Transkript

1 SmartMicroPay Ein Broker-basiertes Micropayment-Schema zum Bundling von Transaktionen M. Crameri 12. Marz 1999 Zusammenfassung Die heute verfugbaren Zahlungssysteme erlauben aufgrund zu hoher Transaktionskosten und Bearbeitungszeiten keine sinnvolle Verrechnung von Kleinstbetragen. Die Einzelabrechnung von Micropayments ist okonomisch und technologisch inezient. Durch die Einfuhrung von Brokern konnen die Transaktionen gebundelt und nach Erreichen einer bestimmten Limite durch eine einzige Zahlung beglichen werden. Um die nachtragliche Zahlung sicherzustellen, setzen wir einen Observer auf einer Smartcard ein, der dezentral die Interessen des Brokers wahrt und dafur sorgt, dass der Kunde nach Uberschreiten einer bestimmten Kreditlimite den Betrag bezahlen muss. Wir erweitern das Konzept von Observern und implementieren diese auf einer Multiapplikations-Chipkarte rein in Software. 1 Einleitung Informationsguter weisen zwei besondere Eigenschaften auf. Zum einen sind die Grenzkosten vernachlassigbar gering [Vari95]. Zum anderen eliminiert der Vetrieb uber elektronische Markte die bei materiellen Gutern hohen Distributionskosten. Deshalb konnen Informationsguter auf elektronischen Markten zu sehr geringem Preis angeboten werden. Diese Zahlungen in der Grosse eines Bruchteils von einem Dollar oder gar Cent werden Micropayments genannt. Um diese Mikrotransaktionen okonomisch sinnvoll Mario Crameri arbeitet bei der CREDIT SUISSE im PC-/Internet Banking und schreibt an einer Dissertation uber Micropayments. mario.crameri@credit-suisse.ch 1

2 abrechnen zu konnen, mussen die Transaktionskosten fur Micropayments stets geringer sein als der Wert der einzelnen Transaktion [Glass94]. In der Literatur ndet man uber 30 Eigenschaften von Zahlungssystemen [MacK97], welche je nach Anforderung eine andere Gewichtung erhalten. Im Zusammenhang mit Micropayments sind die beiden Eigenschaften geringe " Transaktionskosten\ und Ezienz\ besonders wichtig [Cram98]. " Kreditkarten-basierte Zahlungssysteme sind erst fur einen Betrag ab rund 20 USD einsetzbar, denn die minimalen Gebuhren betragen je nach Branche und Land etwa 2 USD. Europay Switzerland beispielswiese wickelt SET 1 -Zahlungen erst ab einem Betrag von 30 CHF ab. Da die elektronischen Checks ebenfalls auf die bestehende und teure Infrastruktur aufsetzen, bewegen sich diese Transaktionskosten in der gleichen Grossenordnung. Elektronisches Geld kann auf zwei Arten realisiert werden: rein in Software oder auf einer Chipkarte. Bis auf die Ausnahme von Millicent [Glas94] weisen diese Systeme in der Regel fur Kleinstzahlungen ebenfalls zu hohe Transaktionskosten auf. Die Gebuhren von CASH 2 betragen 0.05% der Transaktionssumme, aber mindestens 0.02 CHF. Dies ist fur eine Mikrotransaktion ebenfalls zuviel. Zahlungssysteme, die auf falschungssicherer Hardware basieren, wie beispielsweise elektronische Geldborsen in Chipkarten, weisen je nach Ausgestaltung Transaktionszeiten von bis zu 10 Sekunden auf. Ebenfalls Latenzzeiten in derselben Grossenordnung treten bei Software-basierten Systemen auf, die auf rechenintensive starke Kryptographie zuruckgreifen. Verschiedene Autoren verwenden in ihren Protokollen nicht ausschliesslich starke Kryptographie, sondern auch Hash-Funktionen, welche um den Faktor 100 bei der Uberprufung und um den Faktor 10'000 bei der Erzeugung schneller sind [Rive96]. Ein moglicher Ansatz sieht vor, dass nicht bei jeder Zahlung das gesamte Protokoll ausgefuhrt wird [Pede97]. Diese Systeme sind fur wiederkehrende Transaktionen optimiert und setzen nur zu Beginn fur die Authentisierung starke Kryptographie ein. Die Folgetransaktionen werden mittels Hash-Funktionen gesichert. Wir gehen mit SmartMicroPay noch einen Schritt weiter und fuhren eine Bundelung der Zahlung ein. Wir sind der Meinung, dass aufgrund zu hoher Transaktionskosten und Verarbeitungszeit des Systems die einzelnen Transaktionen nicht einzeln abgerechnet werden sollten, sondern als Sam- 1 Secure Electronic Transaction (SET) ist ein Verfahren fur sichere Kreditkartentransaktionen in oenen Netzwerken wie beispielsweise das Internet. 2 CASH ist die elektronische Geldborse die von Europay Switzerland in Zusammenarbeit mit den Schweizer Banken herausgegeben wird. 2

3 melzahlung, nachdem ein okonomisch sinnvoller Betrag erreicht wird. Im nachsten Abschnitt werden die Grundzuge von SmartMicroPay beschrieben und Erweiterungen des Observer-Konzepts fur das Bundling von Kleinsttransaktionen aufgezeigt. In Abschnitt 3 werden das Transaktionsmodell sowie der Protokollablauf vorgestellt. Danach werden in einem separaten Abschnitt detailliert Sicherheitsaspekte angesprochen. In einem letzten Teil schliesslich werden Schlussfolgerungen gezogen und oene Fragen diskutiert. 2 SmartMicroPay SmartMicroPay ist ein Broker-basiertes Micropayment-Schema, das fur wiederkehrende Transaktionen optimiert wurde. Die Broker im SmartMicroPay- Modell haben verschiedene Aufgaben. Zum einen konnen Brokerdienste in elektronischen Markten aufgrund von Economies of Scale zu Kosteneinsparungen fuhren [Schm95]. Dies geschieht durch die Bundelung von Angeboten und der Verrechnung. Infolge der sehr geringen Produktions- und Distributionskosten von digitalen Gutern kann auf Anbieterseite jedoch eine Entbundelung des Angebotes entstehen [Bako97]. Zum anderen dienen die Broker in diesem Modell als dauerhafte Schnittstelle zwischen Kunden und Inhaltsanbietern (sogenannte content-provider). Eine konstante Beziehung zwischen Kunden und Broker ist bei SmartMicroPay notwendig, da auf eine unmittelbare Verrechnung jeder Transaktion verzichtet wird. Eine Bundelung der Einzelzahlungen kann in der Regel auf zwei Arten geschehen. Der Kunde bezahlt im Voraus eine grossere Summe fur die einzelnen Transaktionen, die jeweils von diesem Betrag abgebucht werden. Ein Spezialfall davon stellen Abonnemente dar. Der Kunde bezahlt eine Pauschale fur eine gewisse Periode. Abonnemente konnen somit als vorausbezahlte (prepaid) Bundelung betrachtet werden. Diese Losung ist jedoch fur den Kunden uninteressant, da er normalerweise anfanglich nicht weiss, ob er den gesamten Betrag konsumiert. Dadurch werden Gelegenheitskaufer ausgeschlossen. Eine zweite Variante entsteht, falls man den Belastungszeitpunkt verschiebt. Der Kunde bezahlt erst spater fur die beanspruchten Leistungen. Aus dem pay before wird dann ein pay later. Dieser Ansatz ist fur den Kunden akzeptabler, da er nur die tatsachlich gekauften Guter bezahlen muss. Daneben weist diese Losung einen interessanten Nebeneekt auf: Sie entspricht nicht der allgemein anerkannten Denition von elektronischem Geld und unterliegt somit in den meisten westlichen Staaten nicht den gesetzlichen 3

4 Anforderungen { und kann demzufolge auch von Nicht-Banken emittiert werden. Gemass Denition der Bank fur internationalen Zahlungsausgleich ist elektronisches Geld stets vorausbezahlt (prepaid) [BIS98]. Bei der Bundelung von Transaktionen nach dem pay later-prinzip stellt sich unweigerlich die Frage, wie man sicherstellen kann, dass der Benutzer auch bezahlt und nicht einfach, ohne die Rechnung zu begleichen, seinen Einkauf beendet. Wir adaptieren dazu das Konzept von sogennanten 'Observern' [Chau92][CP93][Bran94]. Ein Observer ist ein falschungssicherer Chip auf einem nicht vertrauenswurdigen Medium, welcher die Interessen einer bestimmten Partei wahrnimmt. Die Grundidee ist, dass der Observer der Chipkarte nicht vertraut und vice versa. So kann ein Observer doublespending von elektronischem Geld verhindern, andere Konzepte wie etwa eine online Verikation konnen double-spending nur aufdecken, jedoch nicht verunmoglichen [Omah97] Im SmartMicroPay-Modell nimmt der Observer die Interessen des Brokers wahr und sorgt dafur, dass der Kunde nach dem Uberschreiten einer bestimmten Kreditlimite den Betrag begleichen muss. Abbildung 1: Observer-Konzept auf einer Smartcard. Der Observer darf keine Moglichkeit haben, mit der Aussenwelt zu kommunizieren [CP93]. Jegliche Kommunikation muss uber die klar denierte Schnittstelle der Smartcard erfolgen. Ist der Observer auf einer Smartcard untergebracht, dann muss er nicht zwingend in Hardware sein, da eine Smartcard per denitionem selbst schon als falschungssicher gilt. Wir verwenden fur die Umsetzung von SmartMicro- Pay eine Multiapplikations-Chipkarte. Der Observer ist dann lediglich eine Anwendung, eine weitere ist beispielsweise die elektronische Geldborse. Ist der Observer einmal auf der Smartcard installiert, dann unterscheidet er sich nicht wesentlich von einem rein in Hardware realisierten. Kritischer ist der 4

5 Prozess des Ladens des Observers. Moderne Multiapplikations-Chipkarten wie beispielsweise die Java Card besitzen ein spezielles Sicherheitskonzept, welches die einzelnen Anwendungen mitsamt den dazugehorigen Daten isoliert und somit vor unerlaubtem Zugri schutzt [JC97]. In Abschnitt 4 werden dazu einige Sicherheitsaspekte detaillierter behandelt. Neben den zu hohen Transaktionskosten und Verarbeitungszeiten weisen die heutigen Zahlungssysteme weitere Mangel auf. Bei einigen Systemen erfolgt eine online Verikation bei einer zentralen Instanz. Solche Systeme sind in der Regel nicht skalierbar. Andere Systeme gewahren dem Kunden keine Anonymitat. SmartMicroPay ist durch diese dezentralen Observer skalierbar und aufgrund von Pseudonymen anonym. Ein Pseudonym verschleiert die wahre Identitat des Benutzers [Chau85]. 2.1 Annahmen Die Vorteile von SmartMicroPay basieren auf zwei Annahmen: Erstens gehen wir davon aus, dass die Kunden wiederkehrende Transaktionen tatigen, das heisst keine einmaligen Einzelkaufe durchfuhren. Zweitens nehmen wir an, dass die Anzahl der Broker im System sehr gering ist. Diese beiden Hypothesen lassen sich rechtfertigen. Studien zum Nutzungsverhalten haben ergeben, dass der durchschnittliche Internet-Nutzer mehrere Seiten pro Woche aufruft. Die neueste Nutzerumfrage von GVU zeigt, dass rund 88% der Befragten taglich ins Internet einsteigen [GVU98]. Gemass dem Report von NetRating ruft ein aktiver Benutzer rund 46 Seiten pro Tag ab [Netr98]. Daraus kann man schliessen, dass ein durchschnittlicher Nutzer nun mindestens mehrere Seiten pro Wochen abruft. Wir vergleichen die Broker aus dem SmartMicroPay-Modell mit den heutigen Suchmaschinen. Es gibt nur eine begrenzte Anzahl von Suchmaschinen. Die Anzahl ist sogar abnehmend. Die nachste Generation, die sogennanten Portale, dienen dem Internet-Nutzer als Einstiegsfenster. Samtliche Transaktionen laufen uber den Portalanbieter, der in unserem Modell als Broker bezeichnet wird. Experten rechnen damit, dass sich nach einer Konsolidierungsphase nur drei bis funf Portale durchsetzen werden. 2.2 Beteiligte Parteien und Rollen In einer weiteren Sicht beteiligen sich bei SmartMicroPay drei Parteien: Kunde, Broker und Inhaltsanbieter. In einer engeren Sicht interessieren jedoch nur die Parteien Kunde und Broker. Ein Broker bundelt das Angebot verschiedener Anbieter und stellt es 5

6 seinen Kunden zur Verfugung. Auf die Abrechnung zwischen den Inhaltsanbietern und dem Broker wird hier nicht weiter eingegangen. Mogliche Ansatze sind Lizenzierung, Abonnements oder verbrauchsabhangige Verrechnungen [Bako97]. Wir beschranken uns im weiteren auf die Beziehung zwischen Kunde und Broker. Abbildung 2 stellt die beteiligten Parteien dar: Abbildung 2: Die beteiligten Parteien bei SmartMicroPay. Der Kunde muss sich initial bei einem Broker seiner Wahl das Observer- Modul auf seine Chipkarte laden. Der Kunde kann dazu irgendeine Multiapplikationskarte verwenden, sofern diese das Broker-Programm ausfuhren kann. Dies ist ein wesentlicher Vorteil von Software-Observern gegenuber Hardware-Implementierungen. Der Kunde benotigt keine spezielle, in der Regel nur fur diesen Zweck einsetzbare Chipkarte. Da es nur einige wenige Broker im gesamten System geben wird, muss dieser Vorgang nicht beliebig oft wiederholt werden. Zudem konnen die einzelnen Broker miteinander vernetzt sein, so dass der Kunde nur einen Observer fur mehrere Broker benotigt. 3 Transaktionsmodell SmartMicroPay besteht aus verschiedenen Transaktionen, welche im Folgenden detailliert beschrieben werden. Es werden Konzepte fur die Installation von Observern, fur die eigentliche Transaktion und weitere fur spezielle Falle wie etwa das Erhohen der Kreditlimite benotigt. 3.1 Installation des Observer-Moduls Der Kunde ladt sich ein Observer-Modul von seinem Broker auf die Smartcard (vgl. Abbildung 3). Damit der Kunde sicher ist, dass er auch tatsachlich einen Observer von Broker XY bekommen hat, sollte das Modul zertiziert sein. Der Visa OpenPlatform-Standard stellt dies beispielsweise sicher. Der Broker sendet dem Kunden das signierte Observer-Programm. Der Kunde uberpruft die Signatur des Observers. Digitale Signaturen identizieren zum einen den Author einer Nachricht und zum anderen stellen sie die 6

7 Abbildung 3: Installation des Observer-Moduls. Integritat der Nachricht sicher [Law96]. Stimmt die Unterschrift uberein, dann weiss der Kunde, dass der Observer vom Broker stammt { und unverandert ubertragen wurde. In einem zweiten Schritt mussen der Observer und die Smartcard gemeinsam ein Schlusselpaar erzeugen. Dies ist notwendig, weil weder die Smartcard noch der Observer alleine Nachrichten an den Broker senden durfen. Die Smartcard muss die Moglichkeit haben, jede Nachricht vom und zum Observer zu kontrollieren [Chau92]. Der Broker darf nicht den Kontostand auf dem Observer erhohen, ohne dass der Kunde tatsachlich Guter bezogen hat. Auch die Smartcard sollte den Broker nicht uber einen falschen Kontostand informieren konnen. Damit der Observer sich ausweisen kann, besitzt er einen integrierten Schlussel. Diesen kann er jedoch nicht direkt verwenden, da er den Observer in jeder Transaktion identizieren wurde [CP93]. Zudem kann die Smartcard so den Nachrichtenverkehr nicht mithoren. Also erzeugen der Observer und 7

8 die Smartcard zusammen ein Schlusselpaar. Das detaillierte Protokoll ist bei Chaum beschrieben [Chau93]. Der Observer darf die Schlussel nicht alleine kreieren, damit er keine Information in die Schlussel selbst codieren kann. Mittels Coin ipping-protokoll werden die Schlusselparameter erzeugt. Die Smartcard kann am Ende verizieren, ob ihre Parameter fur die Schlussel verwendet worden sind. Dieses neue Schlusselpaar muss noch bei einem key authentication center zertiziert werden, damit diese Schlussel in Zukunft verwendet werden konnen. Die Smartcard berechnet einen Zufallswert, welchen der Observer fur das blinding des oentlichen Schlussels verwendet. Der Observer rechnet den blinding-faktor in den oentlichen Schlussel, signiert diesen und sendet beides der Karte. Die Karte uberpruft das blinding und die Unterschrift und leitet den Schlussel an die Zertizierungsstelle weiter. Diese erkennt die ursprungliche Signatur des Observers, signiert den neuen, fur sie jedoch nicht erkennbaren oentlichen Schlussel, und sendet ihn zuruck zur Karte. Die Smartcard entfernt den Blinding-Faktor und behalt eine Kopie fur sich. Durch die Verwendung dieses Schlusselpaars kann der Observer sich in Zukunft anonym identizieren. Der neue Public key wird auch an den Broker gesandt, der die Signatur der Zertizierungsstelle veriziert [Chau93]. Nach erfolgreicher Uberprufung speichert der Broker den Public key des Observers in seiner Schlusseldatenbank. In einem weiteren Schritt mussen sich der Broker und die Smartcard auf ein gemeinsames Zahlungssystem einigen. Dazu fordert der Broker die Smartcard auf, eine Liste aller verfugbaren Zahlungsmethoden zu senden. Der Broker wahlt ein System aus und setzt in Abhangigkeit von der selektierten Zahlungsmethode die Kreditlimite fest. Bei Kreditkarten-basierten Systemen ist diese Limite hoher als etwa bei elektronischem Geld, da Unterschiede bei den Transaktionskosten bestehen. Der Broker sendet die Limite uber die Smartcard an den Observer, der diese speichert. Erst nachdem der Broker eine positive Antwort vom Observer erhalt, ist die Installation abgeschlossen. 3.2 Transaktionsablauf Der eigentliche Kaufvorgang wird gestartet, nachdem der Kunde die Transaktionen initiiert. Er sucht in der Datenbank des Brokers nach den entsprechenden Informationen. Man kann sich einen Broker vorstellen, der analog der heutigen Suchmaschinen eine Datenbank unterhalt, an welche die Kunden die Anfragen stellen konnen. Will der Kunde das erste Gut kaufen, wird er vom Broker aufgefordert, sich zu authentisieren. Wir verwenden 8

9 einen Beweis ohne Wissenvermittlung (zero knowledge proof ). Ein solches Protokoll beweist einem Verizierer, dass der zu Prufende eine bestimmte Information besitzt, ohne diese jedoch preiszugeben [Schn96]. Der Broker sendet dem Observer eine zufallige Zeichenfolge, welche der Observer mit seinem privaten Schlussel kodiert und zurucksendet. Der Broker entschlusselt die Nachricht mit dem oentlichen Schlussel des Observers und vergleicht das Resultat mit der Zeichenfolge. Stimmen die beiden uberein, dann hat der Observer seine Identitat bewiesen (oder zumindest, dass er den privaten Schlussel von XY besitzt). Nach erfolgreicher Authentisierung kann der Kunde die gewunschten Informationsguter beziehen. Der Betrag jeder Transaktion wird im Observer aufgezeichnet. Der Observer pruft jeweils, ob die Kreditlimite erreicht ist und sendet das Resultat dem Broker. Ist nun der aufgelaufene Betrag grosser als die Limite, muss der Kunde die Summe bezahlen. Weigert sich der Kunde, den Betrag zu begleichen, dann sendet der Observer stets eine negative Antwort zum Broker. Der Kunde kann erst wieder Guter beziehen, falls er seine Schuld begleicht. Alle folgenden Transaktionen werden nun gesammelt und spater abgerechnet. Der Kunde sieht jederzeit seinen Saldo aus dieser Sitzung und den kumulierten Betrag, welcher aus vorangegangen Transaktionen aufgelaufen ist. Durch die Bundelung der einzelnen Zahlungstransaktionen ist das System sehr ezient. Es muss nur wahrend der Authentisierung eine rechenintensive Public Key-Operation durchgefuhrt werden. Das Zahlungssystem, welches fur die Abrechnung des aufgelaufenen Betrages verwendet wird, hangt auf der einen Seite von der Hohe der Limite ab und auf der anderen Seite naturlich von den Systemen, welche Kunde und Broker gemeinsam haben. Wird die Limite genugend hoch angesetzt, das heisst uber 20 USD, dann konnen selbst Kreditkarten in den Einsatz kommen. Zudem erlaubt SmartMicroPay ein dierenziertes Pricing. Es kann den guten Kunden einfach Mengenrabatt gewahrt werden. Der Observer kann beispielsweise einen Transaktionszahler fuhren. Bei anderen anonymen Zahlungssystemen ist dies nicht moglich, da der Zahlungsempfanger den Zahlenden nicht kennt. 9

10 Abbildung 4: Transaktionsablauf bei SmartMicroPay. 10

11 3.3 Weitere Konzepte Limite andern Das Andern der Limite geht vom Broker aus. Neukunden verfugen uber eine tiefere Limite als treue Kunden, welche die kumulierte Rechnung schon mehrmals beglichen haben. Der Broker kann solchen Kunden eine hohere Limite gewahren. Abbildung 5 stellt den Ablauf dar: Abbildung 5: Andern der Limite. Der Broker kann periodisch die Bonitat seiner Kunden uberprufen. Dazu fordert er den Observer auf, die Bonitatsprufung vorzunehmen. Der Observer meldet dem Broker die Bonitat des Kunden zuruck. Aufgrund dieser kann der Broker entscheiden, ob die Kreditlimite des Kunden geandert werden soll. Die neue Limite wird an den Observer gesandt, der diese speichert Zahlungssystem wechseln Es kann vorkommen, dass der Kunde neue Zahlungssysteme zur Auswahl hat oder dass er bestehende entfernt. Er sendet dem Broker eine Anfrage, das Zahlungssystem zu andern. Der Broker fordert die aktuelle Liste der Zahlungsmethoden vom Kunden an, aus welcher er ein passendes System auswahlt. Je nach gewahltem System wird die Kreditlimite festgesetzt. Diese wird dem Observer gesandt, der die neue Limite speichert. Abbildung 6 zeigt den Vorgang auf: 11

12 4 Sicherheit Abbildung 6: Zahlungssystem wechseln. 4.1 Grundsatzliche Uberlegungen Die Sicherheit bei SmartMicroPay basiert zum einen dem Konzept von Observern. In der Literatur werden Observer als zusatzlicher Chip auf einer Smartcard vorgestellt [Chau92][CP93]. Wir erweitern dieses Konzept und verwenden sichere Multiapplikations-Chipkarten fur die Umsetzung von Observern in Software. Der Observer wird als Applikation mit eigenem Speicherbereich realisiert. Es gibt derzeit zwei Chipkarten-Plattformen, welche dynamisches Laden mehrerer Anwendungen erlauben: Java Card und MULTOS. Wir wollen die weiteren Ausfuhrungen am Sicherheitsmodell der Java Card demonstrieren. Bei der Java Karte erzeugen Applets, das sind kleine, auf der Chipkarte ausfuhrbare Programme, Objekte, um Daten zu reprasentieren, zu speichern und zu manipulieren [JC97]. Jedes Objekt auf der Karte gehort generell genau einem Applet. Das erzeugende Applet besitzt die vollen Privilegien ber das Objekt. Ein Zugri auf das Objekt ist nur diesem Applet moglich, es sei, das Objekt wird explizit mit anderen Applets geteilt. Demzufolge kann keine andere Anwendung Daten des Observers lesen, verandern oder gar loschen. Die Sicherheit bei SmartMicroPay beruht zudem auf der Falschungssicherheit von Smartcards. Obwohl einige abenteuerliche Attacken gegen 12

13 Smartcards wie das Einlegen in Saure oder das Ausmessen von Stromspannungen bekannt sind, gelten Smartcards als sehr sicher. Somit kann eine nicht authorisierte Drittpartei den Observer druch Manipulation an der Chipkarte nicht auslesen und verandern. Auf der anderen Seite verwendet das System Public key-kryptographie, um die Integritat und Identitat sicherzustellen. Die Sicherheit von kryptographischen Verfahren hangt vom verwendeten Algorithmus sowie von der Schlussellange ab. Es konnen verschiedene Algorithmen implementiert werden. Wir schlagen blinde RSA Signaturen oder blinde Schnorr Signaturen vor, die beide bei adaquater Schlussellange als sehr sicher gelten [Law96]. Will nun der Kunde den Observer manipulieren, muss er den privaten Schlussel des Brokers besitzen. 4.2 Bedrohungsszenarien " Smartcard-Simulation in Software\ Ein Angreifer konnte versuchen, die Smartcard-Funktionen in Software zu simulieren. Falls ihm das gelingt, kann er sich jedesmal vor Gebrauch eine Kopie seiner Smartcard\ erstellen. Der Broker erhoht den Kontostand auf " dem Observer korrekt. Nach der Transaktion kann der Angreifer jedoch die alte Kopie nehmen, um den Observer wieder in den Anfangszustand zu bringen. Dieses Szenario lasst sich vermeiden, indem die Smartcard mit einem integrierten Schlussel versehen wird, welcher den Observer entschlusselt und auf einer Smartcard installiert. Ohne Dechirierung kann der Observer nicht verwendet werden " Herausziehen der Smartcard\ Ein weiteres Bedrohungsszenario sieht wie folgt aus: Der Angreifer verwendet die korrekte Smartcard mit dem Observer, um sich beim Broker zu authentisieren. Nach jeder Transaktion zieht er die Smartcard aus dem Leser heraus, so dass der Broker den Bezug nicht belasten kann. Das Herausziehen der Smartcard aus dem Lesegerat wahrend einer Transaktion fuhrt dazu, dass der Status des Observers " eingefroren\ wird und beim nachsten Start an derselben Stelle fortgesetzt wird. Dies ein wesentlicher Unterschied von Smartcards zu konventionellen Rechnern. Zieht man bei einem PC den Stecker raus (was analog ist zum Herausziehen einer Smartcard aus dem Terminal, welches die Karte mit Strom versorgt), dann 13

14 sind samtliche Daten im uchtigen Speicher verloren. Bei Smartcards wird der uchtige zuerst in den nicht uchtigen Bereich geschrieben " Wegwerf-Observer\ Zum Schluss stellt sich noch die Frage, wie man sicherstellen kann, dass der Kunde nicht jedesmal einen neuen Observer installiert, wenn die Kreditlimite erreicht wird. Dies stellt aber kein Problem dar, solange die Gebuhren fur die Zertizierung des neu generierten Schlussels (siehe Abschnitt 3.1) grosser sind, als die maximale Kreditlimite. Dann hat der Kunde keinen okonomischen Anreiz, jedesmal einen neuen Observer zu laden. 5 Schlussfolgerungen und oene Fragen SmartMicroPay erlaubt die eziente Bundelung von wiederkehrenden Micropayments. Durch die Verwendung von dezentralen Observern und blinden Signaturen ist das System ezient, skalierbar und anonym. Eine Erweiterung von SmartMicroPay sieht vor, dass die einzelnen Zertizierungsstellen miteinander verbunden werden. Dadurch entstehen Vertrauensketten oder Zertizierungshierarchien. Dies hat den Vorteil, dass der Kunde nur ein einziges digitales Zertikat benotigt. Das Observer-Modul muss in so einem Fall jedoch Multi-Broker-fahig sein, das heisst fur mehr als ein Broker verwendet werden konnen. Im Rahmen dieses Dissertationsprojektes werden Teile dieses Systems auf einer Java Card implementiert. Literatur [Bako97] Y. Bakos, E. Brynjolfsson, Aggregation and Disaggregation of Information Goods: Implications for Bundling, Site Licensing and Micropayment Systems, [BIS98] [Bran94] BIS, Risk Management for Electronic Banking and Electronic Money Activities, Basel, S. Brands, Untraceable O-Line Cash in Wallets with Observers, in: Advances in Cryptology - CRYPTO '93, Lecture 14

15 Notes in Computer Science, vol. 773, Springer-Verlag, Berlin, [Chau85] [Chau92] [Chau93] [CP93] [Cram98] D. Chaum, Security Without Identication: Transaction Systems to Make Big Brother Obsolete, in: Communications of the ACM, vol. 28 no. 10, Oktober D. Chaum, Achieving Electronic Privacy, in: Scientic American, August D. Chaum, T. P. Pedersen, Wallet Databases with Observers, in: Advances in Cryptology - CRYPTO '92, Lecture Notes in Computer Science, vol. 740, Springer-Verlag, Berlin, R. J. F. Cramer, T. P. Pedersen, Improved Privacy in Wallets with Observers, in: Advances in Cryptology - EUROCRYPT '93, Lecture Notes in Computer Science, vol. 765, Springer- Verlag, Berlin, M. Crameri, C. H. Cap, Analyseraster fur Micropayments, in: Rostocker Informatik-Berichte 22, [Glas94] S. Glasmann, et al., The Millicent Protocol for Inexpensive Electronic Commerce, millicent.htm, [GVU98] Graphic, Visualization, and Usability Center, 9th WWW User Survey, Atlanta, surveys/, [JC97] Anonymous, Java Card 2.0, Programming Concepts, Sun Microsystems, javacard/jc20-concepts.ps, [Law96] L. Law, et al., How to make a Mint: The Cryptography of anonymous electronic cash., National Security Agency Oce of Information Security Research and Technology, nsamint/nsamint.htm, June [MacK97] J. MacKie-Mason, K. White, Evaluating and Selecting Digital Payment Mechanisms, in: G. L. Rosston, D. Waterman 15

16 (eds.), Interconnection and the Internet. Selected Papers from the 1996 Telecommunications Policy Research Conference, Lawrence Erlbaum, Mahwah, [Netr98] NetRating, Detailed Statistics on Web Usage, [Omah97] [Pede97] [Rive96] [Schm96] [Schm95] D. O'Mahony et al., Electronic Payment Systems, Artech House, Boston, T. P. Pederson, Electronic Payments of Small Amounts, in: Security Protocols, Volume 1189 of Lecture Notes in Computer Science, Springer-Verlag, Heidelberg, R. L. Rivest, A. Shamir, PayWord and MicroMint: Two simple micropayment schemes, C. Schmidt, R. Muller, A Framework for Micropayment Evaluation, Sonderforschungsbericht 373, Berlin, B. Schmid, et al., Electronic Mall: Banking und Shopping in globalen Netzen, Teubner, Stuttgart, [Schn96] B. Schneier, Applied Cryptography, Wiley, New York, [Vari95] H. R. Varian, Pricing Information Goods, ftp://alfred.sims.berkeley.edu/pub/papers/price-infogoods.ps.z,