualization, and Usability Center, 9th WWW User Survey, Atlanta, surveys/, [JC97] Anonymous, Java Card 2.0, Programming Concepts, Sun Microsystems, javacard/jc20-concepts.ps, [Law96] L. Law, et al., How to make a Mint: The Cryptography of anonymous electronic cash., National Security Agency Oce of Information Security Research and Technology, nsamint/nsamint.htm, June [MacK97] J. MacKie-Mason, K. White, Evaluating and Selecting Digital Payment Mechanisms, in: G. L. Rosston, D. Waterman 15

16 (eds.), Interconnection and the Internet. Selected Papers from the 1996 Telecommunications Policy Research Conference, Lawrence Erlbaum, Mahwah, [Netr98] NetRating, Detailed Statistics on Web Usage, [Omah97] [Pede97] [Rive96] [Schm96] [Schm95] D. O'Mahony et al., Electronic Payment Systems, Artech House, Boston, T. P. Pederson, Electronic Payments of Small Amounts, in: Security Protocols, Volume 1189 of Lecture Notes in Computer Science, Springer-Verlag, Heidelberg, R. L. Rivest, A. Shamir, PayWord and MicroMint: Two simple micropayment schemes, C. Schmidt, R. Muller, A Framework for Micropayment Evaluation, Sonderforschungsbericht 373, Berlin, B. Schmid, et al., Electronic Mall: Banking und Shopping in globalen Netzen, Teubner, Stuttgart, [Schn96] B. Schneier, Applied Cryptography, Wiley, New York, [Vari95] H. R. Varian, Pricing Information Goods, ftp://alfred.sims.berkeley.edu/pub/papers/price-infogoods.ps.z,

Elektronisches Bargeld, ein erstes Beispiel

Elektronisches Bargeld, ein erstes Beispiel Kapitel 1 Elektronisches Bargeld, ein erstes Beispiel Auch im Zeitalter des bargeldlosen Bezahlens besitzt das klassische Bargeld durchaus noch seine Berechtigung Es ermöglicht eine einfache, schnelle,

Mehr

IT-Sicherheit Kapitel 3 Public Key Kryptographie

IT-Sicherheit Kapitel 3 Public Key Kryptographie IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

IT-Sicherheit Kapitel 12 Secure Electronic Transaction

IT-Sicherheit Kapitel 12 Secure Electronic Transaction IT-Sicherheit Kapitel 12 Secure Electronic Transaction Dr. Christian Rathgeb Sommersemester 2014 1 Einführung Durch Zunahme der E-Commerce-Aktivitäten (Nutzung von Dienstleistungen über offene Netze) besteht

Mehr

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

17 Ein Beispiel aus der realen Welt: Google Wallet

17 Ein Beispiel aus der realen Welt: Google Wallet 17 Ein Beispiel aus der realen Welt: Google Wallet Google Wallet (seit 2011): Kontaktlose Bezahlen am Point of Sale Kreditkarten werden im Sicherheitselement des Smartphone abgelegt Kommunikation über

Mehr

Rainbow Technologies GmbH. Bedeutung von SSL in Ihrem Unternehmen

Rainbow Technologies GmbH. Bedeutung von SSL in Ihrem Unternehmen Rainbow Technologies GmbH Markus Kahmen Bedeutung von SSL in Ihrem Unternehmen Thursday, April 19, 2001 http://europe.rainbow.com 1 Das Internet Die Internet-Ära verspricht für die nächsten 10 Jahre mehr

Mehr

Zahlungssysteme im Internet. Zahlungssysteme im Internet

Zahlungssysteme im Internet. Zahlungssysteme im Internet 1 Cybermoney Cybermoney bezeichnet im weitesten Sinn jedes Zahlungsmittel, das im Electronic Commerce verwendet werden kann. Alternative Bezeichnung: Digital Cash u.ä. Beispiele: Homebanking, Kreditkarte,

Mehr

millipay für ONLINE CONTENT millipay systems AG

millipay für ONLINE CONTENT millipay systems AG DAS PAYMENTsystem für ONLINE CONTENT systems AG NEUE und ZUFRIEDENE KUNDEN MIT PAID CONTENT. ist das grenzenlose Paymentsystem für Online Content: Einfach, sicher und präzise lassen sich auch kleinste

Mehr

Sichere Abwicklung von Geschäftsvorgängen im Internet

Sichere Abwicklung von Geschäftsvorgängen im Internet Sichere Abwicklung von Geschäftsvorgängen im Internet Diplomarbeit von Peter Hild Theoretische Grundlagen der Kryptologie Vorhandene Sicherheitskonzepte für das WWW Bewertung dieser Konzepte Simulation

Mehr

Wie sicher sind Zahlungen im Internet?

Wie sicher sind Zahlungen im Internet? Wie sicher sind Zahlungen im Internet? Internet ist ein öffentliches Medium, wie z. B. die Post auch. Wenn ich einen Brief aufgebe muss ich (leider) damit rechnen, dass er verloren gehen kann oder dass

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

Kap. 2: Fail-Stop Unterschriften

Kap. 2: Fail-Stop Unterschriften Stefan Lucks 2: Fail-Stop Unterschriften 17 Digital Unterschreiben und Bezahlen Kap. 2: Fail-Stop Unterschriften Digitale Unterschriften (Synomym: Digitale Signaturen ): Fälschen mutmaßlich hart (RSA-Wurzeln,

Mehr

An Online, Transferable E-Cash Payment System von Sai Anand und Veni Madhavan

An Online, Transferable E-Cash Payment System von Sai Anand und Veni Madhavan An Online, Transferable E-Cash Payment System von Sai Anand und Veni Madhavan ein Vortrag von Mark Manulis im Rahmen von Seminar Kryptologie SS 2002 Institut für Theoretische Informatik TU Braunschweig

Mehr

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com Merkblatt: HSM Version 1.01 Systemvoraussetzungen, Setup und Trouble Shooting Kontakt: pdfsupport@pdf-tools.com Besitzer: PDF Tools AG Kasernenstrasse 1 8184 Bachenbülach Schweiz www.pdf-tools.com Copyright

Mehr

Beteiligte Komponenten bei SET Transaktionen (Teil 1)

Beteiligte Komponenten bei SET Transaktionen (Teil 1) Beteiligte Komponenten bei SET Transaktionen (Teil 1) Nachdem wir uns im ersten Teil mit der SET-Technologie im Allgemeinen beschäftigt haben, werden wir in diesem Artikel die einzelnen SET-Komponenten

Mehr

Anonymes Kommunizieren mit Mixminion

Anonymes Kommunizieren mit Mixminion Anonymes Kommunizieren mit Mixminion Seminar Peer-to-Peer Netzwerke Claudius Korzen Institut für Informatik Albert-Ludwigs-Universität, Freiburg SS 2009 28. Juli 2009 1/ 35 Überblick 1 Motivation 2 Grundlagen

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa Informationen zu Verified by Visa 2 1. Was ist Verified by Visa? 2 2. Wie funktioniert Verified by Visa? 2 3. Wie schützt mich Verified by Visa? 2 4. Ist der Umgang mit Verified by Visa benutzerfreundlich?

Mehr

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten Versuch: Eigenschaften einer Unterhaltung Instant Messaging Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten welche Rollen gibt es in einem IM-System? Analysieren

Mehr

7. 1 zum Überblick. 7. 1. 2. Begriff Zahlungsinstrument

7. 1 zum Überblick. 7. 1. 2. Begriff Zahlungsinstrument 7. 1 zum Überblick IT-Sicherheit für 05INM 7. Sicherheit ausgewählter Anwendungen Zahlungsinstrumente - Zahlungsinstrumente in E-Commerce-Lösungen - Prof. Dr. Uwe Petermann Dept. of Computer Science University

Mehr

Digital Signature and Public Key Infrastructure

Digital Signature and Public Key Infrastructure E-Governement-Seminar am Institut für Informatik an der Universität Freiburg (CH) Unter der Leitung von Prof. Dr. Andreas Meier Digital Signature and Public Key Infrastructure Von Düdingen, im Januar 2004

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

9 Schlüsseleinigung, Schlüsselaustausch

9 Schlüsseleinigung, Schlüsselaustausch 9 Schlüsseleinigung, Schlüsselaustausch Ziel: Sicherer Austausch von Schlüsseln über einen unsicheren Kanal initiale Schlüsseleinigung für erste sichere Kommunikation Schlüsselerneuerung für weitere Kommunikation

Mehr

Kryptographie II. Introduction to Modern Cryptography. Jonathan Katz & Yehuda Lindell

Kryptographie II. Introduction to Modern Cryptography. Jonathan Katz & Yehuda Lindell Kryptographie II Introduction to Modern Cryptography Jonathan Katz & Yehuda Lindell Universität zu Köln, WS 13/14 Medienkulturwissenschaft / Medieninformatik AM2: Humanities Computer Science Aktuelle Probleme

Mehr

Technischer Datenschutz im Internet

Technischer Datenschutz im Internet Technischer Datenschutz im Internet Prof. Dr. Lehrstuhl Management der Informationssicherheit Uni Regensburg http://www-sec.uni-regensburg.de/ Was ist Sicherheit? Techniken zum Schutz? Stand der Technik?

Mehr

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Ein Großteil der heutigen Kommunikation geschieht per email. Kaum ein anderes Medium ist schneller und effizienter. Allerdings

Mehr

Seminar Kryptographie und Datensicherheit

Seminar Kryptographie und Datensicherheit Andere Protokolle für digitale Unterschriften Wintersemester 2006/2007 Gliederung 1 Provably Secure Signature Schemes Lamport Signature Scheme Full Domain Hash 2 Undeniable Signatures 3 Fail-stop Signature

Mehr

8. Trierer Symposium. Bezahlen in der Zukunft

8. Trierer Symposium. Bezahlen in der Zukunft 8. Trierer Symposium Digitales Geld 20./21. Juni, Institut für Telematik, Trier Bezahlen in der Zukunft Dipl.-Ing. Thomas Nisbach ALLCASH GmbH Eurotec-Ring 7 47445 Moers nisbach@allcash.de www.allcash.de

Mehr

Datensicherheit durch Kryptographie

Datensicherheit durch Kryptographie Datensicherheit durch Kryptographie Dr. Michael Hortmann Fachbereich Mathematik, Universität Bremen T-Systems Michael.Hortmann@gmx.de 1 Kryptographie: Klassisch: Wissenschaft und Praxis der Datenverschlüsselung

Mehr

Sicherheitslösung SMS-Code

Sicherheitslösung SMS-Code Sicherheitslösung SMS-Code Mit dieser Anleitung helfen wir Ihnen, den Einstieg ins e-banking mit dem neuen Verfahren SMS-Code mittels Telefon zu erleichtern. Inhalt Login mit SMS-Code... 1 1. Sie sind

Mehr

Internet Datasafe Sicherheitstechnische Herausforderungen

Internet Datasafe Sicherheitstechnische Herausforderungen ERFA-Tagung 14.9.2010 Internet Datasafe Sicherheitstechnische Herausforderungen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte Wissenschaften

Mehr

Sicherheit von Online-Voting Systemen

Sicherheit von Online-Voting Systemen Sicherheit von Online-Voting Systemen Ein Vortrag von Anne-Lena Simon Quelle: http://www.kreis-vg.de/index.php?object=tx 2098.1.1&ModID=7&FID=2164.3325.1&NavID=2098.29 Übersicht 1. Grundstruktur 2. Anforderungen

Mehr

Übersicht. Agenda. Übersicht über aktuelle Verrechnungsmethoden. Übersicht über aktuelle Verrechnungsmethoden

Übersicht. Agenda. Übersicht über aktuelle Verrechnungsmethoden. Übersicht über aktuelle Verrechnungsmethoden Übersicht Übersicht über aktuelle Verrechnungsmethoden Wieso haben sich viele Methoden nicht oder nur lokal durchgesetzt? 1 Marktchancen der Methoden 2 Agenda Einleitung / Begriffe Übersicht über aktuelle

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM Informationen zu MasterCard SecureCode TM 3 1. Was ist der MasterCard SecureCode TM? 3 2. Wie funktioniert MasterCard SecureCode TM? 3 3. Wie schützt mich MasterCard SecureCode TM? 3 4. Ist der Umgang

Mehr

VERTRAUENSWÜRDIGE IDENTITÄTEN FÜR DIE CLOUD

VERTRAUENSWÜRDIGE IDENTITÄTEN FÜR DIE CLOUD VERTRAUENSWÜRDIGE IDENTITÄTEN FÜR DIE CLOUD Dr. Detlef Hühnlein, Johannes Schmölz ecsec GmbH, Sudetenstraße 16, D96247 Michelau Zusammenfassung 1 Einleitung che Schwachstellen enthalten. 44 FraunhoferGesellschaft

Mehr

Sicherheit und Mobilität ein lösbares Dilemma

Sicherheit und Mobilität ein lösbares Dilemma Sicherheit und Mobilität ein lösbares Dilemma KOBIL Systems GmbH Sascha Mizera, Product Management entwickelt, vermarktet und vertreibt seit 21 Jahren wichtige Basistechnologie zur uneingeschränkten und

Mehr

Secure Socket Layer V.3.0

Secure Socket Layer V.3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung

Mehr

Rechneranmeldung mit Smartcard oder USB-Token

Rechneranmeldung mit Smartcard oder USB-Token Rechneranmeldung mit Smartcard oder USB-Token Verfahren zur Authentifizierung am Rechnersystem und angebotenen Diensten, SS2005 1 Inhalt: 1. Systemanmeldung 2. Grundlagen 3. Technik (letzte Woche) 4. Standards

Mehr

Authentikation und digitale Signatur

Authentikation und digitale Signatur TU Graz 23. Jänner 2009 Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Begriffe Alice und

Mehr

Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com

Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com 1 Ingo Schubert Technical Consultant Central Europe +49 89 540 523-01 ischubert@baltimore.com 2 Baltimore auf einen Blick Weltmarktführer für e security Produkte, Service, und Lösungen Weltweite Niederlassungen

Mehr

Seminar Web Science. Bitcoins. Nico Merten 16.05.2012. nmerten@uni-koblenz.de. N. Merten Seminar Web Science Folie 1

Seminar Web Science. Bitcoins. Nico Merten 16.05.2012. nmerten@uni-koblenz.de. N. Merten Seminar Web Science Folie 1 N. Merten Seminar Web Science Folie 1 Seminar Web Science Bitcoins Nico Merten nmerten@uni-koblenz.de 16.05.2012 Überblick N. Merten Seminar Web Science Folie 2 Überblick Einführung - Ursprung und Urheber

Mehr

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen"

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar Kommunikation in P2P-Netzen P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen" Ziele des Vortrags Sicherheit auf Konzept-Ebene Kommunikationsprotokolle Datenspeicherung Resistenz gegen Störungen, Angriffe,

Mehr

Was ist Kryptographie

Was ist Kryptographie Was ist Kryptographie Kryptographie Die Wissenschaft, mit mathematischen Methoden Informationen zu verschlüsseln und zu entschlüsseln. Eine Methode des sicheren Senden von Informationen über unsichere

Mehr

FAQs zum neuen Quick mit Kontaktlos-Funktion

FAQs zum neuen Quick mit Kontaktlos-Funktion Was ist kontaktlos? Kontaktlos basiert auf den Standards RFID (Radio Frequency Identication) und NFC (Near Field Communication) und ist die Möglichkeit, mit entsprechend ausgestatteten Bezahlkarten an

Mehr

«Elektronic Banking» Telefon 01802 876534* -mit Flatrate 06183 91841725 Telefax 06183 91841729 ebl@vrbank-mkb.de www.vrbank-mkb.

«Elektronic Banking» Telefon 01802 876534* -mit Flatrate 06183 91841725 Telefax 06183 91841729 ebl@vrbank-mkb.de www.vrbank-mkb. Angebot / Seite 1 20. Januar 2011 Sie führen ein Unternehmen, sind Kunde der VR Bank MKB eg und möchten Ihren Kunden den Service Kartenzahlung bieten. Wussten Sie, dass wir, Ihr starker Partner in allen

Mehr

Kryptographische Verfahren. zur Datenübertragung im Internet. Patrick Schmid, Martin Sommer, Elvis Corbo

Kryptographische Verfahren. zur Datenübertragung im Internet. Patrick Schmid, Martin Sommer, Elvis Corbo Kryptographische Verfahren zur Datenübertragung im Internet Patrick Schmid, Martin Sommer, Elvis Corbo 1. Einführung Übersicht Grundlagen Verschlüsselungsarten Symmetrisch DES, AES Asymmetrisch RSA Hybrid

Mehr

7 Elektronische Bezahlsysteme

7 Elektronische Bezahlsysteme 7 Elektronische Bezahlsysteme 1. Kreditkartensysteme 2. Blinde Unterschriften und ECash Stefan Lucks. Krypto II: Design, Analyse und Einsatz von Kryptosystemen (WS 04/05). p.1/18 7.1 Kreditkartensysteme

Mehr

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source

Mehr

Denn es geht um ihr Geld:

Denn es geht um ihr Geld: Denn es geht um ihr Geld: [A]symmetrische Verschlüsselung, Hashing, Zertifikate, SSL/TLS Warum Verschlüsselung? Austausch sensibler Daten über das Netz: Adressen, Passwörter, Bankdaten, PINs,... Gefahr

Mehr

Kryptographie praktisch erlebt

Kryptographie praktisch erlebt Kryptographie praktisch erlebt Dr. G. Weck INFODAS GmbH Köln Inhalt Klassische Kryptographie Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Digitale Signaturen Erzeugung gemeinsamer Schlüssel

Mehr

Verteilte Systeme. Sicherheit. Prof. Dr. Oliver Haase

Verteilte Systeme. Sicherheit. Prof. Dr. Oliver Haase Verteilte Systeme Sicherheit Prof. Dr. Oliver Haase 1 Einführung weitere Anforderung neben Verlässlichkeit (zur Erinnerung: Verfügbarkeit, Zuverlässigkeit, Funktionssicherheit (Safety) und Wartbarkeit)

Mehr

Zahlungssysteme im Wandel der Zeit

Zahlungssysteme im Wandel der Zeit Zahlungssysteme im Wandel der Zeit A-SIT Zeitreise 1 Das Kompetenzzentrum für bargeldloses Bezahlen PayLife ist Drehscheibe zwischen den Karteninhabern, den Vertragspartnern und den Banken. 2 Payment is

Mehr

DATENBLATT SHOPSYSTEME

DATENBLATT SHOPSYSTEME DATENBLATT SHOPSYSTEME Stand: 08/2003 Zahlungsmittel und -methoden im Internet Wie authentifiziert sich ein Käufer gegenüber dem Verkäufer und wie bezahlt er die bestellte Ware? Da sich jeder Internetnutzer

Mehr

Sichere Datenhaltung in verteilten Systemen

Sichere Datenhaltung in verteilten Systemen Sichere Datenhaltung in verteilten Systemen Bericht über ein Großprojekt im medizinischen Bereich Dipl. Inform. Ramon Mörl Ausgangssituation Heterogene Infrastruktur verteilt über mehrere Standorte Mainframes,

Mehr

Allgemeine Erläuterungen zu

Allgemeine Erläuterungen zu en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate

Mehr

Internationale online-bezahlsysteme

Internationale online-bezahlsysteme Internationale online-bezahlsysteme RT-Payment AG 3113 Rubigen BE / Schweiz Tel. (0041) 31 721 38 68 Rubigen, RT-Payment AG Produkte von RT-Payment Neue, einfache Online-Bezahlsysteme für den internationalen

Mehr

Near Field Communication Security

Near Field Communication Security Near Field Communication Security Michael Roland 28. Mai 2014 Mobile Marketing Innovation Day Wien This work is part of the project High Speed RFID within the EU program Regionale Wettbewerbsfähigkeit

Mehr

Smartcard Management System

Smartcard Management System Smartcard Management System Benutzerhandbuch Zertifiziert vom Nationalinstitut für Standardisierung und Technologie der Vereinigten Staaten von Amerika. Certified by the National Institute of Standards

Mehr

Sicherheit im E-Business

Sicherheit im E-Business Sicherheit im E-Business Roger Halbheer Global Risk Management Solutions Einige Zahlen Im Durchschnitt wird auf jede neu installierte Web-Seite nach 28 Sekunden das erste Mal zugegriffen - nach 5 Stunden

Mehr

Einführung in Computer Microsystems

Einführung in Computer Microsystems Einführung in Computer Microsystems Kapitel 9 Entwurf eines eingebetteten Systems für Anwendungen in der IT-Sicherheit Prof. Dr.-Ing. Sorin A. Huss Fachbereich Informatik Integrierte Schaltungen und Systeme

Mehr

Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen

Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen Digital Rights Management 4FriendsOnly.com Internet Technologies AG Vorlesung im Sommersemester an der Technischen Universität Ilmenau

Mehr

Methoden der Kryptographie

Methoden der Kryptographie Methoden der Kryptographie!!Geheime Schlüssel sind die sgrundlage Folien und Inhalte aus II - Der Algorithmus ist bekannt 6. Die - Computer Networking: A Top außer bei security by obscurity Down Approach

Mehr

Mobile Payment. Vom Wirrwarr zur stabilen Realität. Forschungsgruppe für Industrielle Software (INSO) Technische Universität Wien Dr.

Mobile Payment. Vom Wirrwarr zur stabilen Realität. Forschungsgruppe für Industrielle Software (INSO) Technische Universität Wien Dr. Mobile Payment Vom Wirrwarr zur stabilen Realität Forschungsgruppe für Industrielle Software (INSO) Technische Universität Wien Dr. Gerald Madlmayr 1 Mobile Payment RTR 2015 Technische Universität Wien

Mehr

Anleitung zur Überprüfung der Signatur von Elektronischen Kontoauszügen

Anleitung zur Überprüfung der Signatur von Elektronischen Kontoauszügen Seite 1 Anleitung zur Überprüfung der Signatur von Elektronischen Kontoauszügen Zur Prüfung, ob die qualifizierte Signatur eines elektronischen Kontoauszugs gültig ist, können verschiedene Softwarelösungen

Mehr

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen Immo FaUl Wehrenberg immo@ctdo.de Chaostreff Dortmund 16. Juli 2009 Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit

Mehr

Online Banking. de Lorenzo, Hopfgartner, Leupold. February 13, 2011. de Lorenzo, Hopfgartner, Leupold Online Banking February 13, 2011 1 / 29

Online Banking. de Lorenzo, Hopfgartner, Leupold. February 13, 2011. de Lorenzo, Hopfgartner, Leupold Online Banking February 13, 2011 1 / 29 Online Banking de Lorenzo, Hopfgartner, Leupold February 13, 2011 de Lorenzo, Hopfgartner, Leupold Online Banking February 13, 2011 1 / 29 Übersicht Geschichte Bedenken Verschlüsselungsarten Netzwerkarchitektur

Mehr

PostFinance iapp Initiative PostFinance Mobile. innovativ

PostFinance iapp Initiative PostFinance Mobile. innovativ Initiative PostFinance Mobile innovativ Einstieg in die mobile Welt Reload Server: 2002 2008 Funktionalität Aufladen von Handys am Postomat und per SMS Abfrage der letzten Buchungen und des Saldos Beispiel

Mehr

Neue Version! BullGuard. Backup

Neue Version! BullGuard. Backup 8.0 Neue Version! BullGuard Backup 0GB 1 2 INSTALLATIONSANLEITUNG WINDOWS VISTA, XP & 2000 (BULLGUARD 8.0) 1 Schließen Sie alle Anwendungen außer Windows. 2 3 Befolgen Sie die Anweisungen auf dem Bildschirm,

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

Internet Security: Verfahren & Protokolle

Internet Security: Verfahren & Protokolle Internet Security: Verfahren & Protokolle 39 20 13 Vorlesung im Grundstudium NWI (auch MGS) im Sommersemester 2003 2 SWS, Freitag 10-12, H10 Peter Koch pk@techfak.uni-bielefeld.de 30.05.2003 Internet Security:

Mehr

PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser

PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser Theoretische Informatik Prof. Johannes Buchmann Technische Universität Darmstadt Graduiertenkolleg Enabling Technologies for Electronic Commerce

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

Cloning Credit Cards. Michael Roland. 17. Dezember 2013 Hacking Night Hagenberg

Cloning Credit Cards. Michael Roland. 17. Dezember 2013 Hacking Night Hagenberg Cloning Credit Cards Michael Roland 17. Dezember 2013 Hacking Night Hagenberg This work is part of the project High Speed RFID within the EU program Regionale Wettbewerbsfähigkeit OÖ 2007 2013 (Regio 13)

Mehr

Bankkarten Girocard. Die Girocard ist ganz schön praktisch! Till + Freunde Konto + Karte

Bankkarten Girocard. Die Girocard ist ganz schön praktisch! Till + Freunde Konto + Karte 1 Girocard Je nach Bank sind die Beträge, über die man täglich/wöchentlich verfügen kann, unterschiedlich. Jeder Bankkunde erhält zu seinem Konto eine Bankkarte, die Girocard. Mit ihr kann er Kontoauszüge

Mehr

Datensicherung. Beschreibung der Datensicherung

Datensicherung. Beschreibung der Datensicherung Datensicherung Mit dem Datensicherungsprogramm können Sie Ihre persönlichen Daten problemlos Sichern. Es ist möglich eine komplette Datensicherung durchzuführen, aber auch nur die neuen und geänderten

Mehr

11 Instanzauthentisierung

11 Instanzauthentisierung 11 Instanzauthentisierung B (Prüfer) kann die Identität von A (Beweisender) zweifelsfrei feststellen Angreifer O versucht, Identität von A zu übernehmen (aktiver Angri ) Oskar (O) Alice (A) Bob (B) Faktoren

Mehr

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine)

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine) Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen Vorlesung im Sommersemester 2010 an der Technischen Universität Ilmenau von Privatdozent Dr.-Ing. habil. Jürgen

Mehr

Near Field Communication (NFC) Technisches Gimmick oder vielversprechende Marketing Plattform?

Near Field Communication (NFC) Technisches Gimmick oder vielversprechende Marketing Plattform? Near Field Communication (NFC) Technisches Gimmick oder vielversprechende Marketing Plattform? Technische Hintergründe, Einsatzmöglichkeiten im E-Business und zu beachtende Sicherheitsaspekte M.Eng Sebastian

Mehr

Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen

Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen 1 Allgemeines Was versteht man unter SFTP? Die Abkürzung SFTP steht für SSH File Transfer Protocol oder Secure File Transfer Protocol.

Mehr

Das in diesem Werk enthaltene Programm-Material ist mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden.

Das in diesem Werk enthaltene Programm-Material ist mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Zusatzmaterial zum Buch "Algorithmen kompakt und verständlich" Das in diesem Werk enthaltene Programm-Material ist mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Der Autor übernimmt

Mehr

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie IT-Sicherheit: Kryptographie Asymmetrische Kryptographie Fragen zur Übung 5 C oder Java? Ja (gerne auch Python); Tips waren allerdings nur für C Wie ist das mit der nonce? Genau! (Die Erkennung und geeignete

Mehr

apt-webshop-system Zahlungs-Schnittstellen

apt-webshop-system Zahlungs-Schnittstellen apt-webshop-system 1 Historie Version Datum Autor Kommentar 1 24.04.2008 Axel Uhlmann Ersterstellung 2 Ipayment ipayment unterstützt Ihren Geschäftserfolg im Internet, indem es Ihren Kunden die sichere

Mehr

Ausarbeitung zum Vortrag Java Web Start von Adrian Fülöp Fach: Komponentenbasierte Softwareentwicklung WS 06/07 Fachhochschule Osnabrück

Ausarbeitung zum Vortrag Java Web Start von Adrian Fülöp Fach: Komponentenbasierte Softwareentwicklung WS 06/07 Fachhochschule Osnabrück Ausarbeitung zum Vortrag Java Web Start von Adrian Fülöp Fach: Komponentenbasierte Softwareentwicklung WS 06/07 Fachhochschule Osnabrück Adrian Fülöp (297545) - 1 - Inhaltsverzeichnis: 1. Einführung 2.

Mehr

Robert Rex Proseminar Electronic Banking 13. 06. 2002 Protokolle bei Kreditkarten Seite 1 von 5

Robert Rex Proseminar Electronic Banking 13. 06. 2002 Protokolle bei Kreditkarten Seite 1 von 5 Protokolle bei Kreditkarten Seite 1 von 5 1. Einführung Mit der Entwicklung des Internets in den letzten Jahrzehnten hat auch die Bedeutung des E- Commerce immer mehr zugenommen. Um online bestellte Waren

Mehr

(51) int. Ci.6: G07F 19/00, H04L 9/32. (72) Erfinder: Grunert, Rainer

(51) int. Ci.6: G07F 19/00, H04L 9/32. (72) Erfinder: Grunert, Rainer (19) Europäisches Patentamt European Patent Office Office europeen des brevets (11) EP 0 887 776 A1 (12) EUROPÄISCHE PATENTANMELDUNG (43) Veröffentlichungstag: 30.12.1998 Patentblatt 1998/53 (51) int.

Mehr

CardMobile. 1. Jede kontaktlose Transaktion wird autorisiert. Entweder vorab (EUR 50 für die Börsen- Funktion) oder im Rahmen der Transaktion.

CardMobile. 1. Jede kontaktlose Transaktion wird autorisiert. Entweder vorab (EUR 50 für die Börsen- Funktion) oder im Rahmen der Transaktion. CardMobile [... ein Produkt der Raiffeisen Bank International AG (RBI)] Informationen siehe: www.r-card-service.at www.r-card-service.at/cardmobile Kontakt / Rückfragen: Raiffeisen Bank International AG

Mehr

Sichere Identitäten in Smart Grids

Sichere Identitäten in Smart Grids Informationstag "IT-Sicherheit im Smart Grid" Berlin, 23.05.2012 Sichere Identitäten in Smart Grids Dr. Thomas Störtkuhl, Agenda 1 2 Beispiele für Kommunikationen Digitale Zertifikate: Basis für Authentifizierung

Mehr

DriveLock in Terminalserver Umgebungen

DriveLock in Terminalserver Umgebungen DriveLock in Terminalserver Umgebungen Technischer Artikel CenterTools Software GmbH 2011 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf

Mehr

MAC Message Authentication Codes

MAC Message Authentication Codes Seminar Kryptographie SoSe 2005 MAC Message Authentication Codes Andrea Schminck, Carolin Lunemann Inhaltsverzeichnis (1) MAC (2) CBC-MAC (3) Nested MAC (4) HMAC (5) Unconditionally secure MAC (6) Strongly

Mehr

PeDaS Personal Data Safe. - Bedienungsanleitung -

PeDaS Personal Data Safe. - Bedienungsanleitung - PeDaS Personal Data Safe - Bedienungsanleitung - PeDaS Bedienungsanleitung v1.0 1/12 OWITA GmbH 2008 1 Initialisierung einer neuen SmartCard Starten Sie die PeDaS-Anwendung, nachdem Sie eine neue noch

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

Mobile ID für sichere Authentisierung im e-government

Mobile ID für sichere Authentisierung im e-government Mobile ID für sichere Authentisierung im e-government Patrick Graber Senior Security Consultant, dipl. El.-Ing. ETH Swisscom (Schweiz) AG Grossunternehmen Agenda 2 Einführung in Mobile ID Mobile ID für

Mehr

Sicherheitsanalyse von Kreditkarten am Beispiel von EMV

Sicherheitsanalyse von Kreditkarten am Beispiel von EMV Sicherheitsanalyse von Kreditkarten am Beispiel von EMV Zidu Wang, Christopher Wolf und Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität

Mehr

Häufig gestellte Fragen: ECC- und DSA-Zertifikate Website-Sicherheitslösungen. Häufig gestellte Fragen

Häufig gestellte Fragen: ECC- und DSA-Zertifikate Website-Sicherheitslösungen. Häufig gestellte Fragen Häufig gestellte Fragen Häufig gestellte Fragen: ECC- und DSA-Zertifikate ECC- und DSA-Zertifikate INHALT F1: Was ist DSA?........................................................ 3 F2: Was ist ECC?........................................................

Mehr

Kryptographie und Fehlertoleranz für Digitale Magazine

Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Kryptographie und Fehlertoleranz für digitale Magazine 1 Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Professur für Mediensicherheit 13. März 2013 Stefan Lucks Kryptographie

Mehr

Bezahlsystem für einen Mixkaskaden-basierten Anonymisierungsdienst

Bezahlsystem für einen Mixkaskaden-basierten Anonymisierungsdienst Bezahlsystem für einen Mixkaskaden-basierten Anonymisierungsdienst Stefan Köpsell, Andreas Müller sk13@inf.tu-dresden.de, am12@inf.tu-dresden.de Abstract: Vorgestellt wird ein Bezahlsystem für einen Mixkaskaden-basierten

Mehr

Secure Socket Layer v. 3.0

Secure Socket Layer v. 3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer v. 3.0 (SSLv3) Zheng Yao 05.07.2004-1 - 1. Was ist SSL? SSL steht für Secure Socket Layer, ein Protokoll zur Übertragung

Mehr