Nothing Special   »   [go: up one dir, main page]

WO2020212331A1 - Gerät zum direkten übertragen von elektronischen münzdatensätzen an ein anderes gerät sowie bezahlsystem - Google Patents

Gerät zum direkten übertragen von elektronischen münzdatensätzen an ein anderes gerät sowie bezahlsystem Download PDF

Info

Publication number
WO2020212331A1
WO2020212331A1 PCT/EP2020/060434 EP2020060434W WO2020212331A1 WO 2020212331 A1 WO2020212331 A1 WO 2020212331A1 EP 2020060434 W EP2020060434 W EP 2020060434W WO 2020212331 A1 WO2020212331 A1 WO 2020212331A1
Authority
WO
WIPO (PCT)
Prior art keywords
electronic coin
coin data
data set
masked
electronic
Prior art date
Application number
PCT/EP2020/060434
Other languages
English (en)
French (fr)
Inventor
Florian Gawlas
Tilo FRITZHANNS
Wolfram Seidemann
Verena Rapp
Maria Veleva
Original Assignee
Giesecke+Devrient Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke+Devrient Gmbh filed Critical Giesecke+Devrient Gmbh
Priority to EP20719976.1A priority Critical patent/EP3956845A1/de
Priority to US17/604,171 priority patent/US12014338B2/en
Priority to CN202080039069.9A priority patent/CN113924588A/zh
Publication of WO2020212331A1 publication Critical patent/WO2020212331A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/06Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
    • G06Q20/065Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash
    • G06Q20/0658Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash e-cash managed locally
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/22Payment schemes or models
    • G06Q20/223Payment schemes or models based on the use of peer-to-peer networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3827Use of message hashing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/008Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3229Use of the SIM of a M-device as secure element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q2220/00Business processing using cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/04Masking or blinding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Definitions

  • the invention relates to a device for the direct transmission of electronic coin data sets to another device.
  • the invention also relates to a payment system for exchanging monetary amounts.
  • Security of payment transactions and the associated payment transaction data means protection of the confidentiality of the data exchanged; as well as protecting the integrity of the data exchanged; as well as protection of the availability of the exchanged data.
  • WO 2016/200885 A1 describes a method for encrypting an amount made in a blockchain ledger, the verifiability of the transaction being retained.
  • a concealment amount is added to an input value.
  • a Output value generated and encrypted.
  • Both the input value and the output value lie within a value range, with a sum of any two values within the range not exceeding a threshold value.
  • the sum of the encrypted input value and the encrypted output value can be zero.
  • Range tests so-called range proofs, are assigned to each of the input values and the output value. These range checks prove that the input value and output value fall within the range of values.
  • Each public key can be signed with a ring signature based on a public key of a recipient in the transaction. This process requires blockchain technology, which must be called after receiving a coin data set in order to validate the coin data set.
  • direct payment between devices such as tokens, smartphones, but also machines such as point-of-sale terminals or vending machines, should be created that is anonymous.
  • the coin data records should be able to be used immediately after receipt, for example to enable payment even without a network connection.
  • Several coin data sets should be able to be combined with one another and / or divided as desired by the user in order to enable flexible exchange.
  • the exchanged coin data sets should on the one hand be confidential to other system participants, but on the other hand allow each system participant to carry out basic tests, in particular the recognition of multiple dispensing attempts and the recognition of attempts to pay with non-existent amounts.
  • the object is achieved in particular by a method for the direct transmission of electronic coin data sets between terminals, wherein a first terminal to a second terminal, the first terminal having at least one electronic coin data set, has the following steps:
  • the additional electronic coin data set is preferably generated by
  • the method also includes the following steps:
  • the step of registration is preferably carried out when the devices are connected to the monitoring entity.
  • the steps described can also be carried out without the step of registering in the monitoring instance being carried out.
  • the monetary amount of the transmitted electronic coin data record from the first terminal corresponds to the monetary amount of the further electronic coin data record.
  • the monetary amount of the transmitted electronic coin data record corresponds to the monetary total amount of the further electronic coin partial data records created from the transmitted electronic coin data record.
  • the total monetary amount from the transmitted electronic coin data record with the second electronic coin data record corresponds to the monetary amount of the connected electronic coin data record.
  • a registration request (such as a command to switch, connect or split) sent by the terminal device to the monitoring instance accordingly preferably comprises: - exactly one masked electronic coin data set to be registered and exactly one registered masked electronic coin data set, or
  • the terminal sends the registration request to the monitoring entity, which stores valid, masked electronic coin data records for electronic coin data records.
  • Terminal devices can check the validity of an - in particular the received - electronic coin data record alternatively or additionally (for example before further use) by sending the masked electronic coin data record to the monitoring entity in a validity request.
  • the monitoring instance answers the validity request (positive or negative) on the basis of the stored valid masked electronic coin data records.
  • An electronic coin dataset is in particular an electronic dataset that represents a monetary amount and is colloquially referred to as “digital coin” or “electronic coin”. In the process, this monetary amount changes from a first terminal to another terminal.
  • a monetary amount is understood to be a digital amount, e.g. can be credited to an account of a financial institution, or can be exchanged for another means of payment.
  • An electronic coin data record therefore represents cash in electronic form.
  • the terminal device can have a large number of electronic coin data records, for example the large number of coin data records can be stored in a data memory of the terminal device.
  • the data memory then represents, for example, an electronic wallet.
  • the data memory can for example be internal, external or virtual.
  • a “connection” can take place automatically, so that preferably only one (or a certain number of) electronic data records are in the terminal.
  • the terminal can, for example, be a passive device, such as. B. a token, a mobile device such as a smartphone, a tablet computer, a computer, a server or a machine.
  • An electronic coin data record for transferring monetary amounts differs significantly from an electronic data record for data exchange or data transfer, since, for example, a classic data transaction takes place on the basis of a question-answer principle or on intercommunication between the data transfer partners.
  • An electronic coin data record on the other hand, is unique, unambiguous and is in the context of a security concept that can include signatures or encryptions, for example.
  • an electronic coin data record contains all data that are required for a receiving entity with regard to verification, authentication and forwarding to other entities. Intercommunication between the end devices during the exchange is therefore basically not necessary with this type of data record.
  • an electronic coin dataset used for transmission between two terminals has a monetary amount, that is to say a date which represents a monetary value of the electronic coin dataset, and a concealment amount, for example a random number.
  • the electronic coin data record can have further metadata, for example which currency the monetary amount represents.
  • An electronic coin data set is uniquely represented by these at least two data (monetary amount and concealment amount).
  • An electronic coin data set is uniquely represented by these at least two data (monetary amount and concealment amount).
  • anyone who has access to these two pieces of data from a valid coin data record can use this electronic coin data record for payment. Knowing these two values (monetary amount and obfuscation amount) is synonymous with owning digital money.
  • This electronic coin data record is transmitted directly between two terminals.
  • an electronic coin dataset consists of these two data, so that only the transfer of the monetary amount and the concealment amount is necessary for exchanging digital money.
  • a corresponding masked electronic coin data record is assigned to each electronic coin data record.
  • the knowledge of a masked electronic coin data record does not entitle one to dispense the digital money which is represented by the electronic coin data record. This represents an essential difference between masked electronic coin data records and (unmasked) electronic coin data records and is the core of the present invention.
  • the masked electronic coin data record is unique and can be clearly assigned to an electronic coin data record, i.e. a 1-to-1 relationship.
  • the electronic coin data set is preferably masked by a computing unit of the terminal within the terminal which also has the at least one electronic coin data set. Alternatively, the masking can be done by a computing unit of the terminal that receives the electronic coin data record.
  • This masked electronic coin data set is obtained by applying a homomorphic one-way function, in particular a homomorphic cryptographic function.
  • This function is a one-way function, i.e. a mathematical function that is “easily” computable in terms of complexity theory, but “difficult” or practically impossible to reverse.
  • a one-way function is also referred to here as a function for which no reversal that can be practically carried out in a reasonable time and with a reasonable amount of effort is known.
  • the calculation of a masked electronic coin data record from an electronic coin data record is thus comparable to the generation of a public key in an encryption process using a residual class group.
  • a one-way function which operates on a group in which the discrete logarithm problem is difficult to solve, such as e.g. B. a cryptographic process analogous to an elliptical curve encryption, ECC for short, from a private key of a corresponding cryptography process.
  • the reverse function i.e. the generation of an electronic coin data record from a masked electronic coin data record, is very time-consuming - equivalent to generating the private key from a public key in an encryption process over a residual class group.
  • the respective operations on the corresponding mathematical group are to be understood in the mathematical sense, for example the group of points on an elliptical curve.
  • the one-way function is homomorphic, i.e. a cryptographic method that has homomorphic properties.
  • mathematical operations can be carried out with the masked electronic coin dataset, which can also be carried out in parallel on the (unmasked) electronic coin dataset and can therefore be reproduced.
  • calculations with masked electronic coin data records can be reproduced in the monitoring instance without the corresponding (unmasked) electronic coin data records being known there. Therefore, certain calculations with electronic coin data records, for example for processing the (unmasked) electronic coin data record (e.g. splitting or combining), can also be verified in parallel with the associated masked electronic coin data records, e.g. for validation checks or to check the legality of the respective electronic coin data record .
  • the homomorphism property therefore makes it possible to enter valid and invalid electronic coin data records on the basis of their masked electronic coin data records in a monitoring instance without knowledge of the electronic coin data records, even if these electronic coin data records are processed (divided, connected, switched). This ensures that no additional monetary amount has been created or that an identity of the terminal is recorded in the monitoring instance. Masking thus enables a high level of security without giving any insight into the monetary amount or the end device. This results in a two-tier payment system. On the one hand there is the processing layer in which masked electronic data records are checked and on the other hand there is the direct transaction layer in which at least two terminals transmit electronic coin data records.
  • the masked coin data records are registered in the monitoring instance.
  • the step of switching over the transmitted electronic coin data record comprises the following sub-steps:
  • a concealment amount for the electronic coin data record to be switched is generated in the second terminal using a transmitted concealment amount of the transmitted electronic coin data record;
  • the transmitted monetary amount of the transmitted electronic coin data set is used as the monetary amount for the electronic coin data set to be switched.
  • the transmitted electronic coin data record is switched from the first terminal device to the second terminal device. Switching can preferably take place automatically when receiving an electronic coin data record. In addition, it can also be done on request, for example a command from the first and / or second terminal.
  • the generation comprises generating a concealment amount for the electronic coin data set to be switched, preferably using the concealment amount of the transmitted electronic coin data set in conjunction with a new concealment amount, for example a random number.
  • the concealment amount of the electronic coin data record to be switched is preferably obtained as the sum of the concealment amount of the transmitted electronic coin data record and the random number that serves as the new, that is, additional concealment amount.
  • the monetary amount of the transmitted electronic coin dataset is preferably used as the monetary amount for the electronic coin dataset to be switched. This means that no further money is generated, the monetary amounts of both coin data sets are identical.
  • the registration after the switching step has the result that the electronic coin data set sent by the first terminal becomes invalid and is recognized as correspondingly invalid on a second dispensing attempt by the first terminal.
  • the (further) coin data set generated by the second terminal device becomes valid after the tests have been successfully completed.
  • the electronic coin data record received from the first terminal results in a new electronic coin data record, preferably with the same monetary amount, the so-called electronic coin data record to be switched.
  • the new electronic coin data record is generated by the second terminal, preferably by using the monetary amount of the received electronic coin data record as the monetary amount of the electronic coin data record to be switched.
  • a new concealment amount for example a random number, is generated.
  • the new concealment amount is added, for example, to the concealment amount of the received electronic coin data record so that the sum of both concealment amounts (new and received) serves as the concealment amount of the electronic coin data record to be switched.
  • the electronic coin data set received and the electronic coin part data set to be switched are preferably masked in the terminal by applying the homomorphic one-way function to the respective electronic coin data set received and the electronic coin part data set to be switched in order to obtain a masked received electronic coin data set and a masked electronic coin part data set to be switched accordingly.
  • additional information which is required for registering the switching of the masked electronic coin data record in the remote monitoring entity is preferably calculated in the terminal.
  • the additional information preferably contains a range verification via the masked electronic coin data record to be switched and a range verification via the masked electronic coin data record obtained.
  • the area evidence is evidence that the monetary value of the electronic coin data record is not negative, the electronic coin data record is validly created and / or the monetary value and the concealment amount of the electronic coin data record are known to the creator of the area evidence.
  • the area evidence serves to provide this evidence (s) without revealing the monetary value and / or the concealment amount of the masked electronic coin data record.
  • These proofs of range are also called “zero knowledge range proofs”. Ring signatures are preferably used as area evidence. The switching of the masked electronic coin data record is then registered in the remote monitoring entity.
  • This switching is necessary in order to invalidate (invalidate) the electronic coin data set received from the first terminal in order to avoid double spending. Because, as long as the electronic coin data record has not been switched, the first terminal can pass this received electronic coin data record on to a third device - since the first terminal is aware of the electronic coin data record and is therefore still in its possession. Switching is secured, for example, by adding a new concealment amount to the concealment amount of the electronic coin data record obtained, whereby a concealment amount is obtained that only the second terminal device knows. Newly created obfuscation amounts must have a high entropy, since they are used as a dazzle factor for the corresponding masked electronic coin part data records. A random number generator on the terminal is preferably used for this purpose. This protection can be tracked in the monitoring instance.
  • the at least one electronic coin data record is divided into the first electronic coin part data record and the second electronic coin part data record.
  • the division is preferably done in that on the one hand a monetary partial amount and a partial concealment amount for the first electronic coin dataset is determined (each between 0 and the received monetary amount or concealment amount) and on the other hand the monetary amount of the second electronic coin partial dataset as the difference from the obtained monetary amount and the monetary partial amount of the first electronic coin part data set, and the concealment amount of the second electronic coin part data set is calculated as the difference between the received concealment amount and the partial concealment amount of the first electronic coin part data set.
  • the electronic coin data set to be divided, the first electronic coin part data set and the second electronic coin part data set are masked in the first and / or second terminal by respectively applying the homomorphic one-way function in order to correspondingly mask a masked part electronic coin record, a masked first electronic coin part record and a masked second electronic coin part record.
  • additional information that is required for registering the division of the masked electronic coin data record in the remote monitoring entity is calculated in the terminal.
  • the additional information preferably includes an area evidence of the masked electronic coin data record to be split, an area evidence of the masked first electronic coin data record and an area evidence of the masked second electronic coin data record.
  • the area evidence is evidence that the monetary value of the electronic coin data record is not negative, the electronic coin data record is validly created and / or the monetary value and the concealment amount of the electronic coin data record are known to the creator of the area evidence.
  • the area verification is used to provide this verification (s) without revealing the monetary value and / or the concealment amount of the masked electronic coin data record.
  • These proofs of range are also called “zero knowledge range proofs”. Ring signatures are preferably used as area evidence.
  • the division of the masked electronic coin data set is registered in the remote monitoring entity. In this way, monetary amounts to be transferred can be adapted to the corresponding needs.
  • a terminal owner is not forced to always pass on the entire monetary amount to another terminal.
  • the splitting and subsequent registration has the advantage that an owner of the at least one electronic coin data record is not forced to always transfer the entire monetary amount at once, but instead to transfer corresponding sub-amounts.
  • the monetary value can be divided without restrictions as long as all electronic coin data sub-records have a positive monetary amount that is less than the monetary amount of the electronic coin data record from which the division is made and the sum of the electronic coin sub-data records is equal to the electronic coin sub-data record to be divided.
  • fixed denominations can be used.
  • the concealment amount can be generated outside of the terminal and obtained via a (secure) communication channel.
  • a random number generator on the terminal is preferably used for this purpose.
  • the checking instance can, for example, note the sub-steps of the monitoring instance in appropriate places, with markings, English flags, also being set for this purpose in order to document intermediate stages.
  • the (masked) first electronic coin part data record and (masked) second electronic coin part data record are preferably marked as valid.
  • the (masked) Electronic coin data set to be split is invalid.
  • the monitoring instance preferably notifies the result of executing the split command to the “commanding” terminal, ie which of the masked electronic coin data records involved are valid after the split command has been executed.
  • a further electronic coin data record (connected electronic coin data record) is determined from a first and a second electronic coin data record.
  • the concealment amount for the electronic coin data set to be linked is calculated by forming the sum from the respective concealment amounts of the first and second electronic coin data sets.
  • the monetary amount for the connected electronic coin dataset is preferably calculated by forming the sum from the respective monetary amounts of the first and the second electronic coin dataset.
  • the first electronic coin data set, the second electronic coin data set and the electronic coin data set to be connected are saved in the (first and / or second) terminal by applying the homomorphic one-way function to the first electronic coin data set, the second electronic coin data set and the one to be connected electronic coin data record masked in order to obtain a masked first electronic coin data record, a masked second electronic coin data record, and a masked electronic coin data record to be connected accordingly.
  • additional information that is required for registering the connection of the masked electronic coin data records in the remote monitoring entity is calculated in the terminal.
  • the additional information preferably includes an area evidence of the masked first electronic coin data record and an area evidence of the masked second electronic coin data record.
  • the area evidence is evidence that the monetary value of the electronic coin data record is not negative, the electronic coin data record is validly created and / or the monetary value and the concealment amount of the electronic coin data record are known to the creator of the area evidence.
  • the area verification is used to provide this verification (s) without revealing the monetary value and / or the concealment amount of the masked electronic coin data record.
  • These proofs of range are also called “zero knowledge range proofs”. Ring signatures are preferably used as area evidence.
  • the connection of the two masked electronic coin data records is then registered in the remote monitoring entity. With the step of connecting, two electronic coin data sets can be combined. The monetary amounts as well as the obfuscation amounts are added up. As with dividing, the two original coin data records can also be validated when combining.
  • a main distinctive feature of this inventive concept compared to known solutions is that the monitoring instance only (that is, exclusively) keeps knowledge of the masked electronic coin data records and a list of processing or changes to the masked electronic coin data record. The actual payment transactions are not registered in the monitoring instance and take place in a direct transaction layer directly between terminals.
  • a method in a monitoring entity that stores valid, masked electronic coin data records, each formed by applying a homomorphic one-way function to an electronic coin data record, electronic coin data records having a monetary amount and a concealment amount comprises in particular the following steps:
  • Receiving a registration request which comprises at least one masked electronic coin data record to be registered and at least one registered masked electronic coin data record;
  • the checking of the monetary amount neutrality of the registration request is preferably done anonymously by forming the difference from the masked electronic coin data sets.
  • the monitoring entity receives monetary amounts from an issuer entity to create and / or deactivate requests, which include at least one masked electronic coin data record that is created or to be deactivated, in particular for one newly issued by the issuer entity electronic coin data record or an electronic coin data record withdrawn by the issuer.
  • the creation and / or deactivation request for a masked electronic coin dataset can include a signature of the issuer on the masked electronic coin dataset, the signature of the masked, newly created electronic coin dataset preferably being stored in the monitoring instance.
  • An electronic coin data set can become invalid in the monitoring instance by marking or deleting the corresponding masked electronic coin data set in the monitoring instance.
  • the corresponding masked electronic coin data record or the corresponding electronic coin data record is particularly preferably deactivated in the issuer instance.
  • a two-layer payment system consisting of a direct payment transaction layer for the direct exchange of (unmasked) electronic coin data records and a monitoring layer, which can also be referred to as a “veiled electronic data record ledger”, is provided.
  • a monitoring layer which can also be referred to as a “veiled electronic data record ledger”.
  • the monitoring instance provides information about valid and invalid electronic coin data sets, for example to avoid multiple issuance of the same electronic coin data set or to verify the authenticity of the electronic coin data set as validly issued electronic money.
  • the terminal can therefore transmit electronic coin data records to another terminal in the direct payment transaction layer without a connection to the checking entity, in particular when the terminal is offline.
  • the terminal can have a security element in which the electronic coin data records are securely stored.
  • a security element is preferably a special computer program product, in particular in the form of a secured runtime environment within an operating system of a terminal, English Trusted Execution Environments, TEE, stored on a data memory, for example a mobile terminal, a machine, preferably an ATM.
  • the security element is, for example, as special hardware, in particular in the form of a secured hardware platform module, English Trusted Platform Module, TPM or as an embedded security module, eUICC, eSIM.
  • the security element provides a trustworthy environment.
  • the communication between two terminals can be wireless or wired, or e.g. also take place optically, preferably via QR code or barcode, and can be designed as a secure channel.
  • the optical path can include, for example, the steps of generating an optical coding, in particular a 2D coding, preferably a QR code, and reading in the optical coding.
  • the exchange of the electronic coin data record is thus secured, for example, by cryptographic keys, for example a session key negotiated for an electronic coin data record exchange or a symmetrical or asymmetrical key pair.
  • the exchanged electronic coin data sets are protected against theft or manipulation.
  • the security element level thus complements the security of established blockchain technology.
  • the electronic coin data records can be transmitted in any format. This implies that it communicates on any channel, i.e. that it can be transmitted. They do not need to be saved in a specific format or in a specific program.
  • a mobile telecommunication terminal for example a smartphone
  • the terminal can also be a device such as a wearable, smart card, machine, tool, machine or container or vehicle.
  • a terminal according to the invention is therefore either stationary or mobile.
  • the terminal is preferably designed to use the Internet and / or other public or private networks.
  • the terminal uses a suitable connection technology, for example Bluetooth, Lora, NFC and / or WiFi and has at least one corresponding interface.
  • the terminal can also be designed to be connected to the Internet and / or other networks by means of access to a cellular network.
  • the first and / or second terminal in the method shown processes the received electronic coin data records in the presence or receipt of several electronic coin data records according to their monetary value. It can thus be provided that electronic coin data sets with a higher monetary value are processed before electronic coin data sets with a lower monetary value.
  • the first and / or second terminal can be designed after receiving an electronic coin dataset, depending on the attached information, for example a currency or denomination, to connect it to the electronic coin dataset already present in the second terminal and to carry out a connecting step accordingly.
  • the second terminal can also be designed to automatically carry out a switchover after receiving the electronic coin data record from the first terminal.
  • additional information is transmitted from the first terminal to the second terminal during transmission, for example a currency.
  • this information can be included in the electronic coin data record.
  • the method has the following further steps: masking the transmitted electronic coin data record in the second terminal by applying the homomorphic one-way function to the transmitted electronic coin data record; and sending the masked transmitted electronic coin data set to the remote monitoring entity for the remote monitoring entity to check the validity of the transmitted electronic coin data set.
  • the entire monetary amount was transferred to the second terminal as part of the electronic coin data record.
  • the second terminal Before a payee accepts this electronic coin data record, he / she checks its validity if necessary.
  • the second terminal generates the masked, transmitted electronic coin data record, sends it to the monitoring entity and in doing so asks the monitoring entity about the validity of the electronic coin data record.
  • the monitoring instance now checks whether the masked, transmitted electronic coin data record is even present and whether it is still valid, i.e. has not already been used by another terminal, in order to avoid double spending.
  • evidence is created in the second terminal.
  • the evidence includes information about the correspondence of the monetary amount of the transmitted electronic coin data set with the monetary amount of the electronic coin data set to be switched.
  • the proof preferably only includes information about the match, but not one of the monetary amounts.
  • the electronic coin data records of the first and / or second terminal device are preferably verified in or by the monitoring entity during the registration step.
  • the check takes place as a function of the steps preceding the verification, for example whether a step of switching, connecting and / or dividing has taken place.
  • the monitoring instance can, for example, check the validity of the (masked) Check transmitted and / or to be divided and / or first and second electronic coin data sets. This makes it possible to determine whether the electronic coin records are being processed for the first time. If the (masked) electronic coin data sets are not valid (i.e. in particular if they are not present in the monitoring instance) the registration cannot be carried out successfully, for example because the terminal tries to issue an electronic coin data set several times.
  • the registering step comprises, for example, sending the switching command prepared by the terminal to the monitoring entity.
  • the switchover command preferably contains the masked electronic coin data record received, the masked electronic coin data record to be switched and preferably contains further information which is needed for checks in the monitoring instance.
  • the additional information is used to prove to the “ordering” terminal that it knows the monetary amount and the concealment amount of the electronic coin data record received without communicating the values, preferably by means of zero knowledge proof.
  • the checking entity checks the traceability of the unknowledgeable evidence, the validity of the masked electronic coin dataset received and that the monetary amount of the electronic coin dataset received is equivalent to the monetary amount of the electronic coin dataset to be switched.
  • the second terminal device can preferably prove that the difference between the masked coin data record received and the masked coin data record to be switched has a special representation, namely that of a public key. This is done by generating a signature for the masked electronic coin data record to be switched with the added concealment amount. This generated signature of the masked electronic coin data record to be switched over can then be checked in the monitoring instance, which is considered to be proof that the second terminal is aware of the added concealment amount.
  • the (masked) electronic coin data set to be switched is marked as valid.
  • the (masked) electronic coin data set received automatically becomes invalid.
  • the monitoring instance preferably notifies the result of executing the switchover command to the “commanding” terminal, ie which of the masked electronic coin data records involved are valid after the switchover command has been carried out.
  • the registering step after the execution of the splitting step comprises a splitting command prepared by the terminal, which is sent to the monitoring instance, which contains the masked electronic coin data set to be split, the masked first electronic coin part data set, the masked second electronic coin part data set and preferably contains further information that is needed for checks in the monitoring instance.
  • the additional information is used to prove to the “ordering” terminal that it knows the monetary amount and the concealment amount of the electronic coin data set to be divided up without communicating the values, preferably by means of zero knowledge proof.
  • the checking instance checks the traceability of the unknowledgeable evidence, the validity of the masked electronic coin dataset to be split and that the sum of the monetary amount of the first electronic coin dataset and the monetary amount of the second electronic coin dataset is equivalent to the monetary amount of the electronic coin dataset to be split. This is preferably done in that the monitoring instance compares the sum of the masked first electronic coin part data set and the masked second electronic coin part data set with the masked coin part data set to be divided.
  • the registering step comprises, after the connection step has been carried out, a connection command prepared by the terminal device, which is sent to the monitoring instance, which contains the first masked electronic coin data record, the second masked electronic coin data record and the masked partial coin data record to be connected and preferably contains further information that is needed for checks in the monitoring instance.
  • the additional information is used to prove to the “ordering” terminal that it knows the monetary amounts and the concealment amounts of the first and second electronic coin data records without communicating the values, preferably by means of zero knowledge proof.
  • the verification instance checks the traceability of the unaware evidence, the validity of the masked first electronic coin data record, the validity of the masked second electronic coin data record and that the sum of the monetary amount of the first electronic coin data record and the monetary amount of the second electronic coin data record is equivalent to the monetary amount of the to connecting electronic coin data record is. This is preferably done by the monitoring entity comparing the sum of the masked first electronic coin data record and the masked second electronic coin data record with the masked partial coin data record to be connected. Preferably, after successfully completing the tests that are relevant for the connect command, that is, if the markings are complete, the (masked) electronic coin data set to be connected is marked as valid.
  • the (masked) first electronic coin data set and the (masked) second electronic coin data set are invalid.
  • the monitoring instance preferably notifies the result of executing the connect command to the “commanding” terminal, ie which of the masked electronic coin data records involved are valid after executing the connect command.
  • the transmitted electronic coin data set is masked and checked before the transmitted electronic coin data set is registered in the monitoring instance.
  • the monitoring entity is a remote entity.
  • the establishment of a communication connection to the monitoring entity is provided for registering the electronic coin data record.
  • the monitoring instance is designed as a superordinate instance.
  • the monitoring instance is therefore not necessarily arranged in the level or in the layer of the terminals (direct transaction layer).
  • the monitoring entity is preferably provided for managing and checking masked electronic coin data records and is arranged in an issuing layer, in which an issuing entity is also arranged, and / or a monitoring layer. It is conceivable that the monitoring instance also manages and checks transactions between terminals.
  • the monitoring instance is preferably a database - more preferably a decentrally controlled database, English Distributed Ledger Technology, DLT - in which the masked electronic coin data sets are registered with corresponding processing of the masked electronic coin data set.
  • a validity status of the (masked) electronic coin data record can be derived from this.
  • the validity of the (masked) electronic coin data records is preferably noted in and by the checking entity.
  • the registration of the processing or the processing steps can also relate to the registration of test results and intermediate test results relating to the validity of an electronic coin data record. If processing is final, this is indicated, for example, by corresponding markings or a derived overall marking. Final processing then decides whether an electronic coin dataset is valid or invalid.
  • This database is further preferably a non-public database, but can also be implemented as a public database.
  • This database makes it possible to check coin data records for their validity in a simple manner and to prevent “double-spending”, ie multiple spending, without the payment transaction itself being registered or is logged.
  • the DLT describes a technique for networked computers that come to an agreement about the sequence of certain transactions and that these transactions update data. It corresponds to a decentralized management system or a decentralized database.
  • the database can also be designed as a public database.
  • the monitoring instance is a centrally managed database, for example in the form of a publicly accessible data memory or as a mixture of central and decentralized databases.
  • the at least one initial electronic coin data record is preferably created exclusively by the issuer, with the divided electronic coin data records, in particular electronic coin part data records, also being able to be generated by a terminal.
  • the creation and selection of a monetary amount preferably also includes the selection of a concealment amount with high entropy.
  • the issuing entity is a computing system which is preferably remote from the first and / or second terminal. After the creation of the new electronic coin data record, the new electronic coin data record is masked in the issuer instance by applying the homomorphic one-way function to the new electronic coin data record in order to obtain a masked new electronic coin data record accordingly.
  • additional information which is required for registering the creation of the masked new electronic coin data record in the remote monitoring entity is calculated in the issuer entity.
  • This additional information is preferably evidence that the (masked) new electronic coin data record originates from the issuer, for example by signing the masked new electronic coin data record.
  • the issuer instance signs a masked electronic coin data record with its signature when generating the electronic coin data record.
  • the signature of the issuing authority is stored in the monitoring authority.
  • the issuing entity can deactivate an electronic coin data record that is in its possession (i.e. of which it knows the monetary amount and the concealment amount) by masking the electronic coin data record to be deactivated with the homomorphic one-way function and a deactivation command for the monitoring authority prepared.
  • Part of the deactivation command in addition to the masked electronic coin data record to be deactivated, is preferably also the proof that the Deactivation step was initiated by the issuer instance, for example in the form of the signed, masked electronic coin data record to be deactivated.
  • the deactivation command could contain area checks for the masked electronic coin data record to be deactivated.
  • the deactivation of the masked electronic coin data record is then registered in the remote monitoring entity.
  • the deactivation step is triggered with the deactivation command.
  • the registering step after executing the deactivation step, comprises a deactivation command prepared for the issuer instance, which is sent to the monitoring instance, the masked electronic coin data record to be deactivated and preferably further information required for checks in the monitoring instance are needed, contains.
  • the additional information serves to prove that the deactivation command was initiated by the issuer, preferably by means of the signed, masked electronic coin data record to be deactivated.
  • the checking entity checks the signature, the validity of the masked electronic coin data set to be deactivated and optionally the area evidence of the masked electronic coin data set to be deactivated.
  • the (masked) electronic coin data set to be deactivated is marked as invalid.
  • the monitoring instance preferably notifies the issuing instance of the result of the execution of the deactivation command, i.e. that the (masked) electronic coin data set to be deactivated is invalid after the deactivation command has been executed.
  • the creation and deactivation steps are preferably carried out in secure locations, in particular not in the terminals.
  • the creation and deactivation steps are only carried out or initiated by the issuing entity. These steps preferably take place in a secure location, for example in a hardware and software architecture that was developed for processing sensitive data material in insecure networks. Deactivating the corresponding masked electronic coin data record has the effect that the corresponding masked electronic coin data record is no longer available for further processing, in particular transactions, since it has been marked as invalid in and by the monitoring entity. However, in one embodiment it can be provided that the deactivated, masked electronic coin data record remains archived at the issuer.
  • the deactivated, masked electronic coin data record is no longer valid can be identified, for example, with the aid of a flag or some other coding, or the deactivated, masked electronic coin data record can destroyed and / or deleted.
  • the deactivated, masked electronic coin data record can also be physically removed from the terminal.
  • the method according to the invention enables various processing operations for the electronic coin data records and the corresponding masked electronic coin data records.
  • Each of the processing operations (in particular creating, deactivating, splitting, connecting and switching) is registered in the monitoring instance and appended there in unchangeable form to the list of previous processing operations for the respective masked electronic coin data record.
  • Processing in the direct transaction layer only affects the ownership structure and / or the assignment of the coin data records to the terminals of the respective electronic coin data records.
  • the respective processing in the monitoring instance is registered, for example, by means of corresponding list entries in a database which comprises a series of markings that must be carried out by the monitoring instance.
  • a possible structure for a list entry includes, for example, column (s) for a previous coin data record, column (s) for a successor coin data record, a signature column for the issuer instance, and at least one marking column.
  • a change in the status of the marking requires the approval of the monitoring authority and must then be saved unchangeably.
  • a change is final if and only if the required markings have been validated by the monitoring entity, ie after the corresponding check, for example, have been changed from status "0" to status "1". . If a test fails or takes too long, it is instead changed, for example, from status to status "0". Further status values are conceivable and / or the status values mentioned here are interchangeable.
  • At least two, preferably three or even all of the aforementioned markings can also be replaced by a single mark, which is set when all tests have been successfully completed.
  • the two columns for predecessor data sets and successor data sets can be combined into one each, in which all coin data sets are listed together.
  • a masked electronic coin data record is invalid if one of the following checks applies, i.e. if:
  • the masked electronic coin record is not the successor to a valid masked electronic record unless it is signed by the issuer
  • a payment system for exchanging monetary amounts is provided with a monitoring layer with a - preferably decentrally controlled, English Distributed Ledger Technology, DLT - database in which masked electronic coin data records are stored; and a direct transaction layer with at least two terminals in which the method described above can be carried out; and / or an issuer entity for generating an electronic coin data record.
  • the issuing authority can prove that the masked electronic coin data record generated by it was generated, the issuer instance can preferably identify itself by signing and the monitoring instance can check the signature of the issuer instance.
  • the payment system comprises an issuer instance for generating an electronic coin data record.
  • the issuer entity can prove that the masked electronic coin data record was generated by it, the issuer entity can preferably identify itself by signing and the monitoring entity can check the signature of the issuer entity.
  • the payment system is preferably designed to carry out the above-mentioned method and / or at least one of the embodiment variants.
  • Another aspect of the invention relates to a currency system comprising an issuer entity, a monitoring entity, a first terminal and a second terminal, the issuer entity being designed to create an electronic coin data record.
  • the masked electronic coin data record is designed to be verifiably created by the issuing entity.
  • the monitoring entity is designed to carry out a registration step as described in the above-mentioned method.
  • the terminals i.e. at least the first and second terminals are suitable for executing one of the above-mentioned transmission methods.
  • only the issuer entity is authorized to initially create an electronic coin data record.
  • Processing for example the step of connecting, splitting and / or switching, can and is preferably carried out by a terminal.
  • the processing step of deactivation can preferably only be carried out by the issuing entity.
  • only the issuer instance would be entitled to invalidate the electronic coin data record and / or the masked electronic coin data record.
  • the checking instance and the issuing instance are preferably arranged in a server instance or are available as a computer program product on a server and / or a computer.
  • An electronic coin data record can exist in a large number of different forms and can thus be exchanged via various communication channels, also referred to below as interfaces. This creates a very flexible exchange of electronic coin data records.
  • the electronic coin data set is represented, for example, as an optoelectronically detectable code, for example a barcode or QR code, and thus a one-dimensional or two-dimensional coded data set. It can be displayed in this visual form, for example using an electronic display unit (display, monitor) or as a printout on paper. It can therefore be represented as a visual appearance.
  • the electronic coin data record can also be recorded by an electronic recording unit, for example a scanner (barcode scanner, QR code scanner) or a camera.
  • the monetary value and the blind signature are mapped as an optoelectronically detectable code.
  • the electronic coin data record can be represented in the form of a file, for example.
  • a file consists of related data that is stored on a data carrier, data storage medium or storage medium. Each file is initially a one-dimensional sequence of bits, which are normally interpreted in byte blocks. An application program or an operating system itself interpret this bit or byte sequence, for example, as a text, a picture or a sound recording.
  • the file format used here can be different, for example it can be a pure text file that represents the electronic coin data record. In particular, the monetary value and the blind signature are mapped as a file.
  • the electronic coin data record is, for example, a sequence of American Standard Code for Information Interchange, ASCII for short, characters.
  • ASCII American Standard Code for Information Interchange
  • the monetary value and the blind signature are mapped as this consequence.
  • the electronic coin data record can also be converted from one display form to another display form in a device.
  • the electronic coin data record can be received in the device as a QR code and output by the device as a file or character string.
  • the device comprises means for accessing a data memory, at least one electronic coin data record being stored in the data memory; an interface at least for outputting the at least one electronic coin data set to the other device; and an arithmetic unit for masking the electronic coin data set in the device by applying a homomorphic encryption function to the electronic coin data set to obtain a masked electronic coin data set for registering the masked electronic coin data set in a monitoring entity; and is set up to output the electronic coin data record by means of the interface, the at least one electronic coin data record being structured as described above, that is to say having a monetary amount and a blind signature.
  • a device is a previously described terminal or a previously described machine.
  • the data memory is an internal data memory of the device.
  • the electronic coin data sets are stored here. This guarantees easy access to electronic coin data sets.
  • the data memory is in particular an external data memory, also called an online memory.
  • the device therefore only has one means of access to the externally and thus securely stored coin data sets. In particular, if the device is lost or if the device malfunctions, the electronic coin data sets are not lost. Since the possession of the (unmasked) electronic coin data records corresponds to the possession of the monetary amount, money can be stored more securely by using external data storage devices.
  • the device preferably has an interface for communication by means of a customary Internet communication protocol, for example TCP, IP, UDP or HTTP.
  • a customary Internet communication protocol for example TCP, IP, UDP or HTTP.
  • the transmission can include communication via the cellular network.
  • the device is set up to carry out the processing already described on an electronic coin data record.
  • the computing unit is set up to mask an electronic coin data record to be switched over as the electronic coin data record, which the monitoring entity uses as a masked electronic coin data record for registering the switchover command or in the switchover. Step needs. In this way, an electronic coin data record can be switched over as described above.
  • the computing unit is preferably set up to mask an electronic coin data set divided into a first electronic coin part data set and a second electronic coin part data set in order to obtain a masked first electronic coin part data set and a masked second electronic coin part data set that is to be registered in the monitoring instance.
  • an electronic coin data record can be split up - as described above.
  • the computing unit is preferably set up to mask one of a first and a second electronic coin dataset to be linked as the electronic coin dataset in order to obtain a masked coin dataset to be linked as the masked electronic coin dataset that is registered in the monitoring instance. In this way, an electronic coin data record can be linked - as described above.
  • the interface for outputting the at least one electronic coin data record is an electronic display unit of the device which is set up to display the electronic coin data record and thereby (also) to output the electronic coin data record in visual form.
  • the electronic coin data record can then be exchanged between devices, for example in the form of an optoelectronically detectable code, an image, etc.
  • the interface for outputting the at least one electronic coin data record is a protocol interface for wireless transmission of the electronic coin data record to the other device by means of a communication protocol for wireless communication.
  • a communication protocol for wireless communication for wireless communication.
  • near-field communication is provided, for example by means of the Bluetooth protocol or NFC protocol or IR protocol; WLAN connections or mobile radio connections are alternatively or additionally conceivable.
  • the electronic coin data set is then adapted and transmitted in accordance with the protocol properties.
  • the interface for outputting the at least one electronic coin data record is a data interface for providing the electronic coin data record to the other device by means of an application.
  • the electronic coin data set is transmitted here using an application.
  • This application then transmits the coin data set in a corresponding file format.
  • a file format specific to electronic coin records can be used will.
  • the coin data record is transmitted as an ASCII character string or as a text message, e.g. SMS, MMS, instant messenger message (such as Threema or WhatsApp).
  • a wallet application can also be provided.
  • the exchanging devices preferably ensure that an exchange is possible by means of the application, that is to say that both devices have the application and are ready for exchange.
  • the device also has an interface for receiving electronic coin data records.
  • the interface for receiving the at least one electronic coin data record is an electronic detection module of the device, set up to record an electronic coin data record presented in visual form.
  • the acquisition module is then, for example, a camera or a barcode or QR code scanner.
  • the interface for receiving the at least one electronic coin data record is a protocol interface for wirelessly receiving the electronic coin data record from another device by means of a communication protocol for wireless communication.
  • a communication protocol for wireless communication for wireless communication.
  • near-field communication is provided, for example using the Bluetooth protocol or NFC protocol or IR protocol.
  • WLAN connections or cellular connections are conceivable.
  • the interface for receiving the at least one electronic coin data record is a data interface for receiving the electronic coin data record from the other device by means of an application.
  • This application then receives the coin data record in a corresponding file format.
  • a file format specific to coin data sets can be used.
  • the coin data set is transmitted as an ASCII string or as a text message, for example SMS, MMS, Threema or WhatsApp.
  • the transfer can take place using a wallet application.
  • the interface for receiving the at least one electronic coin data record is also the interface for outputting the electronic coin data record, so that an interface is provided for both sending and receiving the coin data record.
  • the device also has a means for accessing an electronic safe module, the safe module for the secure storage of at least one electronic coin data set, preferably in an online memory.
  • the device is preferably an end device such as a smartphone, laptop, smart watch, smart card, etc.
  • the safe module also referred to as a "vault" can be a data storage device for electronic coin data records that the user can only access after additional (successful) authentication , for example via biometric features, PIN, password.
  • This safe module can be set up on the device and is then protected by additional security functions.
  • the safe module is a secure runtime environment, TEE, or a security element such as eUICC etc.
  • the safe module is designed externally from the device, for example as a trusted server of a trustworthy third party that offers a safe module function.
  • the safe module can in particular also initiate the processing on the data record, in particular splitting, connecting and switching, and for these purposes can be connected to the monitoring instance for communication purposes.
  • the safe module is then a computing unit of the device and is set up to mask and output the electronic coin data record. This processing is also preferably carried out only after successful authentication.
  • Automated (unmasked) coin data records can be loaded into this safe module.
  • the user can define a specification, such as a threshold value, in the device.
  • the threshold value represents, for example, a monetary maximum amount or a maximum number of electronic coin data records.
  • the processing unit automatically detects when this defined threshold value in the device has been exceeded - for example after an incoming payment from another device. Then (unmasked) electronic coin data sets are automatically loaded into the safe module and only coin data sets corresponding to the defined threshold value remain on the device or in a less secured or unsecured data memory.
  • the safe module can also be a stand-alone device. In addition to the secure memory, this safe module then has a communication means for input and a communication means for output and a means for querying an authentication of the user.
  • the safe module can be personalized initially. Alternatively, the safe module can be connected to the device in order to use its interfaces for exchanging coin data sets.
  • the device has a module which is set up to recognize a predefined location zone.
  • a home zone or a home area is understood as a location zone, for example, referred to as a home zone.
  • This location zone can be the coverage area of a WLAN area, e.g. defined by the name (SSID) of the WLAN.
  • the module is then, for example, a WLAN module.
  • the device detects active WLANs and can then be connected to the predefined WLAN in order to be connected to the Internet.
  • the device does not carry out some special functions until it has recognized that it is in the predefined location zone.
  • a specific WLAN network can optionally be defined.
  • the module can be a global positioning system, GPS, module, with which it is recognized that the device is within predefined GPS coordinates. The device only performs special functions in the predefined location zone.
  • the location zone is defined either directly on the device or on the module.
  • the special (special) functions that are carried out when the location zone is recognized are, for example, the automatic transmission (i.e. both sending and receiving) of electronic coin data records, for example to the safe module and / or the external data memory and / or the transmission of masked coin data records for Switching the respective coin data set in the monitoring instance.
  • the location detection module and the safe module can preferably interact so that the safe module is filled or removed with coin data sets (only) depending on the defined threshold value and when the location zone is detected. This enables automatic loading and transferring as well as debiting depending on the location and a defined threshold.
  • the device can particularly preferably be set up, depending on a specification for electronic coin data records stored in the terminal, in particular a threshold value of a monetary amount for electronic coin data records stored in the terminal, a maximum number of electronic coin data records and / or a denomination specification for in the terminal stored electronic coin data sets to automatically transmit at least one electronic coin data set from the device or into the device in order to comply with the specification.
  • the electronic coin data set is transferred from the device to the safe module or from the safe module to the device.
  • the device can optionally be set up to transfer the electronic coin data record from a meter issuer to the device or to transfer it from the device to the issuer.
  • the issuing entity only issues electronic coin data records to safe modules of devices and / or only takes back electronic coin data records from safe modules of devices.
  • the device (s) is (are) set up electronic coin data records by means of the interface with other devices to exchange and preferably only to exchange electronic coin data sets with the issuing authority by means of the safe module, in particular to request or return them.
  • the computing unit is set up to recognize a difference between a monetary amount to be transferred and a monetary amount of the electronic coin data set; Inquiries for an electronic coin data record having a monetary amount equal to the detected difference at an issuer instance; Receipt of the requested electronic coin data record.
  • the electronic coin data record obtained is preferably connected to the stored electronic coin data record and the electronic coin data record to be connected is masked for registration with the monitoring entity.
  • the connected electronic coin data record is then transmitted.
  • the received electronic coin data record is switched over at the monitoring instance.
  • the switched and the existing electronic coin data set are then transmitted.
  • the device can thus provide the desired payment amount fully automatically in an electronic coin data record and instruct the issuer to do so. This is optionally also one of the special functions of the device, which may only take place in a location zone and when the value falls below a predefined threshold value.
  • the computing unit is set up to recognize an excess of the monetary amount received and a threshold value of a monetary amount for stored electronic coin data records; and transferring the surplus, for example as a crediting of the surplus to a bank account or as a transfer to a safe module, with splitting the electronic coin data set to obtain a first electronic coin part data set corresponding to the threshold value and a second electronic coin part data record corresponding to the surplus, and masking the first and second coin sub data sets for obtaining masked first and second electronic coin data sets for splitting at the monitoring entity.
  • the device can automatically have an excess amount credited to a bank account, for example, and thus keep the number and values of the coin data set on the device low (in terms of the threshold value). This is also one of the special functions of the device, which may only take place in a location zone and when a predefined threshold value is exceeded.
  • the device in particular the first and / or second terminal, has a bank note module which is set up for the input and / or output of bank notes.
  • the device is preferably a machine or a vending machine, for example a self-service terminal or a component in a cash register system of a retailer or a bank.
  • the device is a cash register terminal and / or an automatic machine and is set up to issue a monetary amount in part as a bank note using the bank note module and in part as an electronic coin data record using the interface.
  • the device makes it possible to dispense with analog coins entirely. Part of the monetary amount to be transferred is given as banknotes, rounded down to the nearest denomination, and the remainder is given out as an electronic coin record. This replaces spending money in the form of analog coins.
  • the electronic coin data record (as part of the payment) can be transmitted in (opto) electronic form or it can be a printout from the cash register component that the user receives.
  • the part of the monetary amount to be output as an electronic coin data set is preferably a first electronic coin part data set of a split electronic coin data set.
  • the device is a cash register terminal and / or a machine and is set up to output a monetary amount in banknotes by means of the banknote module, the device receiving a monetary partial amount from another device in the form of electronic coin data.
  • the device can tell the other device what monetary value it expects, that is, it can request an electronic coin dataset of a certain monetary value. In this case it is also possible to dispense with the transfer of analog coins. Part of the monetary amount to be transferred takes the form of banknotes, rounded up to the nearest denomination, and the remainder is received from the terminal as an electronic coin data record - as negative change, so to speak.
  • the electronic coin data record (as part of the payment) can be transmitted in (opto) electronic form or it can be a printout that the cash register component receives.
  • the part of the monetary amount to be obtained as an electronic coin data set is preferably a first electronic coin part data set of an electronic coin data set split up (by the user).
  • the other device that is, the user's device
  • the other device would in this case predefine the device an electronic coin data record with the request to split it into a first one, for example electronic coin component data set and a second predefined electronic coin component data set.
  • the device comprises at least one security element reading device, set up to read a security element; a random number generator; and / or a communication interface to a safe module and / or bank with authorized access to a bank account.
  • the data memory is a shared data memory that can be accessed by at least one other device, each of the terminals having an application, this application being set up to communicate with the monitoring instance for the corresponding registration of electronic coin part data records.
  • a payment system for exchanging monetary amounts is provided with a monitoring layer with a database, preferably a decentralized controlled database (DLT), in which masked electronic coin data records are stored; and a direct transaction layer with at least one device according to one of the preceding types and another device, preferably according to one of the preceding types; and / or an issuer instance for generating an electronic coin data record and a signature, the signature being stored in the decentrally controlled database.
  • DLT decentralized controlled database
  • masked electronic coin data sets are held in the monitoring instance as a unique, corresponding public representation of the electronic coin data set.
  • the knowledge or the possession of a masked electronic coin data record does not represent the possession of money. Rather, this is like checking the authenticity of the analog means of payment.
  • the monitoring instance also contains markings about executed and planned processing of the masked electronic coin data record. A status of the respective masked electronic coin data record is derived from the markings relating to the processing, which status indicates whether the corresponding (unmasked) electronic coin data record is valid, ie ready to pay.
  • a recipient of an electronic coin data record will therefore first generate a masked electronic coin data record and have the monitoring entity authenticate the validity of the masked electronic coin data record.
  • a great advantage of this solution according to the invention is that the digital money is distributed to terminals, dealers, banks and other users of the system, but no digital money or other metadata is stored in the monitoring instance - that is, a common instance.
  • the proposed solution can be integrated into existing payment systems and infrastructures.
  • a payment process can take place with banknotes and / or coins, but the change or change is available as an electronic coin data record.
  • ATMs with a corresponding configuration, in particular with a suitable communication interface, and / or mobile terminals can be provided for the transaction.
  • An exchange of electronic coin data sets for bank notes or coins is also conceivable.
  • Fig.l shows an embodiment of a payment system according to the invention
  • FIG. 2 shows an embodiment of a monitoring instance
  • 3 shows an embodiment of a payment system according to the invention for splitting and switching over electronic coin data sets
  • FIG. 4 shows an embodiment of a payment system according to the invention for connecting electronic coin data sets
  • FIG. 5 shows an exemplary embodiment of a process flow diagram of a method according to the invention and corresponding processing steps of a coin data set
  • FIG. 6 shows an exemplary embodiment of a process flow diagram of a method according to the invention and corresponding processing steps of a coin data set
  • FIG. 7 shows a further exemplary embodiment of a method flow diagram of a method according to the invention.
  • FIG. 8 shows an embodiment of a device according to the invention
  • FIG. 9 shows a further exemplary embodiment of a method flow diagram of a method according to the invention.
  • FIG. 10 shows a further exemplary embodiment of a method flow diagram of a method according to the invention.
  • FIG. 11 shows a further exemplary embodiment of a method flow diagram of a method according to the invention.
  • FIG. 12 shows a further embodiment of a device according to the invention with another device.
  • FIG. 13 shows a further exemplary embodiment of a method flow diagram of a method according to the invention.
  • Fig.l shows an embodiment of a payment system with terminals M1 and M2 according to the invention.
  • the terminals M1 and M2 can also be devices.
  • An electronic coin data record C i is generated in an issuer instance 1, for example a central bank.
  • a masked electronic coin data record Z i is generated and registered in a database, which here can be designed as a “concealed electronic data record ledger”.
  • a ledger is understood to be a list, a directory, preferably a database structure.
  • the electronic coin data record C i is output to a first terminal M1.
  • n a true random number was generated as the concealment amount n.
  • This concealment amount n is linked to a monetary amount u and then forms an i-th electronic coin data record according to the invention:
  • a valid electronic coin data record can be used for payment.
  • the owner of the two values u i and n is therefore in possession of the digital money.
  • the digital money is defined in the system by a pair consisting of a valid electronic coin data record and a corresponding masked electronic coin data record Z i .
  • the masked electronic coin data set Z i is obtained by applying a homomorphic one-way function f (C i ) according to equation (2):
  • This function f (Q) is public, ie every system participant can call up and use this function.
  • This function f (C i ) is defined according to equation (3):
  • H and G are generator points of a group G, in which the discrete logarithm problem is difficult, with the generators G and H, for which the discrete logarithm of the other base is unknown.
  • G and H are generator points of an elliptical curve encryption, ECC - that is, private keys of the ECC.
  • Equation (3) is a “Pederson Commitment for ECC”, which ensures that the monetary amount u; A monitoring instance 2 can be granted, that is to say “committed”, without disclosing this to the monitoring instance 2. The public and remote monitoring instance 2 is therefore only sent (disclosed) the masked coin data set Z i .
  • Equation (3) enables, through the entropy of the concealment amount n, that even with a small value range for monetary amounts u; a cryptographically strong Z i is obtained. A simple brute force attack simply by estimating monetary amounts Di is therefore practically impossible.
  • Equation (3) is a one-way function, which means that the computation of Z i from C i is easy, since an efficient algorithm exists, whereas the computation of C i from Z i is very difficult, since none is solvable in polynomial time Algorithm exists.
  • equation (3) is homomorphic for addition and subtraction, which means that:
  • the coin data set C i can be divided according to equation (1) into:
  • equation (9) for example, a “dividing” processing or a “dividing” processing step of a coin data set according to FIG. 3 can be checked in a simple manner without the monitoring instance 2 having knowledge of C i , C j , C k .
  • the condition of equation (9) is checked to validate split coin data sets C j and C k and invalidate coin data set C i .
  • Such a division of an electronic coin data set C i is shown in FIG.
  • a ring signature with Cij a j .H + b j . G and C ij -a j .H carried out, it being possible in one embodiment to carry out a ring signature only for certain bits.
  • new electronic coin data sets C i are preferably not output directly to terminals, but rather initially to a server instance of a commercial bank, for example.
  • an electronic coin data set C i is generated by the issuer instance 1 and a masked electronic coin data set Z i is calculated by the issuer instance 1 using equation (3) and this is registered in the monitoring instance 2.
  • the first terminal M1 which can transmit the electronic coin data record C i to a second terminal M2 or one of the processing steps (switching, Connect, split).
  • the transmission takes place wirelessly via WLAN, NFC or Bluetooth, for example.
  • the transmission can be additionally secured by cryptographic encryption methods, for example by negotiating a session key or using a PKI infrastructure.
  • the transmitted electronic coin data set C i is received as C i * in the second terminal M2.
  • the second terminal M2 Upon receipt of the electronic coin data set C i * , the second terminal M2 is in possession of the digital money represented by the electronic coin data set C i *. If both terminals trust each other, no further steps are necessary to end the process. However, the terminal M2 does not know whether the electronic coin data record C i * is actually valid.
  • the terminal M1 could also transmit the electronic coin data record C i to a third terminal (not shown). To prevent this, further preferred steps are provided in the method.
  • the masked, transmitted electronic coin data set Z i * is calculated in the second terminal M2 with the - public - one-way function from equation (3).
  • the masked, transmitted electronic coin data set Z i * is then transmitted to the monitoring instance 2 and searched there. If there is a match with a registered and valid masked electronic coin data set, the validity of the received coin data set C i * is displayed to the second terminal M2 and it applies that the received electronic coin data set C i * is equal to the registered electronic coin data set C i .
  • the received electronic coin data record C i * is still valid, ie that it has not already been used by another processing step or in another transaction and / or was subject to a further change .
  • the electronic coin data record obtained is then preferably switched over.
  • the sole knowledge of a masked electronic coin data set Z i does not entitle the holder to spend the digital money.
  • the sole knowledge of the electronic coin data set C i authorizes payment, ie to successfully carry out a transaction, in particular if the coin data set C i is valid.
  • the masked electronic coin data records Z i are registered in the monitoring instance 2, for example a public decentralized database. This registration first makes it possible to check the validity of the data record, for example whether new monetary amounts have been created (illegally).
  • a main distinguishing feature compared to conventional solutions is that the masked electronic coin data sets Z i are stored in a monitoring layer 4 and all processing of the electronic coin data set Zi is registered there, whereas the actual transfer of the digital money is in a (secret, i.e. one not known to the public ) Direct transaction layer 3 takes place.
  • Table 1 above shows that for each coin data set, each of the processing operations “Create”, “Deactivate”, “Split”, “Connect” and “Switch” different operations “Create signature”; “Create random number”;”CreateMask”; “Area check” can be provided, each of the processing operations being registered in the monitoring instance 2 and appended there in unchangeable form to a list of previous processing operations for masked electronic coin data records Z i .
  • the operations of processing “creating” and “deactivating” an electronic coin data record are only performed in secure locations and / or only by selected entities, for example issuer entity 1, while the operations of all other processing operations can be performed on terminals M1 to M3.
  • the number of operations for the individual processing is marked in table 1 with "0", "1" or "2".
  • the number “0” indicates that the terminal or issuer instance 1 does not have to carry out this operation for this processing of the electronic coin data record.
  • the number “1” indicates that the terminal or the issuing instance 1 has this operation for this processing of the electronic Coin data set must be able to perform once.
  • the number “2” indicates that the terminal or issuer instance 1 must be able to carry out this operation twice for this processing of the electronic coin data record.
  • an area check is carried out by the issuer instance 1 also when creating and / or deleting.
  • Table 2 Number of operations to be carried out per processing of a coin data set in the monitoring instance; Further operations that are not listed here are required; Instead of the listed
  • All operations of table 2 can be carried out in the monitoring instance 2, which as a trustworthy instance, for example as a decentralized server, in particular a distributed trusted server, ensures sufficient integrity of the electronic coin data records.
  • Table 3 shows the components to be preferably installed for the system subscribers in the payment system of FIG. 1:
  • Table 3 shows an overview of the components to be preferably used in each system subscriber, i.e. the issuer instance 1, a terminal M1 and the monitoring instance 2.
  • the terminal M1 can be used as a wallet for electronic coin data records, i.e. be designed as an electronic wallet, i.e. a data memory of the terminal in which a large number of coin data records can be stored and implemented, for example, in the form of an application on a smartphone or IT system of a retailer, a commercial bank or another market participant and an electronic coin data record send or receive.
  • the components in the terminal as shown in Table 3 are implemented as software. It is assumed that the monitoring instance 2 is based on a DLT and is operated by a number of trustworthy market participants.
  • FIG. 2 shows an exemplary embodiment of a monitoring instance 2 from FIG. 1.
  • an exemplary database is shown in the form of a table in which the masked electronic coin data records Zi and possibly - as shown here - their processing are registered. In the simplest embodiment of the database, however, only the currently valid masked coin data sets Zi would be stored.
  • the monitoring instance 2 is preferably arranged locally remotely from the terminals M1 to M3 and is accommodated, for example, in a server architecture.
  • Each processing operation for processing (creating, deactivating, splitting, connecting and switching) is registered in the monitoring instance 2 and appended there in unchangeable form to a list of previous processing operations for masked electronic coin data records Z i .
  • a registration of the respective processing in the monitoring instance 2 is implemented, for example, by corresponding list entries in the database according to FIG. 2.
  • Each list entry has further markings 25 to 28 that document the intermediate results of the respective processing that must be carried out by the monitoring instance 2.
  • the markings 25 to 28 are preferably used as an aid and are discarded by the checking entity after the commands have been completed. What remains then are markings (not shown) about the validity of the (masked) electronic coin data records from columns 22a, 22b, 23a and / or 23b.
  • these markings are, for example, in the status and are set to the status "1" after all tests have been successfully completed and to the status "0" if at least one test has failed.
  • a possible structure for a list entry of a coin data record includes, for example, two columns 22a, 22b for a previous coin data record (Ol, 02), two columns 23a, 23b for a successor coin data record (S1, S2), a signature column 24 for the issuer instance ( en) 1, and four marking columns 25 to 28.
  • Each of the entries in columns 25 to 28 has three alternative states “1” or “0”.
  • Column 25 indicates whether a validity check with regard to an electronic coin data record in column 23a / b was successful, with status “1” meaning that a validity check showed that the electronic coin data record in column 23a / b is valid and the status "0" indicates that a validity check showed that the electronic coin data record in column 23a / b is invalid and the status indicates that a validity check has not yet been completed.
  • Column 26 shows whether a calculation to check the amount neutrality of the masked electronic coin data records of the command was successful. The status "1” means that a calculation was successful and the status "0" indicates that the calculation was not successful and the status indicates that a validity check has not yet been completed.
  • Column 27 shows whether a check of the area evidence or the area evidence was successful, where status "1" means that a validity check showed that the area evidence or the area evidence is or is traceable and the status " 0 “indicates that a validity check showed that the area evidence or the area evidence could not or could not be traced and the status “Indicates that a validity check has not yet been completed, was successful.
  • Column 28 shows the successful verification of the signature. The status "1" means that a validity check showed that the signature could be identified as that of the issuer instance and the status "0” indicates that a validity check showed that the signature could not be identified as that of the issuer instance and the condition indicates that a validity check has not yet been completed.
  • a change in the status of one of the markings requires approval by the monitoring instance 2 and must then be stored in the monitoring instance 2 in an unchangeable manner. Processing is final if and only if the required markings 25 to 28 have been validated by the monitoring entity 2, i.e. have changed from state “0” to state “1” or state “l” after the corresponding test.
  • the monitoring instance 2 searches - in the present variant - for the last change that affects the masked electronic coin data set. It applies that the masked electronic coin data set Z is valid if and only if the masked electronic coin data set Z for its last processing is listed in one of the successor columns 23a, 23b and this last processing has the corresponding final marking 25 to 28. It also applies that the masked electronic coin data set Z is valid if and only if the masked electronic coin data set Z is listed for its last processing in one of the preceding columns 22a, 22b and this last processing failed, i.e. at least one of the correspondingly requested States of the markings 25 to 28 is set to "0".
  • the masked electronic coin data set Z is not valid for all other cases, for example if the masked electronic coin data set Z is not found in the monitoring instance 2; or if the last processing of the masked electronic coin data set Z is listed in one of the successor columns 23a, 23b, but this last processing never became final; or if the last processing of the masked electronic coin data set Z is in one of the preceding columns 22a, 22b and this last processing is final.
  • the checks by the monitoring entity 2 to check whether processing is final are shown in columns 25 to 28:
  • the status in column 25 indicates whether the masked electronic coin data record (s) according to previous columns 22a, 22b are valid are.
  • the status in column 26 indicates whether the calculation for amount neutrality, for example according to equation (10), is correct.
  • the status in column 27 indicates whether the Proofs of area for the masked electronic coin data records Z could be successfully checked.
  • the status in column 28 indicates whether the signature in column 24 of the masked electronic coin data record Z is a valid signature of the issuer instance 1.
  • the status "0" in a column 25 to 28 indicates that the test was not successful.
  • the status "1" in a column 25 to 28 indicates that the test was successful.
  • the status in a column 25 to 28 indicates that no test has taken place.
  • the states can also have a different value as long as it is possible to clearly differentiate between success / failure of a test and it is clear whether a certain test was carried out.
  • Processing is, for example, “generating” an electronic coin data record C i .
  • the generation in the direct transaction layer 3 by the issuer instance 1 includes the selection of a monetary amount t> i and the creation of a concealment amount n, as has already been described with equation (1).
  • no entries / markings in columns 22a, 22b, 23b and 25 to 27 are required during the “create” processing.
  • the masked electronic coin data set Z i is registered in the successor column 23a. This registration is preferably carried out before the transmission to a terminal M1 to M3, in particular or already during generation by the issuing entity 1, equation (3) having to be carried out for this in both cases.
  • the masked electronic coin dataset Z i is signed by the issuer instance 1 when it is created; this signature is entered in column 24 to ensure that the electronic coin dataset C i was actually created by an issuer instance 1, although other methods are also possible. If the signature of a received Z i matches the signature in column 24, the marking is set in column 28 (from “0” to “1”). The markings according to columns 25 to 27 do not require a status change and can be ignored. The proof of area is not required, since the monitoring instance 2 trusts that the issuing instance 1 does not issue any negative monetary amounts. In an alternative embodiment, however, it can be sent by the issuer instance 1 in the create command and checked by the monitoring instance 2.
  • Processing is, for example, “deactivate”.
  • Deactivating i.e. destroying money, causes the masked electronic coin data set Z; becomes invalid after the issuer instance 1 has successfully executed the deactivate command.
  • the (masked) electronic coin data record to be deactivated can therefore be found in the monitoring layer 4 no longer process.
  • the corresponding (unmasked) electronic coin data records C i should also be deactivated in the direct transaction layer 3.
  • the preceding column 22a is written with the electronic coin data set Z i , but no subsequent column 23a, 23b is used.
  • the masked electronic coin data set Z i When deactivated, the masked electronic coin data set Z i must be checked to see whether the signature matches the signature according to column 24 in order to ensure that the electronic coin data set C i was actually created by an issuer instance 1, with other means being used for this check can. If the signed Z i , which is also sent in the deactivation command, can be confirmed as signed by the issuing instance 1, the marker 28 is set (from “0” to “1”). The markings according to columns 26 to 27 do not require a status change and can be ignored. The markings according to columns 25 and 28 are set after appropriate testing.
  • One processing is, for example, “splitting”.
  • the division that is, the splitting of an electronic coin data set Z i into two electronic coin part data sets Z j and Z k is initially carried out in the direct transaction layer 3, as shown in FIG. 3, with the monetary amounts U j and the concealment amount r j being generated will.
  • V k and r k result from equations (7) and (8).
  • the markings 25 to 27 are set, the previous column 22a is written with the electronic coin data set Z i , the next column 23a is written with Z j and the next column 23b is written with Zk.
  • the status changes required according to columns 25 to 27 are carried out after the corresponding check by the monitoring instance 2 and document the respective check result.
  • the marking according to column 28 is ignored.
  • One processing is, for example, “Connect”.
  • the connection i.e. the merging of two electronic coin data sets Z i and Z j to form one electronic coin data set Z m, is initially carried out in the direct transaction layer 3, as shown in FIG. 4, the monetary amount u m and the concealment amount r m being calculated will.
  • the markings 25 to 27 are set in the monitoring instance 2, the preceding column 22a is written with the electronic coin data set Z i , the preceding column 22b is written with Z j and the succeeding column 23b is written with Z m .
  • the markings in columns 25 to 27 require status changes and monitoring instance 2 carries out the corresponding checks. Proof of area must be provided to show that no new money has been generated.
  • the marking according to column 28 is ignored.
  • One processing is, for example, “toggle”.
  • Switching is necessary if an electronic coin data record has been transmitted to another terminal and a renewed issue by the transmitting terminal (here M1) is to be excluded.
  • the electronic coin data record C k received from the first terminal M1 is exchanged for a new electronic coin data record C 1 with the same monetary amount.
  • the new electronic coin data record C 1 is generated by the second terminal M2. This switching is necessary in order to invalidate (invalidate) the electronic coin data set C k received from the first terminal M1, which prevents the same electronic coin data set C k from being output again.
  • the first terminal M1 can forward this electronic coin data record C k to a third terminal M3, since the first terminal M1 is aware of the electronic coin data record C k .
  • Switching takes place, for example, by adding a new concealment amount r add to the concealment amount r k of the electronic coin data record C k obtained , as a result of which a concealment amount n is obtained which only the second terminal M2 knows. This can also take place in the monitoring instance 2.
  • FIG. 3 an embodiment of a payment system according to the invention for splitting and switching of electronic coin data sets is shown.
  • the first terminal M1 has received the coin data record C i and would now like to carry out a payment transaction not with the entire monetary amount u i , but only with a part V k thereof.
  • Each of the received amounts u j , u k must be greater than 0, because negative monetary amounts are not permitted.
  • the masked coin data sets Z j and Z k are then obtained from the coin data sets C j and C k according to equation (3) and registered in the monitoring instance 2.
  • the preceding column 22a is described with the coin data set Z i , the subsequent column 23 a with Z j and the subsequent column 23b with Z k .
  • the markings in columns 25 to 27 require a status change and monitoring instance 2 carries out the corresponding
  • a coin data set here C k
  • C k a coin data set
  • a switchover operation is useful in order to exchange the electronic coin data record C k received from the first terminal M1 for a new electronic coin data record C 1 with the same monetary amount.
  • the new electronic coin data set Q is generated by the second terminal M2.
  • the monetary amount of the coin data record C 1 is adopted and not changed, see equation (11).
  • FIG. 4 shows an embodiment of a payment system according to the invention for connecting electronic coin data records.
  • the two coin data sets C i and C j are received in the second terminal M2. Based on the division according to FIG. 3, a new coin data set Z m is now obtained in that both the monetary amounts and the concealment amount of the two coin data sets C i and C j are added. Then the received coin data set C m to be connected is masked and the masked coin data set Z m is registered in the monitoring instance.
  • FIGS. 3 and 4 the variant of a database of the monitoring instance 2 is again shown, which contains a list of processing operations of the masked coin data records.
  • Other variants of a database for example masked coin data records with status or only valid masked coin data records, can also be used - as already mentioned in connection with FIG. 2.
  • FIGS. 5 to 7 are each an exemplary embodiment of a process flow diagram of a method 100 according to the invention. Both FIGS. 5 and 6 are explained together below.
  • Steps 101 to 104 are optional for the further method and are described using the example of the terminal M1.
  • a coin data record is requested and provided by the issuer instance 1 to the first terminal M1 after the electronic coin data record has been created.
  • a signed, masked electronic coin data record is sent to the monitoring instance 2 in step 103.
  • the electronic coin data set C i obtained is masked in accordance with equation (3) and as explained in FIG. 1.
  • the masked electronic coin data set Z i is registered in the monitoring instance 2. It could be provided that masked electronic coin data records are only valid in the monitoring instance when they are registered by a subscriber, such as a terminal or server. Alternatively, as explained in relation to FIG.
  • the masked electronic coin data set Zi can already be registered in the monitoring instance 2 as a valid masked electronic coin data set after step 102.
  • the terminal M1 can switch the received electronic coin data record with step 104, as will be described in more detail in step 108.
  • step 105 the coin data record C i is transmitted in the direct transaction layer 3 to the second terminal M2.
  • step 106 and 107 an is done Validation check with previous masking, in which, if the case is good, the monitoring instance 2 confirms the validity of the coin data set Z or C i .
  • a received coin data record C k is switched over (the received coin data record C i could of course also be switched over) to a new coin data record C 1 , whereby the coin data record C k becomes invalid and double dispensing is prevented.
  • the monetary amount V k of the transferred coin data set C k is used as the “new” monetary amount u l .
  • the concealment amount n is created. The additional concealment amount r add is used to prove that no new money (in the form of a higher monetary amount) was generated by the second terminal M2. Then, among other things, the masked coin data set Z 1 to be switched is sent to the monitoring instance 2 and the switch from C k to C 1 is instructed.
  • step 108 ' the corresponding check takes place in the monitoring instance 2.
  • Z k is entered in column 22a according to the table in FIG. 2 and the coin data set Z 1 to be rewritten is entered in column 23b.
  • a check then takes place in the monitoring instance 2 as to whether Z k is (still) valid, i.e. whether the last processing of Z k is entered in one of the columns 23a / b (as proof that Z k is not further divided or deactivated or connected) and whether a check for the last processing failed.
  • Z 1 is entered in column 23b and the markings in columns 25, 26, 27 are initially set to “0”.
  • a test is now carried out to determine whether Z 1 is valid, the test according to equations (16) and (17) being able to be used. If the case is good, the marking in column 25 is set to “1”, otherwise to “0”. A check now takes place, the calculation according to equation (10) shows that Z k and Z 1 are valid and the marking in column 26 is set accordingly. It is also checked whether the areas are conclusive, then the marking in column 27 is set. If all three checks were successful, and this was accordingly fixed in the monitoring instance 2, the coin data set is considered to be switched. In other words, the coin data set C k is no longer valid and the coin data set C 1 is valid immediately. A double dispensing is no longer possible if a third terminal M3 asks the monitoring instance 2 about the validity of the (doubly dispensed) coin data record.
  • the electronic coin data records C i created by the issuer instance are transmitted (issued) to an instance (such as server, computer ...) of a commercial bank.
  • the (server) instance of the commercial bank provides the electronic coin data records for end devices.
  • the terminal M1 requests and then receives in steps 101 and 102 the electronic coin data record from the entity of the commercial bank. In particular if the terminal M1 has the electronic If the coin data set C i is requested and received from a server of a commercial bank, switching already in step 104 makes sense.
  • step 109 two coin data sets C k and C i are combined to form a new coin data set C m , as a result of which the coin data sets C k , G become invalid and double dispensing is prevented.
  • the monetary amount u m is formed from the two monetary amounts u k and u i .
  • the concealment amount r m is formed from the two concealment amounts r k and n.
  • the masked coin data set to be connected is obtained by means of equation (3) and this (together with other information) is sent to the monitoring instance 2 and the connection is requested as processing.
  • step 109 ' the corresponding check takes place in the monitoring instance 2.
  • Z m is entered in column 23b according to the table in FIG.
  • the monitoring instance 2 checks whether Z k and Z i are (still) valid, i.e. whether the last processing of Z k or Z i is entered in one of columns 23a / b (as evidence that Z k and Z i have not been further split or deactivated or connected) and whether a check for the last processing failed.
  • the markings in columns 25, 26, 27 are initially set to "0".
  • a check now takes place as to whether Z m is valid, in which case the check according to equations (16) and (17) can be used. If the case is good, the marking in column 25 is set to “1”, otherwise to “0”.
  • a check is now carried out, the calculation according to equation (10) shows that Z i plus Z k is equal to Z m and the marking in column 26 is set accordingly. It is also checked whether the areas are conclusive, then the marking in column 27 is set.
  • a coin data set C i is divided into two coin part data sets C k and C j , whereby the coin data set C i is made invalid and the two divided coin part data sets are to be made valid.
  • the monetary amount u i is divided into the two monetary amounts u k and u j .
  • the concealment amount r divided into the two concealment amounts r k and h.
  • the masked partial coin data sets Z k and Z j are obtained by means of equation (3) and these are sent with further information, for example the area checks, to the monitoring instance 2 and the division is requested as processing.
  • step 110 ′ the corresponding check takes place in the monitoring instance 2.
  • Z j and Z k are entered in columns 23a / b according to the table in FIG.
  • the monitoring instance 2 checks whether Zj is (still) valid, i.e. whether the last processing of Z i is entered in one of the columns 23a / b (as evidence that Z i is not further divided or deactivated or connected was) and whether a check for the last processing failed.
  • the markings in columns 25, 26, 27 are initially set to "0".
  • a check now takes place as to whether Z j and Z k are valid, in which case the check according to equations (16) and (17) can be used. If the case is good, the marking in column 25 is set to "1".
  • a check is now carried out, the calculation according to equation (10) shows that Z i is equal to Z k plus Z j and the marking in column 26 is set accordingly. It is also checked whether the areas are conclusive, then the marking in column 27 is set.
  • the device M1 can store electronic coin data sets C i in a data memory 10, 10 '.
  • the electronic coin data sets C can be on the data memory 10 of the device M1 or be available in an external data memory 10 '.
  • the electronic coin data sets C i could be stored in an online memory, for example a data memory 10' from a provider for digital purses.
  • private data storage media for example network-attached storage, NAS could also be used in a private network.
  • the electronic coin record C i is shown as a printout on paper.
  • the electronic coin data record can be represented by a QR code, an image of a QR code, or else a file or a character string (ASCII).
  • the device M1 has at least one interface 12 available as a communication channel for outputting the coin data set C i .
  • This interface 12 is, for example, an optical interface, for example for displaying the coin data set C i on a display unit (display), or a printer for printing out the electronic coin data set C i as a paper printout.
  • This interface 12 can also be a digital communication interface, for example for near-field communication, such as NFC, Bluetooth, or an Internet-compatible interface, such as TCP, IP, UDP, HTTP or access to a chip card as
  • This interface 12 is, for example, a data interface so that the coin data record C i is transmitted between devices via an application, for example an instant messenger service or as a file or as a character string.
  • the interface 12 or a further interface (not shown) of the device M1 is set up to interact with the monitoring instance 2 in accordance with the description in FIGS. 1 to 6.
  • the device M1 is preferably online capable for this purpose.
  • the device M1 can also have an interface for receiving electronic coin data records. This interface is presented visually
  • Coin data sets for example using a detection module such as a camera or scanner, or digitally presented coin data sets, received via NFC, Bluetooth, TCP, IP, UDP, HTTP or to receive coin data sets presented by means of an application.
  • a detection module such as a camera or scanner
  • digitally presented coin data sets received via NFC, Bluetooth, TCP, IP, UDP, HTTP or to receive coin data sets presented by means of an application.
  • the device M1 also includes a computing unit 13 which can carry out the above-described method for masking coin data sets and the processing on coin data sets.
  • the device M1 is online-capable and can preferably recognize by means of a location recognition module 15 when it is connected to a WLAN.
  • the location recognition module 15 recognizes when the device M1 is in predefined GPS coordinates including a defined radius and carries out the special functions according to the location zone thus defined. This location zone can either be introduced manually into the device M1 or into the device M1 via other units / modules.
  • the special functions that the device M1 performs when the location zone is recognized are in particular the transmission of electronic coin data sets from / to the external data memory 10 from / to a safe module 14 and, if necessary, the transmission of masked coin data sets Z to the monitoring instance 2, for example within the framework of the above Processing of a coin data record.
  • all coin data records C i are automatically linked to form a coin data record in the terminal M1 after receipt (see linking processing or linking step). That is, as soon as a new electronic coin data set is received, a connect or switch command is sent to the monitoring instance 2.
  • the device M1 can also prepare electronic coin data records in algorithmically determined denominations and hold them in the data memory 10, 10 'so that a payment process is possible even without a data connection to the monitoring instance 2.
  • FIG. 9 shows an exemplary embodiment of a method flow diagram of a method 200 according to the invention.
  • the coin data sets C i are managed in the device M1 as follows.
  • the device M1 can, as described above, recognize a predefined location zone by means of the location detection module 15, step 201. In this location zone, the terminal M1 can then automatically set a predefined threshold value, i.e. a fixed limit X, of monetary amounts u i in the form of electronic Load or unload coin data sets C i .
  • a predefined threshold value i.e. a fixed limit X
  • the device M1 is personalized.
  • bank details (bank account data) or a safe module and the threshold value X are specified via an interface. The user may have to authenticate himself on the bank account or a safe module in order to receive monetary amounts from To debit the bank account by direct debit or to transfer it to the bank account or to receive coin data records from the safe module or to send them to the safe module.
  • the aim of the method 200 is to always have the threshold value X available in the device as a monetary amount - in a single (connected) electronic coin data record or in all electronic coin data records.
  • the second coin (partial) data set C is returned to the issuer instance in step 204.
  • the issuing instance credits the monetary amount M to the user's bank account; this can be done for example by means of a credit or a transfer. If an electronic coin data record with (exactly or approximately) the monetary amount M is already present in the device, step 203 can be omitted and this coin data record can be returned 204 directly.
  • a transfer is triggered with which a difference between the monetary amount Y and the threshold value X (for a monetary amount) is credited to the prepersonalized bank account.
  • the connected coin C i is split (splitting step) and the correspondingly masked coin part data records are sent to the monitoring instance 2 in order to send the credited coin part data record (YX) to the safe module or the transferring party.
  • a coin data record C i with a monetary amount less than the threshold value X is contained in the device M1 (for example, if payment was made with an amount XY)
  • the device M1 requests a direct debit in step 205 , with which a difference between the threshold value X and the monetary amount Y of the stored coin data set C i is withdrawn from the bank account.
  • the device M1 receives a new coin data set from the issuer instance 1 in step 205, see creating step, as described above.
  • a denomination default can also be present.
  • the denomination specification defines how many electronic coin data sets with which denomination (i.e.
  • the sequence of the method 200 can essentially be analogous. Simplified, either missing electronic coin data records are requested and received or excess electronic coin data records are returned. In an optional preliminary step, electronic coin data records can be generated according to the denomination specification by splitting and combining.
  • step 301 Access to a safe module 14 of the device M1 is provided.
  • step 301 the amount Y-X is written into the safe module 14 in step 302. If yes in step 301, the amount Y-X is loaded from the safe module 14 in step 303. For this purpose, the user must be authenticated.
  • the safe module 14 is a data memory which can be accessed after additional successful authentication.
  • This safe module 14 can either be in the device M1, e.g. an area that is protected by additional security functions, or the safe module 14 is external to the device M1, for example on the server of a trustworthy third party that offers the safe module function.
  • the safe module 14 can process coin data records and have them registered with the monitoring instance 2.
  • FIG. 10 shows a further exemplary embodiment of a method flow diagram of a method 400 according to the invention.
  • the device M1 has a data memory 10 and a safe module 14. Another device M2 requests payment of an amount Y in step 401.
  • Device M1 recognizes in step 402 that it does not have the amount Y in the data memory 10 because it is greater than the predefined threshold value X. M1 therefore requests the amount YX (or Y) fully automatically from the safe module 14 in step 403. If the amount YX (or Y) is present in the safe module 14 (not shown here), this is transferred from the device M1 to the device M2, either with the previous transfer of the amount from the safe module 14 to the device M1 or by direct transmission from the safe module 14 to the other device M2. In addition to the coin data record of the safe module with the monetary amount Y-X, the device M1 will transmit the coin data record with the amount X.
  • the safe module 14 does not have the amount YX (or Y) in stock.
  • the amount X in the safe module 14 is therefore less than the requested amount YX (or Y). Therefore, in step 404, the safe module asks the issuer 1 or (not shown) another liquidity provider for a coin data record C with the monetary difference YX.
  • the Issuer instance 1 generates a corresponding coin data set C with the difference amount YX in step 405 and transmits this to the safe module 14 in step 406.
  • the signed, masked electronic coin data set is sent to the monitoring instance 2, see step 407 (see also FIGS. 1 to 7 for Details).
  • the issuer instance preferably keeps a large number of already generated and registered coin data records ready, so that step 407 and the generation are omitted.
  • the liquidity provider processes the request for an electronic coin data record of the monetary value YX (not shown in FIG. 10). The following steps are carried out: after a splitting step, registration in the monitoring instance 2 in order to generate an electronic coin data record of the required monetary value; and sending the requested electronic coin data record to the safe module 14.
  • the safe module 14 combines the coin data record X with the coin data record YX in order to obtain the amount Y as a new coin data record, see step 408 (see also FIGS. 1 to 7 for details).
  • the connected coin data set Y is transmitted to the other device M2 in step 409, either directly from the safe module 14 or via the device M1.
  • the flow diagram in FIG. 10 above the dashed line also corresponds, for example, to method steps 202, 203, 204 or 301, 302 and 303 of FIG. 9.
  • the flowchart in FIG. 10 below the dashed line also corresponds, for example, to method steps 202, 205, 206 or 301, 303 and 304 of FIG. 9.
  • Another device M2 transmits the payment of an amount Y in step 410 to device M1.
  • the device M1 detects in step 411 that the amount Y exceeds the threshold value X.
  • the device M1 therefore initiates the transfer of the corresponding surplus, here the transfer of the monetary amount XY in step 412.
  • the safe module 14 initiates the transfer to the banking institute 1 fully automatically in step 413 (in FIG. 10 the banking institute is also the issuing instance 1; the idea of the invention is not limited to this).
  • a splitting step is carried out by the safe module 14 and registered in the monitoring instance 2, see step 414 (see also FIGS. 1 to 7 for details).
  • the step of splitting 414 can take place in parallel or before the step of transferring 413.
  • a return or the transfer of the split coin data record to the issuer can trigger the transfer.
  • FIG. 11 shows a further exemplary embodiment of a method flow diagram of a method 500 according to the invention.
  • the device M1 has a data memory 10 for electronic coin data sets C i .
  • a part of this memory 10 can be synchronized with other devices M3 by an application 5 that is installed and operational on each of the terminals M1, M3, see step 501. This means that different users of these synchronized devices M1, M3 have simultaneous access to the electronic Coin data sets C i . They share the electronic coin data sets C i , which are stored in this part of the data memory 10.
  • identification data of the devices M1, M3 to be synchronized are also stored in the common part of the data memory 10.
  • Each device M1, M3 has this application 5 for synchronization - a shared digital wallet, so to speak.
  • This application 5 ensures that information is communicated to the devices M1, M3.
  • the application 5 is also in communication with the monitoring instance 2, see step 502.
  • the application 5 then synchronizes the devices M1, M3 again in step 505.
  • FIG. 12 shows an embodiment of a device M1 according to the invention in communication with another device M2 for transmitting monetary amounts in the form of coin data records.
  • the other device M2 represents, for example, a machine that can receive and send electronic coin data sets C i directly. It can also calculate masked electronic coin data sets, i.e. carry out a masking step for electronic coin data sets.
  • the other device M2 can communicate with a monitoring instance 2 (not shown).
  • the other device M2 is, for example, a self-service terminal - similar to an ATM - or is an operating system, such as a cash register system, consisting of several components.
  • the other device M2 has, for example, a card reader in order to be able to read out security elements (chip cards, eUICC), whereby a user can be identified beyond doubt.
  • the other device M2 has a keyboard, for example.
  • the other device has, for example, an interface 12 for outputting coin data records that the interface 12 or the interfaces of the device M1 can completely correspond. Reference is therefore made at this point to any information on the device M1.
  • the interface 12 of the other device M2 is the output interface for optoelectronically detectable coin data sets, for example a screen or a monitor; or a digital (protocol or data) interface, such as NFC, Bluetooth, TCP, IP, UDP, HTTP, or an interface for transferring data sets by means of an application such as a text file, ASCII character string, instant messenger service or in accordance with a wallet application 5.
  • a digital (protocol or data) interface such as NFC, Bluetooth, TCP, IP, UDP, HTTP, or an interface for transferring data sets by means of an application such as a text file, ASCII character string, instant messenger service or in accordance with a wallet application 5.
  • the other device M2 has one or more interfaces for receiving coin data sets that correspond to the corresponding interface (s) of the device M1, for example an optical interface 11 (scanner or camera) or a digital interface, possibly combined with the digital interface for outputting coin data sets C i .
  • an optical interface 11 scanner or camera
  • a digital interface possibly combined with the digital interface for outputting coin data sets C i .
  • the other device M2 has one or more interfaces for communicating with the monitoring entity 2, for example for transmitting masked coin data sets Z i .
  • the device M2 has, for example, an input and / or output module 16 for bank notes and / or a random number generator or an interface for receiving a random number.
  • a checkout module 17 of the other device M2 is available, for example, for access to an account system of one (or more) commercial banks, whereby a user is also guaranteed access to his / her bank account.
  • a cryptographic key for signing a deactivation processing is also optionally available in the other device M2.
  • the other device M2 also has a data memory 10 or means for accessing an external data memory 10 '. The device M2 obtains valid electronic coin data sets C i either from the data memory 10 or via the interface to an operator of the machine who manages the electronic coin data set C i in an external data memory 10 'or via an exchange.
  • the user of the device M1 can receive the change as a combination of bank notes and electronic coin data records C i .
  • the checkout module 17 of the other device M2 informs the computing unit 13 of the other device M2 how much change is to be paid as an electronic coin data record C i .
  • the Computing unit 13 of the other device M2 carries out a dividing step and informs the monitoring instance 2 accordingly for registering the divided partial coin data sets.
  • the device M1 can confirm to the user, for example by vibrating or an optical signal, that the second part of the change has been received as an electronic coin data record C i .
  • the user of the device M1 receives part of the change as bank notes from the other device M2, rounded up to the next denomination.
  • the device M1 then transmits “negative” change in the form of one or more electronic coin data records / records C i to the other device M2.
  • This electronic coin data record (s) C i can be output electronically or as a printout.
  • the user has an invoice for € 12.28 and pays with a € 20 banknote.
  • the device M1 transfers a monetary amount of € 2.28 as “negative change” to the device M2 in the form of an electronic coin data record C i .
  • the checkout module 17 of the other device M2 communicates with the computing unit 13 of the other device M2 how much monetary amount u must be demanded from the device M1 in the form of an electronic coin data record C i .
  • the request is received in device M1.
  • the negative change is received in the other device M2 by means of a split command and the associated registration with the monitoring instance 2.
  • the device M2 executes a toggle command.
  • the device M1 can display a transaction confirmation to the user by, for example, vibrating or an optical signal.
  • FIG. 13 shows a further exemplary embodiment of a method flow diagram of a method 600 according to the invention.
  • a method for dispensing cash at another device M2 is shown above the dashed line.
  • the other device M2 necessarily has an output compartment 16 for cash and can generate or obtain concealment amounts, that is to say random numbers r.
  • the device M1 has an electronic coin data record C i and would like to convert this into cash in step 601. To this end, the user of the device M1 selects the “dispense cash” function on the other device M2, if it is a self-service terminal.
  • the device M1 transmits the electronic coin data set O to the device M2 in step 602.
  • the other device M2 receives the electronic coin data set C i .
  • the other device M2 generates a new entropy factor, here random number r j , and uses it to form a new electronic coin data set C j as part of a switching step according to step 603, as described in detail in FIGS. 1 to 7.
  • the other device M2 calculates the maskings Z; and Z j from f (C i ) and f (C j ) and switches the electronic coin data set C i to Cj, with the masked coin data sets Z i and Z j are sent to the monitoring instance 2, see step 604. If the monitoring instance 2 does not carry out the switchover (for example, because a check required for the switchover has failed, see above), the other device M2 rejects the request from the user of the device M1 (not shown here). If the monitoring instance 2 can register the switchover (tests successful), in step 605 the electronic coin data record C j is rewritten to the other device M2 and C i becomes invalid. In step 606, the monitoring instance 2 confirms the switchover.
  • the other device M2 then outputs the monetary amount as cash, see step 607.
  • the electronic coin data record C j is stored locally in the other device M2 or sent to the operator of the device M2.
  • the other device M2 (if authorized to do so) can register a deactivation step in the monitoring instance 2 via the masked electronic coin data set Z i .
  • This method 600 of issuing cash can be combined with the issuing of change described in FIG. 12, so that the other device M2 issues part of the monetary amount u as banknotes from the banknote module 16 (either rounded up or down to the next denomination) and the remaining part as electronic coin data record C. This would save the device M1 a dividing step.
  • a method for withdrawing electronic coin data sets C i from a bank account is shown below the dashed line in FIG.
  • cash is deposited into the other device M2 via a bank note module 16 (step 608) or the value for C j is simply requested (step 609).
  • the other device M2 allows the user of the device M1 access to his / her bank account at the banking institute 1 (at the same time also the issuing instance, which is not intended to restrict the concept of the invention).
  • the user of the device M1 selects the function “withdraw electronic coin data record” on the device M2 and uses his / her security element (bank card, eUICC) or the like. for authentication and / or identification. In this way, transfer, direct debit, credit card transactions, etc. be made. In this case, in step 610, the funds in the bank account of the user of the first device M1 are queried and, if necessary, confirmed.
  • bank card e.g., eUICC
  • the device M2 obtains an electronic coin data record C i from the issuer instance 1 (see FIGS. 1 to 7 for details).
  • the issuer instance 1 can in particular create the coin data set or, for example (as a commercial bank), can hold ready coin data sets created by a further instance (central bank).
  • an electronic coin data record C i is generated in the requested value of the transaction, with the desired monetary value u and a random number being linked as a concealment amount r (generated by a random number generator).
  • One signed Masked electronic coin data record with the signature of this device M2 (or the issuer instance 1) is transmitted to the monitoring instance 2 in step 611.
  • step 612 it transmits (optically, electronically) the generated electronic coin data set C i to the device M1.
  • u u Monetary amount of a switchable / switched electr.
  • Coin data record u m monetary amount of an electr.
  • Coin data set n Concealment amount random number

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Finance (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Cash Registers Or Receiving Machines (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)

Abstract

Die Erfindung betrifft ein Gerät zum direkten Übertragen von elektronischen Münzdatensätzen an ein anderes Gerät. Das Gerät umfasst Mittel zum Zugreifen auf einen Datenspeicher, wobei im Datenspeicher zumindest ein elektronischer Münzdatensatz abgelegt ist; eine Schnittstelle zumindest zum Ausgaben des zumindest einen elektronischen Münzdatensatzes an das andere Gerät; und eine Recheneinheit, die zum Maskieren des elektronischen Münzdatensatzes im Gerät durch Anwenden einer homomorphen Einwegfunktion auf den elektronischen Münzdatensatz zum Erhalten eines maskierten elektronischen Münzdatensatzes zum Registrieren des maskierten elektronischen Münzdatensatzes in einer Überwachungsinstanz; und zum Ausgeben des elektronischen Münzdatensatzes mittels der Schnittstelle eingerichtet ist, wobei der zumindest eine elektronische Münzdatensatz wie zuvor beschrieben aufgebaut ist, also einen monetären Betrag und einen Verschleierungsbetrag aufweist. Die Erfindung betrifft zudem ein Bezahlsystem mit einer Überwachungsschicht mit einer Datenbank in der maskierte elektronische Münzdatensätze abgelegt sind; und einer Direkttransaktionsschicht mit zumindest zwei Geräten, in welcher das Verfahren durchführbar.

Description

GERÄT ZUM DIREKTEN ÜBERTRAGEN VON ELEKTRONISCHEN MÜNZDATENSÄTZEN AN EIN ANDERES GERÄT SOWIE BEZAHLSYSTEM
TECHNISCHES GEBIET DER ERFINDUNG
Die Erfindung betrifft ein Gerät zum direkten Übertragen von elektronischen Münzdatensätzen an ein anderes Gerät. Weiter betrifft die Erfindung ein Bezahlsystem zum Austauschen von monetären Beträgen.
TECHNISCHER HINTERGRUND DER ERFINDUNG
Sicherheit von Bezahltransaktionen und den dazugehörigen Bezahltransaktionsdaten bedeutet sowohl Schutz der Vertraulichkeit der ausgetauschten Daten; als auch Schutz der Integrität der ausgetauschten Daten; als auch Schutz der Verfügbarkeit der ausgetauschten Daten.
Herkömmliche Blockchain-basierte Bezahltransaktionen, wie beispielsweise Bitcoin, stellen einen hohen Schutz der Integrität dar. Wenn elektronische Münzdatensätze, auch„Coins“ genannt, in einer Blockchain-Technologie den Besitzer wechseln, werden viele Informationen veröffentlicht. Somit sind derartige Bezahltransaktionen und insbesondere die ausgetauschten Daten nicht vollkommen vertraulich. Zudem sind die Bezahltransaktionen sehr rechenintensiv und damit energieaufwendig.
Daher werden herkömmlich oft anstelle der vertraulichen Daten nur die Hash-Werte der vertraulichen Daten in einem Blockchain-Ledger abgespeichert. Die korrespondierenden Klartext-Daten müssen dann außerhalb der Blockchain verwaltet werden. Für elektronische Münzdatensätze sind solche Konzepte bislang nicht anwendbar, weil sie grundlegende Kontrollfunktionen, insbesondere (1) das Erkennen von Mehrfachausgabe- Verfahren, auch Double- Spending, genannt und (2) das Erkennen von ungedeckten Zahlungen nicht aufweisen. Im Fall (1) versucht jemand denselben Münzdatensatz mehrfach auszugeben und im zweiten Fall versucht jemand einen Münzdatensatz auszugeben, obwohl er kein Guthaben (mehr) besitzt.
Aus der DE 10 2009 038 645 Al und der DE 10 2009 034 436 Al sind Systeme zum Übertragen von geldwerten Beträgen in Form elektronischer Datensätze, bei denen ein Bezahlen mit Duplikaten des Datensatzes verhindert und ein hoher Grad an Manipulationssicherheit gegeben ist, bekannt, wobei hier komplexe Strukturen und aufwendige Verschlüsselungs- und Signiervorgänge beim Austausch erforderlich sind. Die haben sich als wenig praxistauglich herausgestellt.
In der WO 2016/200885 Al ist ein Verfahren zur Verschlüsselung eines in einem Blockchain- Ledger getätigten Betrags beschrieben, wobei die Verifizierbarkeit der Transaktion erhalten bleibt. Dabei wird ein Verschleierungsbetrag zu einem Eingangswert addiert. Dann wird ein Ausgangswert erzeugt und verschlüsselt. Sowohl der Eingangswert als auch der Ausgangswert liegen innerhalb eines Wertehereichs, wobei eine Summe von zwei beliebigen Werten innerhalb des Bereichs einen Schwellenwert nicht überschreitet. Die Summe aus dem verschlüsselten Eingangswert und dem verschlüsselten Ausgangswert kann gleich Null sein. Bereichsprüfungen, sogenannte Range-Proofs, sind jedem der Eingangswerte und dem Ausgangswert zugeordnet. Diese Bereichsprüfungen beweisen, dass der Eingangswert und der Ausgangswert in den Wertebereich fallen. Jeder öffentliche Schlüssel kann mit einer Ringsignatur signiert werden, die auf einem öffentlichen Schlüssel eines Empfängers in der Transaktion basiert. In diesem Verfahren ist eine Blockchain-Technologie notwendig, die nach Erhalt eines Münzdatensatzes angerufen werden muss, um den Münzdatensatz zu validieren.
Es ist Aufgabe der vorliegenden Erfindung, ein Verfahren und ein System zu schaffen, in denen eine Bezahltransaktion sicher aber dennoch einfach ausgestaltet ist. Dabei soll insbesondere eine direkte Bezahlung zwischen Geräten, wie Token, Smartphones aber auch Maschinen, wie Kassenterminals oder Automaten, geschaffen werden, die anonym ist. Die Münzdatensätze sollen nach dem Erhalt sofort weiterverwendet werden können, beispielsweise um eine Bezahlung auch ohne Netzverbindung zu ermöglichen. Mehrere Münzdatensätze sollen beim Benutzer beliebig miteinander kombiniert und/oder aufgeteilt werden können, um ein flexibles Austauschen zu ermöglichen. Die ausgetauschten Münzdatensätze sollen einerseits vertraulich gegenüber anderen Systemteilnehmem sein, aber andererseits jedem Systemteilnehmer erlauben, grundlegende Prüfungen durchzufuhren, insbesondere das Erkennen von Mehrfach- Ausgabe- Versuchen und das Erkennen von Versuchen mit nicht vorhandenen Beträgen zu zahlen.
ZUSAMMENFASSUNG DER ERFINDUNG
Die gestellten Aufgaben werden mit den Merkmalen der unabhängigen Patentansprüche gelöst. Weitere vorteilhafte Ausgestaltungen sind in den abhängigen Patentansprüchen beschrieben.
Die Aufgabe wird insbesondere durch ein Verfahren zum direkten Übertragen von elektronischen Münzdatensätzen zwischen Endgeräten gelöst, wobei ein ersten Endgerät zu ein zweites Endgerät, wobei das erste Endgerät zumindest einen elektronischen Münzdatensatz aufweist, weist die folgenden Schritte auf:
Übertragen des elektronischen Münzdatensatzes vom ersten Endgerät an ein zweites Endgerät, wobei der zumindest eine elektronische Münzdatensatz mindestens einen monetären Betrag und einen Verschleierungsbetrag aufweist;
Empfangen des elektronischen Münzdatensatzes vom ersten Endgerät als ein übertragener elektronischer Münzdatensatz im zweiten Endgerät; und
Erzeugen eines weiteren elektronischen Münzdatensatzes unter Verwendung des übertragenen elektronischen Münzdatensatzes. Das Erzeugen des weiteren elektronischen Münzdatensatzes erfolgt vorzugsweise durch
- Umschalten des übertragenen elektronischen Münzdatensatzes zu dem weiteren elektronischen Münzdatensatz, nämlich umzuschaltenden elektronischen Münzdatensatz; und/ oder
- Aufteilen des übertragenen elektronischen Münzdatensatzes zu zumindest zwei weiteren elektronischen Münzteildatensätzen; und/ oder
- Verbinden des übertragenen elektronischen Münzdatensatzes mit zumindest einem zweiten elektronischen Münzdatensatz zu dem weiteren elektronischen Münzdatensatz, nämlich verbundenen elektronischen Münzdatensatz.
Weiterhin umfasst das Verfahren die nachfolgenden Schritte:
- Maskieren des weiteren elektronischen Münzdatensatzes im zweiten Endgerät durch Anwenden einer homomorphen Einwegfunktion auf den weiteren elektronischen Münzdatensatz zum Erhalten eines maskierten elektronischen Münzdatensatzes; und
- Registrieren des maskierten (weiteren) elektronischen Münzdatensatzes in einer entfernten Überwachungsinstanz.
Die hier beschriebenen Schritte müssen nicht in der beschriebenen Reihenfolge durchgeführt werden. Die hier beschriebene Reihenfolge ist jedoch eine bevorzugte Ausgestaltung.
Der Schritt des Registrierens wird vorzugsweise dann ausgeführt, wenn die Geräte mit der Überwachungsinstanz verbunden sind. In einer Alternative können die beschriebenen Schritte auch ausgeführt werden, ohne dass der Schritt des Registrierens in der Überwachungsinstanz ausgeführt wird.
Beim Umschalten des übertragenen Münzdatensatzes entspricht in einer Ausgestaltung der monetäre Betrag des übertragenen elektronischen Münzdatensatzes vom ersten Endgerät dem monetären Betrag des weiteren elektronischen Münzdatensatzes. Beim Aufteilen des übertragenen elektronischen Münzdatensatzes entspricht in einer Ausgestaltung der monetäre Betrag des übertragenen elektronischen Münzdatensatzes dem monetären Gesamtbetrag der aus dem übertragenen elektronischen Münzdatensatz erstellten weiteren elektronischen Münzteildatensätze. Beim Verbinden entspricht in einer Ausgestaltung der monetäre Gesamtbetrag aus dem übertragenen elektronischen Münzdatensatz mit dem zweiten elektronischen Münzdatensatz dem monetären Betrag des verbundenen elektronischen Münzdatensatzes.
Eine vom Endgerät an die Überwachungsinstanz gesendete Registrierungsanforderung (wie Befehl zum Umschalten, Verbinden oder Aufteilen) umfasst entsprechend vorzugsweise: - genau einen zu registrierenden maskierten elektronischen Münzdatensatz und genau einen registrierten maskierten elektronischen Münzdatensatz, oder
- zumindest zwei zu registrierende maskierte aufgeteilte modifizierte elektronische Münzdatensätze (und den maskierten empfangenen elektronischen Münzdatensatz), oder
- zumindest zwei registrierte maskierte elektronische Münzdatensätze (einer davon ist der maskierte empfangene elektronische Münzdatensatz und den maskierten verbundenen elektronischen Münzdatensatz).
Das Endgerät sendet die Registrierungsanforderung an die Überwachungsinstanz, welche gültige, maskierte elektronische Münzdatensatze für elektronische Münzdatensätze speichert. Endgeräte können die Validität eines - insbesondere des empfangenen - elektronischen Münzdatensatzes alternativ oder zusätzlich (beispielsweise vor einer weiteren Verwendung) prüfen, indem es den maskierten elektronischen Münzdatensatz in einer Validitätsanfrage an die Überwachungsinstanz sendet. Die Überwachungsinstanz beantwortet die Validitätsanfrage (positiv oder negativ) anhand der gespeicherten gültigen maskierten elektronischen Münzdatensatze.
Ein elektronischer Münzdatensatz ist insbesondere ein elektronischer Datensatz, der einen geldwerten (=monetären) Betrag repräsentiert und umgangssprachlich auch als„digitale Münze” oder „elektronische Münze”, englisch „digital/electronic Coin“ bezeichnet wird. Dieser geldwerte Betrag wechselt bei dem Verfahren von einem ersten Endgerät zu einem anderen Endgerät. Als ein geldwerter Betrag wird im Folgenden ein digitaler Betrag verstanden, der z.B. auf einem Konto eines Geldinstituts gutgeschrieben werden kann, oder gegen ein anderes Zahlungsmittel getauscht werden kann. Ein elektronischer Münzdatensatz repräsentiert also Bargeld in elektronischer Form.
Das Endgerät kann eine Vielzahl von elektronischen Münzdatensätzen aufweisen, beispielsweise kann in einem Datenspeicher des Endgeräts die Vielzahl von Münzdatensätzen hinterlegt sein. Der Datenspeicher stellt dann beispielsweise eine elektronische Geldbörse dar. Der Datenspeicher kann beispielsweise intern, extern oder virtuell sein. In einer Ausgestaltung kann beim Empfangen eines elektronischen Datensatzes automatisch ein„Verbinden“ stattfinden, sodass bevorzugt nur eine (oder eine bestimmte Anzahl an) elektronische(n) Datensätzen im Endgerät sind.
Das Endgerät kann beispielsweise ein passives Gerät, wie z. B. ein Token, ein mobiles Endgerät, wie z.B. ein Smartphone, ein Tablet-Computer, ein Computer, ein Server oder eine Maschine sein. Ein elektronischer Münzdatensatz zum Übertragen von geldwerten Beträgen unterscheidet sich wesentlich von einem elektronischen Datensatz zum Datenaustausch oder Datentransfer, da beispielsweise eine klassische Datentransaktion auf Basis eines Frage- Antwort-Prinzips bzw. auf einer Interkommunikation zwischen den Datentransferpartnem stattfindet. Ein elektronischer Münzdatensatz ist dementgegen einmalig, eindeutig und steht im Kontext eines Sicherheitskonzepts, welches beispielsweise Signaturen oder Verschlüsselungen umfassen kann. In einem elektronischen Münzdatensatz sind prinzipiell alle Daten enthalten, die für eine empfangende Instanz bezüglich Verifikation, Authentisierung und Weitergeben an andere Instanzen benötigt werden. Eine Interkommunikation zwischen den Endgeräten beim Austausch ist daher bei dieser Art Datensätze grundsätzlich nicht erforderlich.
Erfindungsgemäß weist ein zum Übertragen zwischen zwei Endgeräten verwendender elektronischer Münzdatensatz einen monetären Betrag, also ein Datum, das einen Geldwert des elektronischen Münzdatensatzes darstellt, und einen Verschleierungsbetrag, beispielsweise eine Zufallszahl, auf. Darüber hinaus kann der elektronische Münzdatensatz weitere Metadaten aufweisen, beispielsweise welche Währung der monetäre Betrag repräsentiert. Ein elektronischer Münzdatensatz wird durch diese wenigstens beiden Daten (monetärer Betrag und Verschleierungsbetrag) eindeutig repräsentiert. Jeder, der Zugriff auf diese beiden Daten eines gültigen Münzdatensatzes hat, kann diesen elektronischen Münzdatensatz zum Bezahlen verwenden. Die Kenntnis dieser beiden Werte (monetärer Betrag und Verschleierungsbetrag) ist also gleichbedeutend mit dem Besitz des digitalen Geldes. Dieser elektronische Münzdatensatz wird zwischen zwei Endgeräten direkt übertragen. In einer Ausgestaltung der Erfindung besteht ein elektronischer Münzdatensatz aus diesen beiden Daten, es ist somit zum Austausch von digitalem Geld nur die Übertragung des monetären Betrags und der Verschleierungsbetrag notwendig.
Zu jedem elektronischen Münzdatensatz gehört ein entsprechender maskierter elektronischer Münzdatensatz zugeordnet. Die Kenntnis eines maskierten elektronischen Münzdatensatzes berechtigt nicht dazu, das digitale Geld, das durch den elektronischen Münzdatensatz repräsentiert wird, auszugeben. Dies stellt einen wesentlichen Unterschied zwischen maskierte elektronischen Münzdatensätze und (nicht maskierte)elektronische Münzdatensätze dar und ist der Kern der hier vorliegenden Erfindung. Der maskierte elektronische Münzdatensatz ist einzigartig und eindeutig einem elektronischen Münzdatensatz zuzuordnen, also einer 1 -zu- 1 Beziehung. Das Maskieren des elektronischen Münzdatensatzes erfolgt bevorzugt durch eine Recheneinheit des Endgeräts innerhalb des Endgeräts das auch den zumindest einen elektronische Münzdatensatz aufweist. Alternativ kann das Maskieren durch eine Recheneinheit des Endgeräts, das den elektronischen Münzdatensatz empfängt, erfolgen. Dieser maskierte elektronische Münzdatensatz wird durch Anwenden einer homomorphen Einwegfunktion, insbesondere einer homomorphen kryptographischen Funktion, erhalten. Diese Funktion ist eine Einwegfunktion, also eine mathematische Funktion, die komplexitätstheoretisch „leicht“ berechenbar, aber „schwer“ bis praktisch unmöglich umzukehren ist. Hierbei wird unter Einwegfunktion auch eine Funktion bezeichnet, zu der bislang keine in angemessener Zeit und mit vertretbarem Aufwand praktisch ausführbare Umkehrung bekannt ist. Somit ist die Berechnung eines maskierten elektronischen Münzdatensatzes aus einem elektronischen Münzdatensatz vergleichbar mit der Generierung eines öffentlichen Schlüssels in einem Verschlüsselungsverfahren über eine Restklassengruppe. Vorzugsweise wird eine Einwegfunktion verwendet, die auf eine Gruppe operiert, in der das diskrete Logarithmusproblem schwer zu lösen ist, wie z. B. ein krypto graphisches Verfahren analog einer elliptischer-Kurve- Verschlüsselung, kurz ECC, aus einem privaten Schlüssel eines entsprechenden Kryptographieverfahrens. Die umgekehrte Funktion, also die Erzeugung eines elektronischen Münzdatensatzes aus einem maskierten elektronischen Münzdatensatzes, ist dabei - äquivalent zur Erzeugung des privaten Schlüssels aus einem öffentlichen Schlüssel in einem Verschlüsselungsverfahren über einer Restklassengruppe - sehr zeitintensiv. Wenn im vorliegenden Dokument von Summen und Differenzen oder anderen mathematischen Operationen die Rede ist, dann sind dabei im mathematischen Sinn die jeweiligen Operationen auf der entsprechenden mathematischen Gruppe zu verstehen, beispielsweise der Gruppe der Punkte auf einer elliptischen Kurve.
Die Einwegfunktion ist homomorph, also ein krypto graphisches Verfahren, welches über Homomorphie-Eigenschaften verfügt. Somit können mit dem maskierten elektronischen Münzdatensatz mathematische Operationen durchgeführt werden, die parallel dazu auch auf dem (unmaskierten) elektronischen Münzdatensatz durchgeführt und somit nachvollzogen werden können. Mit Hilfe der homomorphen Einwegfunktion können Berechnungen mit maskierten elektronischen Münzdatensätzen in der Überwachungsinstanz nachvollzogen werden, ohne dass die entsprechenden (unmaskierten) elektronischen Münzdatensätze dort bekannt sind. Daher können bestimmte Berechnungen mit elektronischen Münzdatensätzen, beispielsweise für ein Verarbeiten des (unmaskierten) elektronischen Münzdatensatzes (zum Beispiel Aufteilen oder Verbinden), auch parallel mit den dazugehörigen maskierten elektronischen Münzdatensätzen nachgewiesen werden, beispielsweise zu Validierungsprüfungen oder zur Überprüfung über die Rechtmäßigkeit des jeweiligen elektronischen Münzdatensatzes. Die Homomorphie- Eigenschaften treffen zumindest auf Additions- und Subtraktionsoperationen zu, sodass ein Aufteilen oder Kombinieren (=Verbinden) von elektronischen Münzdatensätzen auch mittels der entsprechend maskierten elektronischen Münzdatensätze in der Überwachungsinstanz festgehalten und von anfragenden Endgeräten und/ oder von der Überwachungsinstanz nachvollzogen werden kann, ohne Kenntnis über den monetären Betrag und das durchfuhrende Endgerät zu erlangen.
Die Homomorphie-Eigenschaft ermöglicht es also, eine Eintragung von gültigen und ungültigen elektronischen Münzdatensätzen auf Basis ihrer maskierten elektronischen Münzdatensätze in einer Überwachungsinstanz zu führen ohne Kenntnis der elektronischen Münzdatensätze, auch wenn diese elektronische Münzdatensätze verarbeitet werden (aufgeteilt, verbunden, umschalten). Dabei wird sichergestellt, dass kein zusätzlicher monetärer Betrag geschaffen wurde oder dass eine Identität des Endgeräts in der Überwachungsinstanz festgehalten wird. Das Maskieren ermöglicht somit dabei ein hohes Maß an Sicherheit, ohne einen Einblick in den monetären Betrag oder das Endgerät zu geben. Somit ergibt sich ein zweischichtiges Bezahlsystem. Zum einen existiert die Verarbeitungsschicht in der maskierte elektronische Datensätze geprüft werden und zum anderen die Direkttransaktionsschicht in der zumindest zwei Endgeräte elektronische Münzdatensätze übertragen.
Während die elektronischen Münzdatensätze für direktes Bezahlen zwischen zwei Endgeräten verwendet werden, werden die maskierten Münzdatensätze in der Überwachungsinstanz registriert.
Der Schritt des Umschaltens des übertragenen elektronischen Münzdatensatzes umfasst die folgenden Teilschritte:
- Generieren eines umzuschaltenden elektronischen Münzdatensatzes im zweiten Endgerät aus dem übertragenen Münzdatensatz, wobei
- ein Verschleierungsbetrag für den umzuschaltenden elektronischen Münzdatensatz unter Verwendung eines übertragenen Verschleierungsbetrags des übertragenen elektronischen Münzdatensatzes im zweiten Endgerät erzeugt wird; und
- der übertragene monetäre Betrag des übertragenen elektronischen Münzdatensatzes als monetärer Betrag für den umzuschaltenden elektronischen Münzdatensatz verwendet wird.
Beim Übertragen des elektronischen Münzdatensatzes vom ersten Endgerät auf das zweite Endgerät haben somit zwei Endgeräte Kenntnis über den elektronischen Münzdatensatz. Um zu verhindern, dass das sendende erste Endgerät den elektronischen Münzdatensatz bei einem anderen (dritten) Endgerät ebenfalls zum Bezahlen verwendet, wird ein Umschalten des übertragenen elektronischen Münzdatensatzes vom ersten Endgerät auf das zweite Endgerät ausgeführt. Das Umschalten kann bevorzugt automatisch beim Empfangen eines elektronischen Münzdatensatzes geschehen. Zusätzlich kann es auch auf Anforderung, beispielsweise eines Befehls vom ersten und/ oder zweiten Endgerät, geschehen. In einer bevorzugten Ausgestaltung umfasst das Generieren ein Erzeugen eines Verschleierangsbetrags für den umzuschaltenden elektronischen Münzdatensatz, vorzugsweise unter Verwendung des Verschleierungsbetrags des übertragenen elektronischen Münzdatensatzes in Verbindung mit einem neuen Verschleierungsbetrag, beispielsweise einer Zufallszahl. Bevorzugt ergibt sich der Verschleierungsbetrag des umzuschaltenden elektronischen Münzdatensatzes als Summe aus dem Verschleierungsbetrag des übertragenen elektronischen Münzdatensatz und der Zufallszahl, die als neuer, also zusätzlicher Verschleierungsbetrag dient. Des Weiteren wird der monetäre Betrag des übertragenen elektronischen Münzdatensatzes bevorzugt als monetärer Betrag für den umzuschaltenden elektronischen Münzdatensatz verwendet. Somit wird kein weiteres Geld generiert, die monetären Beträge beider Münzdatensätze sind identisch.
Das Registrieren nach dem Umschalten-Schritt führt dazu, dass der vom ersten Endgerät gesendete elektronische Münzdatensatz ungültig wird und bei einem zweiten Ausgeben-Versuch des ersten Endgeräts als entsprechend ungültig erkannt wird. Der vom zweiten Endgerät generierte (weitere) Münzdatensatz wird nach erfolgreichem Durchlaufen der Prüfungen gültig.
Beim Umschalten, auch„switch“ genannt, ergibt also der vom ersten Endgerät erhaltene elektronische Münzdatensatz einen neuen elektronischen Münzdatensatz bevorzugt mit gleichem monetären Betrag, dem sogenannten umzuschaltenden elektronischen Münzdatensatz. Der neue elektronische Münzdatensatz wird vom zweiten Endgerät generiert vorzugsweise indem der monetäre Betrag des erhaltenen elektronischen Münzdatensatzes als monetärer Betrag des umzuschaltenden elektronischen Münzdatensatzes verwendet wird. Dabei wird ein neuer Verschleierungsbetrag, beispielsweise eine Zufallszahl, generiert, Der neue Verschleierungsbetrag wird beispielsweise zum Verschleierungsbetrag des erhaltenen elektronischen Münzdatensatzes addiert, damit die Summe beider Verschleierungsbeträge (neu und erhalten) als Verschleierungsbetrag des umzuschaltenden elektronischen Münzdatensatzes dient. Nach dem Umschalten wird bevorzugt der erhaltene elektronische Münzdatensatz und der umzuschaltende elektronische Münzteildatensatz im Endgerät durch Anwenden der homomorphen Einwegfunktion auf jeweils den erhaltenen elektronischen Münzdatensatz und den umzuschaltenden elektronischen Münzteildatensatz maskiert, um entsprechend einen maskierten erhaltenen elektronischen Münzdatensatz und einen maskierten umzuschaltenden elektronischen Münzteildatensatz zu erhalten. Des Weiteren werden bevorzugt zusätzliche Informationen, die zum Registrieren des Umschaltens des maskierten elektronischen Münzdatensatzes in der entfernten Überwachungsinstanz benötigt werden, im Endgerät berechnet. Bevorzugt beinhalten die zusätzlichen Informationen einen Bereichsnachweis über den maskierten umzuschaltenden elektronischen Münzdatensatz und einen Bereichsnachweis über den maskierten erhaltenen elektronischen Münzdatensatz. Bei dem Bereichsnachweis handelt es sich um einen Nachweis, dass der monetäre Wert des elektronischen Münzdatensatzes nicht negativ ist, der elektronische Münzdatensatz gültig erstellt und/ oder der monetäre Wert und der Verschleierungsbetrag des elektronischen Münzdatensatzes dem Ersteller des Bereichsnachweises bekannt sind. Insbesondere dient der Bereichsnachweis dazu, diese(n) Nachweis(e) zu fuhren ohne den monetären Wert und/oder den Verschleierungsbetrag des maskierten elektronischen Münzdatensatzes zu offenbaren. Diese Bereichsnachweise werden auch „Zero-Knowledge-Range-Proofs“ genannt. Bevorzugt werden als Bereichsnachweis Ringsignaturen verwendet. Anschließend erfolgt ein Registrieren des Umschaltens des maskierten elektronischen Münzdatensatzes in der entfernten Überwachungsinstanz.
Dieses Umschalten ist notwendig, um den vom ersten Endgerät erhaltenen elektronischen Münzdatensatz zu invalidieren (ungültig machen), um ein doppeltes Ausgeben zu vermeiden. Denn, solange der elektronische Münzdatensatz nicht umgeschaltet ist, kann - da das erste Endgerät in Kenntnis des elektronischen Münzdatensatzes und somit noch in dessen Besitz ist - das erste Endgerät diesen erhaltene elektronische Münzdatensatz an ein drittes Endgerät weitergeben. Das Umschalten wird beispielsweise durch Hinzufügen eines neuen Verschleierungsbetrags zum Verschleierungsbetrag des erhaltenen elektronischen Münzdatensatz abgesichert, wodurch ein Verschleierungsbetrag erhalten wird, den nur das zweite Endgerät kennt. Neu geschaffene Verschleierungsbeträge müssen eine hohe Entropie aufweisen, da sie als Blendungsfaktor für die entsprechenden maskierten elektronischen Münzteildatensätze verwendet werden. Bevorzugt wird dazu ein Zufallszahlengenerator auf dem Endgerät verwendet. Diese Absicherung kann in der Überwachungsinstanz nachverfolgt werden.
In einer weiter bevorzugten Ausgestaltung des Verfahrens ist das Aufteilen des zumindest einen elektronischen Münzdatensatzes in den ersten elektronischen Münzteildatensatz und den zweiten elektronischen Münzteildatensatz vorgesehen. Das Aufteilen geschieht vorzugsweise, indem zum Einen ein monetärer Teilbetrag sowie ein Teilverschleierungsbetrag für den ersten elektronischen Münzdatensatz festgelegt wird (die jeweils zwischen 0 und dem erhaltenen monetären Betrag bzw. Verschleierungsbetrag liegen) und zum Anderen der monetäre Betrag des zweiten elektronischen Münzteildatensatzes als Differenz aus dem erhaltenen monetären Betrag und dem monetären Teilbetrag des ersten elektronischen Münzteildatensatzes, sowie der Verschleierungsbetrag des zweiten elektronischen Münzteildatensatzes als Differenz aus dem erhaltenen Verschleierungsbetrag und dem Teilverschleierungsbetrag des ersten elektronischen Münzteildatensatzes berechnet wird. Nach dem Aufteilen wird der aufzuteilende elektronische Münzdatensatz, der erste elektronische Münzteildatensatz und der zweite elektronische Münzteildatensatz im ersten und/ oder zweiten Endgerät durch jeweiliges Anwenden der homomorphen Einwegfunktion maskiert, um entsprechend einen maskierten aufzuteilenden elektronischen Münzdatensatz, einen maskierten ersten elektronischen Münzteildatensatz und einen maskierten zweiten elektronischen Münzteildatensatz zu erhalten. Des Weiteren werden zusätzliche Informationen, die zum Registrieren des Aufteilens des maskierten elektronischen Münzdatensatzes in der entfernten Überwachungsinstanz benötigt werden, im Endgerät berechnet. Bevorzugt beinhalten die zusätzlichen Informationen einen Bereichsnachweis über den maskierten aufzuteilenden elektronischen Münzdatensatz, einen Bereichsnachweis über den maskierten ersten elektronischen Münzdatensatz und einen Bereichsnachweis über den maskierten zweiten elektronischen Münzdatensatz. Bei dem Bereichsnachweis handelt es sich um einen Nachweis, dass der monetäre Wert des elektronischen Münzdatensatzes nicht negativ ist, der elektronische Münzdatensatz gültig erstellt und/ oder der monetäre Wert und der Verschleierungsbetrag des elektronischen Münzdatensatzes dem Ersteller des Bereichsnachweises bekannt sind. Insbesondere dient der Bereichsnachweis dazu, diese(n) Nachweis zu führen ohne den monetären Wert und/oder den Verschleierungsbetrag des maskierten elektronischen Münzdatensatzes zu offenbaren. Diese Bereichsnachweise werden auch „Zero-Knowledge-Range-Proofs“ genannt. Bevorzugt werden als Bereichsnachweis Ringsignaturen verwendet. Anschließend erfolgt ein Registrieren des Aufteilens des maskierten elektronischen Münzdatensatzes in der entfernten Überwachungsinstanz. Auf diese Weise können zu übertragende monetäre Beträge an den entsprechenden Bedarf angepasst werden. Ein Endgeräte-Besitzer ist nicht gezwungen, stets den gesamten monetären Betrag an ein weiteres Endgerät weiterzugeben.
Das Aufteilen und anschließende Registrieren hat den Vorteil, dass ein Besitzer des zumindest einen elektronischen Münzdatensatzes nicht gezwungen ist, stets den gesamten monetären Betrag auf einmal zu übertragen, sondern nunmehr entsprechende Unterbeträge zu übertragen. Der Geldwert kann ohne Einschränkungen aufgeteilt werden, solange alle elektronische Münzdatenteilsätze einen positiven monetären Betrag aufweisen, der kleiner ist als der monetäre Betrag des elektronische Münzdatensatzes, von dem aus aufgeteilt wird und die Summe der elektronischen Münzteildatensätze gleich dem aufzuteilenden elektronischen Münzteildatensatzes ist. Alternativ oder zusätzlich können feste Denominationen genutzt werden. Alternativ kann der Verschleierungsbetrag außerhalb des Endgeräts generiert werden und über einen (sicheren) Kommunikationskanal bezogen werden. Bevorzugt wird dazu ein Zufallszahlengenerator auf dem Endgerät verwendet. Um alle Prüfungen zu verfolgen, kann die Überprüfungsinstanz beispielsweise in entsprechenden Stellen die Teilschritte der Überwachungsinstanz vermerken, wobei dazu auch Markierungen, englisch Flags, gesetzt werden, um Zwischenstadien zu dokumentieren. Bevorzugt wird nach erfolgreichem Erfüllen der Prüfungen, die für den Aufteilen-Befehl relevant sind, also bei entsprechender Vollständigkeit der Markierungen, der (maskierte) erste elektronische Münzteildatensatz und (maskierte) zweite elektronische Münzteildatensatz als gültig markiert. Dabei wird automatisch der (maskierte) aufzuteilende elektronische Münzdatensatz ungültig. Bevorzugt teilt die Überwachungsinstanz das Ergebnis des Ausführens des Aufteilen-Befehls dem„befehlenden“ Endgerät mit, d.h. welche der involvierten maskierten elektronischen Münzdatensätze nach Ausfuhren des Aufteilen-Befehls gültig sind.
In einer weiter bevorzugten Ausgestaltung des Verfahrens wird beim Schritt des Verbindens von elektronischen Münzdatensätzen ein weiterer elektronischer Münzdatensatz (verbundener elektronischer Münzdatensatz) aus einem ersten und einem zweiten elektronischen Münzdatensatz bestimmt. Dabei wird der Verschleierungsbetrag für den zu verbindenden elektronischen Münzdatensatz durch Bilden der Summe aus den jeweiligen Verschleierungsbeträgen des ersten und des zweiten elektronischen Münzdatensatzes berechnet. Weiterhin wird vorzugsweise der monetäre Betrag für den verbundenen elektronischen Münzdatensatz durch Bilden der Summe aus den jeweiligen monetären Beträgen des ersten und des zweiten elektronischen Münzdatensatzes berechnet.
Nach dem Verbinden wird der erste elektronische Münzdatensatz, der zweite elektronische Münzdatensatz, sowie der zu verbindende elektronische Münzdatensatz im (ersten und/ oder zweiten) Endgerät durch Anwenden der homomorphen Einwegfunktion auf jeweils den ersten elektronischen Münzdatensatz, den zweiten elektronischen Münzdatensatz, sowie den zu verbindenden elektronischen Münzdatensatz maskiert, um entsprechend einen maskierten ersten elektronischen Münzdatensatz, einen maskierten zweiten elektronischen Münzdatensatz, sowie einen maskierten zu verbindenden elektronischen Münzdatensatz zu erhalten. Des Weiteren werden zusätzliche Informationen, die zum Registrieren des Verbindens der maskierten elektronischen Münzdatensätze in der entfernten Überwachungsinstanz benötigt werden, im Endgerät berechnet. Bevorzugt beinhalten die zusätzlichen Informationen einen Bereichsnachweis über den maskierten ersten elektronischen Münzdatensatz und einen Bereichsnachweis über den maskierten zweiten elektronischen Münzdatensatz. Bei dem Bereichsnachweis handelt es sich um einen Nachweis, dass der monetäre Wert des elektronischen Münzdatensatzes nicht negativ ist, der elektronische Münzdatensatz gültig erstellt und/ oder der monetäre Wert und der Verschleierungsbetrag des elektronischen Münzdatensatzes dem Ersteller des Bereichsnachweises bekannt sind. Insbesondere dient der Bereichsnachweis dazu, diese(n) Nachweis zu führen ohne den monetären Wert und/oder den Verschleierungsbetrag des maskierten elektronischen Münzdatensatzes zu offenbaren. Diese Bereichsnachweise werden auch„Zero-Knowledge-Range-Proofs“ genannt. Bevorzugt werden als Bereichsnachweis Ringsignaturen verwendet. Anschließend erfolgt ein Registrieren des Verbindens der beiden maskierten elektronischen Münzdatensätze in der entfernten Überwachungsinstanz. Mit dem Schritt des Verbindens können zwei elektronische Münzdatensätze zusammengefasst werden. Dabei werden die monetären Beträge sowie auch die Verschleierungsbeträge addiert. Wie beim Aufteilen kann somit auch beim Verbinden eine Validität der beiden ursprünglichen Münzdatensätze durchgeführt werden.
Ein Hauptunterscheidungsmerlanal dieses Erfindungskonzepts gegenüber bekannten Lösungen ist, dass die Überwachungsinstanz nur (also ausschließlich) Kenntnis über die maskierten elektronischen Münzdatensätze und eine Liste mit Verarbeitungen bzw. Änderungen an dem maskierten elektronischen Münzdatensatz führt. Der tatsächliche Zahlungsverkehr wird in der Überwachungsinstanz nicht registriert und findet in einer Direkttransaktionsschicht direkt zwischen Endgeräten statt.
Ein Verfahren in einer Überwachungsinstanz, welche gültige, maskierte elektronische Münzdatensatze speichert, die jeweils durch Anwenden einer homomorphen Einwegfunktion auf einen elektronischen Münzdatensatz gebildet sind, wobei elektronische Münzdatensätze einen monetären Betrag und einen Verschleierungsbetrag aufweisen, umfasst insbesondere folgende Schritte:
Empfangen einer Registrierungsanforderung, welche zumindest einen zu registrierenden maskierten elektronischen Münzdatensatz und zumindest einen registrierten maskierten elektronischen Münzdatensatz umfasst;
Prüfen der empfangenen Registrierungsanforderung, wobei
o geprüft wird ob der registrierte maskierte elektronischen Münzdatensatz der Registrierungsanforderung als gültiger maskierter elektronischer Münzdatensatz zum Übertragen in der Überwachungsinstanz gespeichert ist, und
o geprüft wird ob die maskierten elektronischen Münzdatensätze der Registrierungsanforderung insgesamt monetär betragsneutral sind; und
Speichern des zu registrierenden maskierten elektronischen Münzdatensatzes als gültiger maskierter elektronischer Münzdatensatz, wobei der bisher als gültig gespeicherte registrierte maskierte elektronische Münzdatensatz der Registrierungsanforderung nicht mehr gültig ist.
Das Prüfen der monetären Betragsneutralität der Registrierungsanforderung (ist aufgrund der verwendeten homomorphen Einwegfunktion möglich) erfolgt bevorzugt betragsanonym mittels Differenzbildung aus den maskierten elektronischen Münzdatensätzen.
In bevorzugten Verfahren empfängt die Überwachungsinstanz von geldwerten Beträgen einer Herausgeberinstanz Erstellungs- und/oder Deaktivierungsanforderungen, welche zumindest einen maskierten erstellten bzw. zu deaktivierenden elektronischen Münzdatensatz umfassen, insbesondere respektive für einen von der Herausgeberinstanz neu herausgegebenen elektronischen Münzdatensatz bzw. einen von der Herausgeberinstanz zurückgenommenen elektronischen Münzdatensatz.
Die Erstellungs- und/oder Deaktivierungsanforderung kann für einen maskierten elektronischen Münzdatensatz eine Signatur des Herausgebers über den maskierten elektronischen Münzdatensatz umfassen, wobei vorzugsweise die Signatur des maskierten, neu erstellten elektronischen Münzdatensatzes in der Überwachungsinstanz hinterlegt wird.
Ein elektronischer Münzdatensatz kann in der Überwachungsinstanz durch Markieren oder durch Löschen des entsprechenden maskierten elektronischen Münzdatensatzes in der Überwachungsinstanz ungültig werden. Besonders bevorzugt wird auch der entsprechende maskierte elektronische Münzdatensatzes oder der entsprechende elektronische Münzdatensatz in der Herausgeberinstanz deaktiviert.
Erfindungsgemäß ist demnach ein zweischichtiges Bezahlsystem aus einer Direktbezahltransaktionsschicht, zum direkten Austauschen von (unmaskierten) elektronischen Münzdatensätzen und einer Überwachungsschicht, welche auch als „Verschleierter- elektronischer-Datensatz-Ledger“ bezeichnet werden kann, vorgesehen. In der Überwachungsinstanz der Überprüfungsschicht, werden keine Bezahltransaktionen festgehalten, sondern ausschließlich maskierte elektronische Münzdatensätze und deren Verarbeitungen zum Zweck der Verifizierung der Gültigkeit von (unmaskierten) elektronischen Münzdatensätzen. So wird die Anonymität der Teilnehmer des Bezahlsystems gewährleistet. Die Überwachungsinstanz gibt Auskunft über gültige und ungültige elektronische Münzdatensätze, um beispielsweise eine Mehrfach-Ausgabe des gleichen elektronischen Münzdatensatzes zu vermeiden oder die Echtheit des elektronischen Münzdatensatzes als gültig herausgegebenes elektronisches Geld zu verifizieren.
Das Endgerät kann also in der Direktbezahltransaktionsschicht einem anderen Endgerät elektronische Münzdatensätze übertragen ohne Verbindung zur Überprüfungsinstanz, insbesondere wenn das Endgerät offline ist.
Das Endgerät kann vorliegend ein Sicherheitselement aufweisen, in dem die elektronischen Münzdatensätze sicher abgelegt sind. Ein Sicherheitselement ist bevorzugt ein spezielles Computerprogrammprodukt, insbesondere in Form einer abgesicherten Laufzeitumgebung innerhalb eines Betriebssystems eines Endgeräts, englisch Trusted Execution Environments, TEE, gespeichert auf einem Datenspeicher, beispielsweise eines mobilen Endgeräts, einer Maschine, vorzugsweise Bankautomat. Alternativ ist das Sicherheitselement beispielsweise als spezielle Hardware, insbesondere in Form eines gesicherten Hardware-Plattform-Moduls, englisch Trusted Platform Module, TPM oder als ein eingebettetes Sicherheitsmodul, eUICC, eSIM, ausgebildet. Das Sicherheitselement stellt eine vertrauenswürdige Umgebung bereit.
Die Kommunikation zwischen zwei Endgeräten kann drahtlos oder drahtgebunden, oder z.B. auch auf optischem Weg, bevorzugt über QR-Code oder Barcode, erfolgen und kann als ein gesicherter Kanal ausgebildet sein. Der optische Weg kann beispielsweise die Schritte des Generierens einer optischen Codierung, insbesondere einer 2D-Codierung, vorzugsweise ein QR-Code, und des Einlesens der optischen Codierung umfassen. Somit ist der Austausch des elektronischen Münzdatensatzes beispielsweise durch krypto grafische Schlüssel gesichert, beispielsweise einem für einen elektronischen Münzdatensatz-Austausch ausgehandelten Sitzungsschlüssel oder einem symmetrischen oder asymmetrischen Schlüsselpaar.
Durch das Kommunizieren zwischen Endgeräten, beispielsweise über ihre Sicherheitselemente, werden die ausgetauschten elektronischen Münzdatensätze vor Diebstahl oder Manipulation geschützt. Die Ebene der Sicherheitselemente ergänzt so die Sicherheit etablierter Blockchain- Technologie.
Darüber hinaus ist es vom Vorteil, dass die elektronischen Münzdatensätze in beliebiger Formatierung übertragen werden können. Dies impliziert, dass sie auf beliebigen Kanälen kommuniziert, also übertragen werden können. Sie müssen nicht in einem festgelegten Format oder in einem bestimmten Programm gespeichert werden.
Als ein Endgerät wird insbesondere ein mobiles Telekommunikationsendgerät, beispielsweise ein Smartphone angesehen. Alternativ oder zusätzlich kann das Endgerät auch ein Gerät, wie Wearable, Smartcard, Maschine, Werkzeug, Automat oder auch Behälter bzw. Fahrzeug sein. Ein erfmdungsgemäßes Endgerät ist somit entweder stationär oder mobil. Das Endgerät ist vorzugsweise ausgebildet, das Internet und/ oder andere öffentliche oder private Netze zu nutzen. Dazu verwendet das Endgerät eine geeignete Verbindungstechnologie, beispielsweise Bluetooth, Lora, NFC und/ oder WiFi und weist wenigstens eine entsprechende Schnittstelle auf. Das Endgerät kann auch ausgebildet sein, mittels Zugang zu einem Mobilfunknetz mit dem Internet und/ oder anderen Netzen verbunden zu werden.
In einer Ausgestaltung kann vorgesehen sein, dass das erste und/ oder zweite Endgerät bei dem aufgezeigten Verfahren die empfangenen elektronischen Münzdatensätze bei Vorliegen oder Empfang mehrerer elektronischer Münzdatensätze diese entsprechend ihrer monetären Wertigkeit abarbeitet. So kann vorgesehen sein, dass elektronische Münzdatensätze mit höherer monetärer Wertigkeit vor elektronische Münzdatensätze mit niedriger monetärer Wertigkeit verarbeitet. In einer Ausgestaltung kann das erste und/ oder zweite Endgerät ausgebildet sein, nach Empfang eines elektronischen Münzdatensatzes diesen in Abhängigkeit von beigefügter Information, beispielsweise einer Währung oder Denomination, mit bereits im zweiten Endgerät vorhandenem elektronischen Münzdatensatz zu verbinden und entsprechend einen Schritt des Verbindens auszuführen. Weiterhin kann das zweite Endgerät auch zum automatisierten Ausfuhren eines Umschaltens nach Empfang des elektronischen Münzdatensatzes vom ersten Endgerät ausgebildet sein.
In einer Ausgestaltung werden beim Übertragen weitere Informationen, insbesondere Metadaten, vom ersten Endgerät auf das zweite Endgerät übermittelt, beispielsweise eine Währung. Diese Information kann in einer Ausgestaltung vom elektronischen Münzdatensatz umfasst sein.
In einer bevorzugten Ausgestaltung weist das Verfahren die folgenden weiteren Schritte auf: Maskieren des übertragenen elektronischen Münzdatensatzes im zweiten Endgerät durch Anwenden der homomorphen Einwegfunktion auf den übertragenen elektronischen Münzdatensatz; und Senden des maskierten übertragenen elektronischen Münzdatensatzes an die entfernte Überwachungsinstanz zum Prüfen der Validität des übertragenen elektronischen Münzdatensatzes durch die entfernte Überwachungsinstanz. In diesem Fall wurde beispielsweise der gesamte monetäre Betrag im Rahmen des elektronischen Münzdatensatzes an das zweite Endgerät übertragen. Bevor ein Zahlungsempfänger diesen elektronischen Münzdatensatz akzeptiert, überprüft er gegebenenfalls dessen Gültigkeit. Zu diesem Zweck erzeugt das zweite Endgerät den maskierten übertragenen elektronischen Münzdatensatz, sendet diesen zur Überwachungsinstanz und fragt dabei bei der Überwachungsinstanz die Gültigkeit des elektronischen Münzdatensatzes ab. Die Überwachungsinstanz prüft nun, ob der maskierte übertragene elektronische Münzdatensatz überhaupt vorhanden ist und ob er weiterhin gültig ist, also nicht bereits durch ein anderes Endgerät verbraucht ist, um so Doppelausgaben zu vermeiden.
In einer Ausgestaltung wird im zweiten Endgerät ein Nachweis erstellt. Der Nachweist umfasst eine Information über die Übereinstimmung des monetären Betrags des übertragenen elektronischen Münzdatensatzes mit dem monetären Betrags des umzuschaltenden elektronischen Münzdatensatzes. Vorzugsweise umfasst der Nachweis lediglich eine Information über die Übereinstimmung, nicht aber einen der monetären Beträge.
Bevorzugt erfolgt während des Registrieren- Schrittes ein Verifizieren der elektronischen Münzdatensätze des ersten und/ oder zweiten Endgeräts in der bzw. durch die Überwachungsinstanz. Die Prüfung erfolgt in Abhängigkeit der der Verifikation vorangehenden Schritte, beispielsweise ob ein Schritt des Umschaltens, des Verbindens und/ oder des Aufteilens erfolgt ist. Dabei kann die Überwachungsinstanz beispielsweise die Gültigkeit der (maskierten) übertragenen und/oder aufzuteilenden und/oder ersten und zweiten elektronischen Münzdatensätzen prüfen. Dies ermöglicht es, festzustellen, ob die elektronischen Münzdatensätze zum ersten Mal verarbeitet werden. Falls die (maskierten) elektronischen Münzdatensätze nicht gültig sind (also insbesondere falls sie nicht in der Überwachungsinstanz vorliegen) kann das Registrieren nicht erfolgreich ausgeführt werden, zum Beispiel weil das Endgerät versucht einen elektronischen Münzdatensatz mehrfach auszugeben.
In einer weiter bevorzugten Ausgestaltung umfasst der Registrieren-Schritt nach dem Ausführen des Umschalten-Schritts beispielsweise das Versenden des vom Endgerät vorbereiteten Umschalten-Befehls an die Überwachungsinstanz. Bevorzugt enthält der Umschalten-Befehl den maskierten erhaltenen elektronischen Münzdatensatz, den maskierten umzuschaltenden elektronischen Münzdatensatz und bevorzugt weitere Informationen, die für Prüfungen in der Überwachungsinstanz gebraucht werden, enthält. Die weiteren Informationen dienen dem Nachweis des „befehlenden“ Endgerätes der Kenntnis des monetären Betrags und des Verschleierungsbetrags des erhaltenen elektronischen Münzdatensatzes ohne die Werte mitzuteilen, bevorzugt mittels eines kenntnisfreien Beweises, engl zero knowledge proof. Die Überprüfungsinstanz prüft die Nachvollziehbarkeit des kenntnisfreien Beweises, die Gültigkeit des maskierten erhaltenen elektronischen Münzdatensatzes und dass der monetäre Betrag des erhaltenen elektronischen Münzdatensatzes gleichwertig mit dem monetären Betrag des umzuschaltenden elektronischen Münzdatensatz ist. Um zu beweisen, dass nur ein neuer Verschleierungsbetrag zum Verschleierungsbetrag des erhaltenen elektronischen Münzdatensatz hinzugefügt wurde, der monetäre Betrag aber gleichgeblieben ist, kann das zweite Endgerät bevorzugt nachweisen, dass die Differenz aus dem maskierten erhaltenen Münzdatensatz und dem maskierten umzuschaltenden Münzdatensatz eine besondere Darstellung aufweist, nämlich die eines öffentlichen Schlüssels ist. Dies erfolgt durch das Erzeugen einer Signatur für den maskierten umzuschaltenden elektronischen Münzdatensatzes mit dem hinzugefugten Verschleierungsbetrag. In der Überwachungsinstanz kann dann diese erzeugte Signatur des maskierten umzuschaltenden elektronischen Münzdatensatzes geprüft werden, was als Beweis gilt, dass das zweite Endgerät in Kenntnis des hinzugefügten Verschleierungsbetrags ist. Bevorzugt wird nach erfolgreichem Erfüllen der Prüfungen, die für den Umschalten-Befehl relevant sind, also bei entsprechender Vollständigkeit der Markierungen, der (maskierte) umzuschaltende elektronische Münzdatensatz als gültig markiert. Dabei wird automatisch der (maskierte) erhaltene elektronische Münzdatensatz ungültig. Bevorzugt teilt die Überwachungsinstanz das Ergebnis des Ausführens des Umschalten-Befehls dem„befehlenden“ Endgerät mit, d.h. welche der involvierten maskierten elektronischen Münzdatensätze nach Ausführen des Umschalten-Befehls gültig sind. In einer weiter bevorzugten Ausgestaltung umfasst der Registrieren-Schritt nach dem Ausfuhren des Aufteilungs- Schritts einen vom Endgerät vorbereiteten Aufteilen-Befehl, der an die Überwachungsinstanz gesendet wird, der den maskierten aufzuteilenden elektronischen Münzdatensatz, den maskierten ersten elektronischen Münzteildatensatz, den maskierten zweiten elektronischen Münzteildatensatz und bevorzugt weitere Informationen, die für Prüfungen in der Überwachungsinstanz gebraucht werden, enthält. Die weiteren Informationen dienen dem Nachweis des „befehlenden“ Endgerätes der Kenntnis des monetären Betrags und des Verschleierungsbetrags des aufzuteilenden elektronischen Münzdatensatzes ohne die Werte mitzuteilen, bevorzugt mittels eines kenntnisfreien Beweises, engl zero knowledge proof. Die Überprüfungsinstanz prüft die Nachvollziehbarkeit des kenntnisfreien Beweises, die Gültigkeit des maskierten aufzuteilenden elektronischen Münzdatensatzes und dass die Summe des monetären Betrags des ersten elektronischen Münzteildatensatzes und des monetären Betrags des zweiten elektronischen Münzteildatensatzes gleichwertig mit dem monetären Betrag des aufzuteilenden elektronischen Münzdatensatz ist. Dies geschieht bevorzugt indem die Überwachungsinstanz die Summe aus dem maskierten ersten elektronischen Münzteildatensatz und dem maskierten zweiten elektronischen Münzteildatensatz mit dem maskierten aufzuteilenden Münzteildatensatz vergleicht.
In einer weiter bevorzugten Ausgestaltung umfasst der Registrieren-Schritt nach dem Ausführen des Verbinden- Schritts einen vom Endgerät vorbereiteten Verbinden-Befehl, der an die Überwachungsinstanz gesendet wird, der den ersten maskierten elektronischen Münzdatensatz, den zweiten maskierten elektronischen Münzdatensatz und den maskierten zu verbindenden Münzteildatensatz und bevorzugt weitere Informationen, die für Prüfungen in der Überwachungsinstanz gebraucht werden, enthält. Die weiteren Informationen dienen dem Nachweis des „befehlenden“ Endgerätes der Kenntnis der monetären Beträge und der Verschleierungsbeträge der ersten und zweiten elektronischen Münzdatensätze ohne die Werte mitzuteilen, bevorzugt mittels eines kenntnisfreien Beweises, engl zero knowledge proof. Die Überprüfungsinstanz prüft die Nachvollziehbarkeit der kenntnisfreien Beweise, die Gültigkeit des maskierten ersten elektronischen Münzdatensatzes, die Gültigkeit des maskierten zweiten elektronischen Münzdatensatzes und dass die Summe des monetären Betrags des ersten elektronischen Münzdatensatzes und des monetären Betrags des zweiten elektronischen Münzdatensatzes gleichwertig mit dem monetären Betrag des zu verbindenden elektronischen Münzdatensatzes ist. Dies geschieht bevorzugt indem die Überwachungsinstanz die Summe aus dem maskierten ersten elektronischen Münzdatensatz und dem maskierten zweiten elektronischen Münzdatensatz mit dem maskierten zu verbindenden Münzteildatensatz vergleicht. Bevorzugt wird nach erfolgreichem Erfüllen der Prüfungen, die für den Verbinden- Befehl relevant sind, also bei entsprechender Vollständigkeit der Markierungen, der (maskierte) zu verbindende elektronische Münzdatensatz als gültig markiert. Dabei wird automatisch der (maskierte) erste elektronische Münzdatensatz und der (maskierte) zweite elektronische Münzdatensatz ungültig. Bevorzugt teilt die Überwachungsinstanz das Ergebnis des Ausführens des Verbinden-Befehls dem „befehlenden“ Endgerät mit, d.h. welche der involvierten maskierten elektronischen Münzdatensätze nach Ausführen des Verbinden-Befehls gültig sind.
In einer Ausgestaltung wird das Maskieren des übertragenen elektronischen Münzdatensatzes und dessen Prüfung ausgeführt, bevor der übertragene elektronische Münzdatensatz in der Überwachungsinstanz registriert wird.
In einer bevorzugten Ausgestaltung ist die Überwachungsinstanz eine entfernte Instanz. Damit ist beispielsweise zum Registrieren des elektronischen Münzdatensatzes der Aufbau einer Kommunikationsverbindung zu der Überwachungsinstanz vorgesehen.
Die Überwachungsinstanz ist als übergeordnete Instanz ausgebildet. Die Überwachungsinstanz ist demnach nicht zwingend in der Ebene bzw. in der Schicht der Endgeräten (Direkttransaktionsschicht) angeordnet. Vorzugsweise ist die Überwachungsinstanz zur Verwaltung und Prüfung von maskierten elektronischen Münzdatensätzen vorgesehen und in einer Herausgeberschicht, in welcher auch eine Herausgeberinstanz angeordnet ist, und/ oder einer Überwachungsschicht angeordnet. Es ist denkbar, dass die Überwachungsinstanz zusätzlich Transaktionen zwischen Endgeräten verwaltet und prüft.
Die Überwachungsinstanz ist bevorzugt eine Datenbank - weiter bevorzugt eine dezentral gesteuerte Datenbank, englisch Distributed Ledger Technology, DLT -, in der die maskierten elektronischen Münzdatensätze mit entsprechender Verarbeitung des maskierten elektronischen Münzdatensatzes registriert sind. In einer bevorzugten Ausgestaltung lässt sich daraus ein Gültigkeitsstatus des (maskierten) elektronischen Münzdatensatzes ableiten. Bevorzugt wird die Gültigkeit der (maskierten) elektronischen Münzdatensätze in der und durch die Überprüfungsinstanz vermerkt. Die Registrierung der Verarbeitung bzw. der Verarbeitungsschritte kann auch das Registrieren von Prüfergebnissen und Zwischenprüfergebnissen betreffend die Gültigkeit eines elektronischen Münzdatensatzes betreffen. Ist eine Verarbeitung endgültig, wird dies beispielsweise durch entsprechende Markierungen oder einer abgeleiteten Gesamtmarkierung angezeigt. Eine endgültige Verarbeitung entscheidet sodann, ob ein elektronischer Münzdatensatz gültig oder ungültig ist.
Diese Datenbank ist weiter bevorzugt eine nicht-öffentliche Datenbank, kann aber auch als öffentliche Datenbank realisiert werden. Diese Datenbank ermöglicht es auf einfache Weise, Münzdatensätze bezüglich ihrer Gültigkeit zu prüfen und „Double-Spending“, also Mehrfachausgaben, zu verhindern, ohne dass die Bezahltranskation selbst registriert oder protokolliert wird. Die DLT beschreibt dabei eine Technik für vernetzte Computer, die zu einer Übereinkunft über die Reihenfolge von bestimmten Transaktionen kommen und darüber, dass diese Transaktionen Daten aktualisieren. Es entspricht einem dezentral geführten Verwaltungssystem oder einer dezentral geführten Datenbank.
In einer weiteren Ausgestaltung kann die Datenbank auch als öffentliche Datenbank ausgebildet sein.
Alternativ ist die Überwachungsinstanz eine zentral geführte Datenbank, beispielsweise in Form eines öffentlich zugänglichen Datenspeichers oder als Mischfonn aus zentraler und dezentraler Datenbank.
Bevorzugt wird der zumindest eine initiale elektronische Münzdatensatz ausschließlich von der Herausgeberinstanz erstellt, wobei vorzugsweise die aufgeteilten elektronischen Münzdatensätze, insbesondere elektronischen Münzteildatensätze, auch durch ein Endgerät generiert werden können. Das Erstellen und das Wählen eines monetären Betrags beinhaltet bevorzugt auch das Wählen eines Verschleierungsbetrags mit hoher Entropie. Die Herausgeberinstanz ist ein Rechensystem, welches bevorzugt entfernt vom ersten und/ oder zweiten Endgerät ist. Nach dem Erstellen des neuen elektronischen Münzdatensatzes wird der neue elektronische Münzdatensatz in der Herausgeberinstanz durch Anwenden der homomorphen Einwegfijnktion auf den neuen elektronischen Münzdatensatz maskiert, um entsprechend einen maskierten neuen elektronischen Münzdatensatz zu erhalten. Des Weiteren werden zusätzliche Informationen, die zum Registrieren des Erstellens des maskierten neuen elektronischen Münzdatensatzes in der entfernten Überwachungsinstanz benötigt werden, im der Herausgeberinstanz berechnet. Bevorzugt sind diese weiteren Informationen ein Nachweis, dass der (maskierte) neue elektronische Münzdatensatz von der Herausgeberinstanz stammt, beispielsweise durch eine signieren des maskierten neuen elektronischen Münzdatensatzes. In einer Ausgestaltung kann vorgesehen sein, dass die Herausgeberinstanz einen maskierten elektronischen Münzdatensatz beim Erzeugen des elektronischen Münzdatensatzes mit ihrer Signatur signiert. Die Signatur der Herausgeberinstanz wird dazu in der Überwachungsinstanz hinterlegt.
Bevorzugt kann die Herausgeberinstanz einen elektronischen Münzdatensatz, der sich in ihrem Besitz befindet (also von dem sie den monetären Betrag und den Verschleierungsbetrag kennt) deaktivieren, indem sie den maskierten zu deaktivierenden elektronischen Münzdatensatz mit der homomorphen Einwegfunktion maskiert und einen Deaktivieren-Befehl für die Überwachungsinstanz vorbereitet. Teil des Deaktivieren-Befehls ist bevorzugt neben dem maskierten zu deaktivierenden elektronischen Münzdatensatzes auch der Nachweis, dass der Deaktivieren Schritt von der Herausgeberinstanz initiiert wurde, beispielsweise in Form des signierten maskierten zu deaktivierenden elektronischen Münzdatensatzes. Als zusätzliche Information könnten im Deaktivieren-Befehl Bereichsprüfungen für den maskierten zu deaktivierenden elektronischen Münzdatensatz enthalten sein. Anschließend erfolgt ein Registrieren des Deaktivierens des maskierten elektronischen Münzdatensatzes in der entfernten Überwachungsinstanz. Mit dem Deaktivieren-Befehl wird der Schritt des Deaktivierens ausgelöst.
In einer weiter bevorzugten Ausgestaltung umfasst der Registrieren- Schritt nach dem Ausführen des Deaktivieren- Schritts einen der Herausgeberinstanz vorbereiteten Deaktivieren-Befehl, der an die Überwachungsinstanz gesendet wird, der den maskierten zu deaktivierenden elektronischen Münzdatensatz und bevorzugt weitere Infonnationen, die für Prüfungen in der Überwachungsinstanz gebraucht werden, enthält. Die weiteren Informationen dienen dem Nachweis, dass der Deaktivieren-Befehl von der Herausgeberinstanz initiiert wurde, bevorzugt mittels des signierten maskierten zu deaktivierenden elektronischen Münzdatensatzes. Die Überprüfungsinstanz prüft die Signatur, die Gültigkeit des maskierten zu deaktivierenden elektronischen Münzdatensatzes und optional die Bereichsnachweise über den maskierten zu deaktivierenden elektronischen Münzdatensatzes. Bevorzugt wird nach erfolgreichem Erfüllen der Prüfungen, die für den Deaktivieren-Befehl relevant sind, also bei entsprechender Vollständigkeit der Markierungen, der (maskierte) zu deaktivierende elektronische Münzdatensatz als ungültig markiert. Bevorzugt teilt die Überwachungsinstanz das Ergebnis des Ausführens des Deaktivieren-Befehls der Herausgeberinstanz mit, d.h. dass der (maskierte) zu deaktivierende elektronische Münzdatensatz nach Ausführen des Deaktivieren-Befehls ungültig ist.
Die Schritte Erstellen und Deaktivieren erfolgen bevorzugt an gesicherten Orten, insbesondere nicht in den Endgeräten. In einer bevorzugten Ausgestaltung werden die Schritte des Erstellens und Deaktivierens nur von der Herausgeberinstanz durchgeführt bzw. angestoßen. Vorzugsweise finden diese Schritte an einen gesicherten Ort statt, beispielsweise in einer Hard- und Software- Architektur, die zur Verarbeitung von sensiblem Datenmaterial in unsicheren Netzen entwickelt wurde. Das Deaktivierendes entsprechenden maskierten elektronischen Münzdatensatz bewirkt, dass der entsprechende maskierte elektronische Münzdatensatz nicht mehr für weitere Verarbeitung, insbesondere Transaktionen, verfügbar ist, da er in und von der Überwachungsinstanz als ungültig markiert wurde. Jedoch kann in einer Ausführungsform vorgesehen sein, dass der deaktivierte maskierte elektronische Münzdatensatz bei der Herausgeberinstanz archivarisch bestehen bleibt. Dass der deaktivierte maskierte elektronische Münzdatensatz nicht mehr gültig ist, kann beispielsweise mithilfe eines Flags oder einer anderen Codierung gekennzeichnet oder der deaktivierte maskierte elektronische Münzdatensatz kann zerstört und/ oder gelöscht werden. Selbstverständlich kann der deaktivierte maskierte elektronische Münzdatensatz auch physisch vom Endgerät entfernt werden.
Durch das erfindungsgemäße Verfahren werden verschiedene Verarbeitungsoperationen für die elektronischen Münzdatensätze und die entsprechenden maskierten elektronischen Münzdatensätze ermöglicht. Jeder der Verarbeitungsoperationen (insbesondere das Erstellen, Deaktivieren, Aufteilen, Verbinden und Umschalten) wird dabei in der Überwachungsinstanz registriert und dort in unveränderlicher Form an die Liste der vorherigen Verarbeitungsoperationen für den jeweiligen maskierten elektronischen Münzdatensatz angehängt. Die Verarbeitungsoperationen„Erstellen“ und„Deaktivieren“, die die Existenz des monetären Betrags an sich betreffen, also die Schaffung und die Vernichtung bis hin der Zerstörung von Geld bedeuten, bedürfen einer zusätzlichen Genehmigung , beispielsweise in Fonn einer Signatur, durch die Herausgeberinstanz, um in der Überwachungsinstanz registriert (also protokolliert) zu werden. Die übrigen Verarbeitungsoperationen (Aufteilen, Verbinden, Umschalten) bedürfen keiner Autorisierung durch die Herausgeberinstanz oder durch den Befehlsinitiator (= Zahler, bspw. das erste Endgerät).
Die vorliegend aufgeführten Schritte des Umschaltens, Aufteilens oder Verbindens (Registrieren von Modifikationen) und des Erstellens und Deaktivierens (Initiales Registrieren und Finales Deregistrieren) werden in der Überwachungsinstanz jeweils durch entsprechende Anforderungen (bzw. Befehle) ausgelöst, beispielsweise einem entsprechenden Erstell-, Umschalt-, Aufteil-, Verbinden- bzw. Deaktivier-Befehl.
Eine Verarbeitung in der Direkttransaktionsschicht betrifft nur die Besitzverhältnisse und/ oder die Zuordnung der Münzdatensätze zu Endgeräten der jeweiligen elektronischen Münzdatensätze. Eine Registrierung der jeweiligen Verarbeitung in der Überwachungsinstanz wird beispielsweise durch entsprechende Listeneinträge in einer Datenbank realisiert, die eine Reihe von Markierungen umfasst, die von der Überwachungsinstanz durchgeführt werden müssen. Eine mögliche Struktur für einen Listeneintrag umfasst beispielsweise Spalte(n) für einen Vorgänger-Münzdatensatz, Spalte(n) für einen Nachfolger-Münzdatensatz, eine Signatur- Spalte für die Herausgeberinstanz, und zumindest eine Markierungsspalte. Eine Änderung des Status der Markierung bedarf der Genehmigung durch die Überwachungsinstanz und muss sodann unveränderlich gespeichert werden. Eine Änderung ist endgültig, wenn und nur wenn die erforderlichen Markierungen durch die Überwachungsinstanz validiert wurden, d.h. nach der entsprechenden Prüfung beispielsweise vom Status "0" in den Status "1" gewechselt wurden. . Scheitert eine Prüfung oder dauert zu lang, so wird sie stattdessen beispielsweise vom Status in den Status "0" gewechselt. Weitere Statuswerte sind denkbar und/oder die hier genannten Statuswerte sind austauschbar. Bevorzugt wird die Gültigkeit der jeweiligen (maskierten) elektronischen Münzdatensätze aus den Statuswerten der Markierungen zusammengefasst jeweils in einer Spalte für jeden maskierten elektronischen Münzdatensatz, der im Registrieren der Verarbeitung involviert ist, dargestellt.
In einem weiteren Ausführungsbeispiel können wenigstens zwei vorzugsweise drei oder sogar alle der vorhergenannten Markierungen auch durch eine einzige Markierung ersetzt werden, die dann gesetzt wird, wenn alle Prüfungen erfolgreich abgeschlossen wurden. Des Weiteren lassen sich die je zwei Spalten für Vorgänger-Datensätze und Nachfolger-Datensätze zu jeweils einem zusammenfassen, in welchem alle Münzdatensätze gemeinsam ausgelistet sind. Dadurch könnten dann auch mehr als zwei elektronische Münzdatensätze je Feldeintrag verwaltet werden, und somit z.B. eine Aufspaltung in mehr als zwei Münzen realisiert werden.
Die Prüfungen durch die Überwachungsinstanz, um zu prüfen, ob eine Verarbeitung endgültig ist sind bereits oben beschrieben und sind insbesondere:
- Sind die maskierten elektronischen Münzdatensätze der Vorgänger- Spalte(n) gültig?
- Ergibt eine Überprüfung den korrekten Prüfwert?
- Sind die Bereichsnachweise für die maskierten elektronischen Münzdatensätze erfolgreich?
- Ist die Signatur des maskierten elektronischen Münzdatensatzes eine gültige Signatur der Herausgeberinstanz?
Bevorzugt gilt zudem, dass ein maskierter elektronischer Münzdatensatz ungültig ist, wenn einer der folgenden Prüfungen zutrifft, also wenn:
(1) der maskierte elektronische Münzdatensatz nicht in der Überwachungsinstanz registriert ist;
(2) die letzte Verarbeitung des maskierten elektronischen Münzdatensatzes angibt, dass es für ihn Vorgänger-Münzdatensätze gibt, diese letzte Verarbeitung aber nicht endgültig ist; oder
(3) die letzte Verarbeitung des maskierten elektronischen Münzdatensatzes angibt, dass es für ihn Nachfolger-Münzdatensätze gibt und diese letzte Verarbeitung endgültig ist.
(4) der maskierte elektronische Münzdatensatz nicht der Nachfolger von einem gültigen maskierten elektronischen Datensatz ist, es sei denn er ist von der Herausgeberinstanz signiert
In einem Aspekt der Erfindung ist ein Bezahlsystem zum Austausch von monetären Beträgen vorgesehen mit einer Überwachungsschicht mit einer - bevorzugt dezentral gesteuerten, englisch Distributed Ledger Technology, DLT - Datenbank, in der maskierte elektronische Münzdatensätze abgelegt sind; und einer Direkttransaktionsschicht mit zumindest zwei Endgeräten, in welche das vorhergehend beschriebene Verfahren durchführbar ist; und/oder eine Herausgeberinstanz zum Erzeugen eines elektronischen Münzdatensatzes. Dabei kann die Herausgeberinstanz nachweisen, dass der maskierte erzeugte elektronische Münzdatensatz von ihr erzeugt wurde, bevorzugt kann sich die Herausgeberinstanz durch das Signieren ausweisen und die Überwachungsinstanz kann die Signatur der Herausgeberinstanz prüfen.
In einer bevorzugten Ausgestaltung umfasst das Bezahlsystem eine Herausgeberinstanz zum Erzeugen eines elektronischen Münzdatensatzes. Dabei kann die Herausgeberinstanz nachweisen, dass der maskierte erzeugte elektronische Münzdatensatz von ihr erzeugt wurde, bevorzugt kann sich die Herausgeberinstanz durch das Signieren ausweisen und die Überwachungsinstanz kann die Signatur der Herausgeberinstanz prüfen.
Bevorzugt ist das Bezahlsystem zum Durchführen des oben genannten Verfahrens und/ oder wenigstens einer der Ausfährungsvarianten ausgebildet.
Ein weiterer Aspekt der Erfindung betrifft ein Währungssystem umfassend eine Herausgeberinstanz, eine Überwachungsinstanz, ein erstes Endgerät und ein zweites Endgerät, wobei die Herausgeberinstanz ausgebildet ist, einen elektronischen Münzdatensatzes zu erstellen. Der maskierte elektronische Münzdatensatz ist ausgebildet, nachweisbar durch die Herausgeberinstanz erstellt zu sein. Die Überwachungsinstanz ist zum Ausfuhren eines Registrierschritts wie in dem oben genannten Verfahren ausgeführt, ausgebildet Vorzugsweise sind die Endgeräte, d.h. wenigstens das erste und zweite Endgerät zum Ausfuhren eines des oben genannten Verfahrens zum Übertragen geeignet.
In einer bevorzugten Ausführung des Währungssystems ist lediglich die Herausgeberinstanz berechtigt, einen elektronischen Münzdatensatz initial zu erstellen. Eine Verarbeitung, beispielsweise der Schritt des Verbindens, des Aufteilens und/ oder des Umschaltens, kann und wird vorzugsweise durch ein Endgerät durchgeführt. Der Verarbeitungsschritt des Deaktivierens kann vorzugsweise nur von der Herausgeberinstanz ausgeführt werden. Somit wäre lediglich die Herausgeberinstanz berechtigt, den elektronischen Münzdatensatzes und/ oder den maskierten elektronischen Münzdatensatz zu invalidieren.
Bevorzugt sind die Überprüfungsinstanz und die Herausgeberinstanz in einer Serverinstanz angeordnet oder liegen als Computerprogrammprodukt auf einem Server und/ oder einem Computer vor.
Ein elektronischer Münzdatensatz kann dabei in einer Vielzahl von unterschiedlichen Erscheinungsformen vorliegen und damit über verschiedene Kommunikationskanäle, nachfolgend auch Schnittstellen genannt, ausgetauscht werden. Ein sehr flexibler Austausch von elektronischen Münzdatensätzen ist damit geschaffen. Der elektronische Münzdatensatz ist beispielsweise als ein optoelektronisch erfassbarer Code, beispielsweise ein Barcode oder QR-Code, dargestellt und somit ein eindimensionaler oder zweidimensionaler codierter Datensatz. In dieser visuellen Form kann er angezeigt werden, beispielsweise mittels elektronischer Anzeigeeinheit (Display, Monitor) oder aber auch als Ausdruck auf Papier. Er ist also als visuelle Erscheinungsform abbildbar. In dieser visuellen Form kann der elektronische Münzdatensatz zudem von einer elektronischen Erfassungseinheit, beispielsweise einem Scanner (Barcode- Scanner, QR-Code Scanner) oder auch einer Kamera erfasst werden. Dabei werden insbesondere der monetäre Wert und die blinde Signatur als optoelektronisch erfassbarer Code abgebildet.
Der elektronische Münzdatensatz ist beispielsweise in Form einer Datei darstellbar. Eine Datei besteht dabei aus inhaltlich zusammengehörigen Daten, die auf einem Datenträger, Datenspeicher oder Speichermedium gespeichert sind. Jede Datei ist zunächst eine eindimensionale Aneinanderreihung von Bits, die normalerweise in Byte-Blöcken zusammengefasst interpretiert werden. Ein Anwendungsprogramm (Applikation) oder ein Betriebssystem selbst interpretieren diese Bit- oder Bytefolge beispielsweise als einen Text, ein Bild oder eine Tonaufzeichnung. Das dabei verwendete Dateiformat kann unterschiedlich sein, beispielsweise kann es eine reine Textdatei sein, die den elektronischen Münzdatensatz repräsentiert. Dabei werden insbesondere der monetäre Wert und die blinde Signatur als Datei abgebildet.
Der elektronische Münzdatensatz ist beispielsweise eine Folge von American Standard Code for Information Interchange, kurz ASCII, Zeichen. Dabei werden insbesondere der monetäre Wert und die blinde Signatur als diese Folge ab gebildet.
Der elektronische Münzdatensatz kann in einem Gerät auch von einer Darstellungsform in eine andere Darstellungsform umgewandelt werden. So kann beispielsweise der elektronische Münzdatensatz als QR-Code im Gerät empfangen werden und als Datei oder Zeichenfolge vom Gerät ausgegeben werden.
Diese unterschiedlichen Darstellungsformen von ein und demselben elektronischen Münzdatensatz ermöglichen einen sehr flexiblen Austausch zwischen Geräten unterschiedlicher technischer Ausrüstung unter Verwendung unterschiedlicher Übertragungsmedien (Luft, Papier, drahtgebunden) und unter Berücksichtigung der technischen Ausgestaltung eines Geräts. Die Wahl der Darstellungsform der elektronischen Münzdatensätze erfolgt bevorzugt automatisch, beispielsweise aufgrund erkannter oder ausgehandelter Übertragungsmedien und Gerätekomponenten. Zusätzlich kann auch ein Benutzer eines Gerät die Darstellungsform zum Austausch (=Übertragen) eines elektronischen Münzdatensatzes wählen. In einem Aspekt der Erfindung wird die Aufgabe durch ein Gerät gelöst, das zum direkten Übertragen von elektronischen Münzdatensätzen an ein anderes Gerät eingerichtet ist. Das Gerät umfasst Mittel zum Zugreifen auf einen Datenspeicher, wobei im Datenspeicher zumindest ein elektronischer Münzdatensatz abgelegt ist; eine Schnittstelle zumindest zum Ausgaben des zumindest einen elektronischen Münzdatensatzes an das andere Gerät; und eine Recheneinheit, die zum Maskieren des elektronischen Münzdatensatzes im Gerät durch Anwenden einer homomorphen Verschlüsselungsfunktion auf den elektronischen Münzdatensatz zum Erhalten eines maskierten elektronischen Münzdatensatzes zum Registrieren des maskierten elektronischen Münzdatensatzes in einer Überwachungsinstanz; und zum Ausgeben des elektronischen Münzdatensatzes mittels der Schnittstelle eingerichtet ist, wobei der zumindest eine elektronische Münzdatensatz wie zuvor beschrieben aufgebaut ist, also einen monetären Betrag und eine blinde Signatur aufweist.
Ein Gerät ist dabei ein zuvor beschriebenes Endgerät bzw. eine zuvor beschriebene Maschine.
In einem einfachen Fall ist der Datenspeicher ein interner Datenspeicher des Geräts. Hier werden die elektronischen Münzdatensätze abgelegt. Ein einfacher Zugriff auf elektronische Münzdatensätze ist somit gewährleistet.
Der Datenspeicher ist insbesondere ein externer Datenspeicher, auch Online-Speicher genannt. Somit weist das Gerät nur ein Zugriffsmittel auf die extern und damit sicher abgelegten Münzdatensätze auf. Insbesondere bei einem Verlust des Geräts oder bei Fehlfunktionen des Geräts sind die elektronischen Münzdatensätze nicht verloren. Da der Besitz der (unmaskierten) elektronischen Münzdatensätze gleich dem Besitz des monetären Betrags entspricht, kann durch Verwendung externer Datenspeicher Geld sicherer aufbewahrt werden.
Ist die Überwachungsinstanz eine entfernte Überwachungsinstanz, so verfügt das Gerät bevorzugt über eine Schnittstelle zur Kommunikation mittels einem üblichen Intemet- Kommunikationsprotokoll, beispielsweise TCP, IP, UDP oder HTTP. Die Übertragung kann eine Kommunikation über das Mobilfunknetz beinhalten.
In einer bevorzugten Ausgestaltung ist das Gerät dazu eingerichtet, die bereits beschriebenen Verarbeitungen an einem elektronischen Münzdatensatz durchzuführen. Dazu ist die Recheneinheit dazu eingerichtet, einen umzuschaltenden elektronischen Münzdatensatz als den elektronischen Münzdatensatz zu maskieren, den die Überwachungsinstanz als maskierten elektronischen Münzdatensatz zum Registrieren des Umschalten-Befehls bzw. im Umschalten- Schritt braucht. Auf diese Weise kann ein elektronischer Münzdatensatz - wie oben beschrieben - umgeschaltet werden.
Zudem oder alternativ ist die Recheneinheit bevorzugt eingerichtet, einen in einen ersten elektronischen Münzteildatensatz und einen zweiten elektronischen Münzteildatensatz aufgeteilten elektronischen Münzdatensatz zu maskieren, um einen maskierten ersten elektronischen Münzteildatensatz und einen maskierten zweiten elektronischen Münzteildatensatz zu erhalten, der in der Überwachungsinstanz registriert werden soll. Auf diese Weise kann ein elektronischer Münzdatensatz - wie oben beschrieben - aufgeteilt werden.
Zudem oder alternativ ist die Recheneinheit bevorzugt eingerichtet, einen aus einem ersten und einem zweiten elektronischen Münzdatensatz zu verbindenden elektronischen Münzteildatensatzes als den elektronischen Münzdatensatz zu maskieren, um einen maskierten zu verbindenden Münzdatensatzes als den maskierten elektronischen Münzdatensatz zu erhalten, der in der Überwachungsinstanz registriert wird. Auf diese Weise kann ein elektronischer Münzdatensatz - wie oben beschrieben - verbunden werden.
In einer bevorzugten Ausgestaltung ist die Schnittstelle zum Ausgeben des zumindest einen elektronischen Münzdatensatzes eine elektronische Anzeigeeinheit des Geräts, die zum Anzeigen des elektronischen Münzdatensatzes und dadurch (auch) zum Ausgeben des elektronischen Münzdatensatzes in visueller Form eingerichtet ist. Wie bereits beschrieben wurde, ist der elektronische Münzdatensatz dann beispielsweise in Form eines optoelektronisch erfassbaren Codes, einem Bild, etc. zwischen Geräten austauschbar.
In einer bevorzugten Ausgestaltung ist die Schnittstelle zum Ausgeben des zumindest einen elektronischen Münzdatensatzes eine Protokollschnittstelle zum drahtlosen Senden des elektronischen Münzdatensatzes an das andere Gerät mittels eines Kommunikationsprotokolls für Drahtloskommunikation. Dabei ist insbesondere eine Nahfeldkommunikation, beispielsweise mittels Bluetooth-Protokoll oder NFC-Protokoll oder IR-Protokoll vorgesehen, alternativ oder zusätzlich sind WLAN Verbindungen oder Mobilfunkverbindungen denkbar. Der elektronische Münzdatensatz wird dann gemäß den Protokolleigenschaften angepasst und übertragen.
In einer bevorzugten Ausgestaltung ist die Schnittstelle zum Ausgeben des zumindest einen elektronischen Münzdatensatzes eine Datenschnittstelle zum Bereitstellen des elektronischen Münzdatensatzes an das andere Gerät mittels einer Applikation. Im Unterschied zur Protokollschnittstelle wird hier der elektronische Münzdatensatz mittels einer Applikation übertragen. Diese Applikation überträgt sodann den Münzdatensatz in einem entsprechenden Dateiformat. Es kann ein für elektronische Münzdatensätze spezifisches Dateiformat verwendet werden. In einfachster Form wird der Münzdatensatz als ASCII-Zeichenfolge oder als Textnachricht, beispielsweise SMS, MMS, Instant-Messenger-Nachricht (wie Threema oder WhatsApp) übertragen. Es kann auch eine Geldbörsen-Applikation vorgesehen sein. Hierbei stellen die austauschenden Geräte bevorzugt sicher, dass ein Austausch mittels der Applikation möglich ist, also dass beide Geräte die Applikation aufweisen und austauschbereit sind.
In einer bevorzugten Ausgestaltung weist das Gerät weiter eine Schnittstelle zum Empfangen von elektronischen Münzdatensätzen auf.
In einer bevorzugten Ausgestaltung ist die Schnittstelle zum Empfangen des zumindest einen elektronischen Münzdatensatzes ein elektronisches Erfassungsmodul des Geräts, eingerichtet zum Erfassen eines, in visueller Form dargestellten elektronischen Münzdatensatzes. Das Erfassungsmodul ist dann beispielsweise eine Kamera oder ein Barcode bzw. QR-Code Scanner.
In einer bevorzugten Ausgestaltung ist die Schnittstelle zum Empfangen des zumindest einen elektronischen Münzdatensatzes eine Protokollschnittstelle zum drahtlosen Empfangen des elektronischen Münzdatensatzes von einem anderen Gerät mittels eines Kommunikationsprotokolls für Drahtloskommunikation. Dabei ist insbesondere eine Nahfeldkommunikation, beispielsweise mittels Bluetooth-Protokoll oder NFC-Protokoll oder IR- Protokoll, vorgesehen. Alternativ oder zusätzlich sind WLAN Verbindungen oder Mobilfunkverbindungen denkbar.
In einer bevorzugten Ausgestaltung ist die Schnittstelle zum Empfangen des zumindest einen elektronischen Münzdatensatzes eine Datenschnittstelle zum Empfangen des elektronischen Münzdatensatzes von dem anderen Gerät mittels einer Applikation. Diese Applikation empfängt sodann den Münzdatensatz in einem entsprechenden Dateiformat. Es kann ein für Münzdatensätze spezifisches Dateiformat verwendet werden. In einfachster Form wird der Münzdatensatz als ASCII-Zeichenfolge oder als Textnachricht, beispielsweise SMS, MMS, Threema oder WhatsApp übertragen. Zusätzlich kann die Übertragung mittels einer Geldbörsen- Applikation erfolgen.
In einer bevorzugten Ausgestaltung ist die Schnittstelle zum Empfangen des zumindest einen elektronischen Münzdatensatzes auch die Schnittstelle zum Ausgeben des elektronischen Münzdatensatzes, sodass eine Schnittstelle sowohl zum Senden als auch zum Empfangen des Münzdatensatzes vorgesehen ist.
In einer bevorzugten Ausgestaltung weist das Gerät weiter ein Mittel zum Zugreifen auf ein elektronisches Tresormodul auf, wobei das Tresormodul zum gesicherten Ablegen von zumindest einem elektronischen Münzdatensatz vorzugsweise in einem Online-Speicher, eingerichtet ist. Das Gerät ist dabei bevorzugt ein Endgerät, wie Smartphone, Laptop, Smartwatch, Smartcard etc. Das Tresormodul, auch als„Vault“ bezeichnet, kann ein bzw. der Datenspeicher für elektronische Münzdatensätze sein, auf den der Nutzer nur nach zusätzlicher (erfolgreicher) Authentisierung, zum Beispiel über biometrische Merkmale, PIN, Passwort, zugreifen kann. Dieses Tresormodul kann auf dem Gerät eingerichtet sein und wird dann durch zusätzliche Sicherheitsfunktionen geschützt. Beispielsweise ist das Tresormodul eine gesicherte Laufzeitumgebung, TEE, oder ein Sicherheitselement, wie eUICC etc. Alternativ ist das Tresormodul extern vom Gerät ausgebildet, beispielsweise als ein Trusted Server eines vertrauenswürdigen Dritten, der eine Tresormodul-Funktion anbietet.
Das Tresormodul kann dabei insbesondere auch die Verarbeitungen am Datensatz, insbesondere Aufteilen, Verbinden und Umschalten initiieren und ist zu diesen Zwecken mit der Überwachungsinstanz zu Kommunikationszwecken verbindbar. In dieser Form ist dann das Tresormodul eine bzw. die Recheneinheit des Geräts und ist zum Maskieren und Ausgeben des elektronischen Münzdatensatzes eingerichtet. Auch diese Verarbeitungen werden bevorzugt erst nach erfolgreicher Authentisierung durchgeführt.
In dieses Tresormodul können automatisiert (unmaskierte) Münzdatensätze geladen werden. Beispielsweise kann der Nutzer im Gerät eine Vorgabe, wie einen Schwellwert, definieren. Der Schwellwert repräsentiert beispielsweise einen monetären Maximalbetrag oder eine Maximalanzahl von elektronischen Münzdatensätzen. Die Recheneinheit erkennt automatisch, wenn dieser definierte Schwellwert im Gerät überstiegen ist - beispielsweise nach einer eingehenden Zahlung von einem anderen Gerät. Dann werden (unmaskierte) elektronische Münzdatensätze automatisch in das Tresormodul geladen und nur Münzdatensätze entsprechend des definierten Schwellwerts verbleiben auf dem Gerät bzw. in einem weniger gesicherten oder ungesicherten Datenspeicher.
Das Tresormodul kann darüber hinaus auch ein eigenständiges Gerät sein. Neben dem gesicherten Speicher weist dieses Tresormodul dann ein Kommunikationsmittel zur Eingabe und ein Kommunikationsmittel zur Ausgabe und ein Mittel zur Abfrage einer Authentisierung des Nutzers auf. Das Tresormodul kann initial personalisiert werden. Alternativ kann das Tresormodul an das Gerät angeschlossen werden, um dessen Schnittstellen zum Austauschen von Münzdatensätzen zu nutzen.
In einer bevorzugten Ausgestaltung weist das Gerät ein Modul auf, das zum Erkennen einer vordefinierten Standortzone eingerichtet ist. Als Standortzone wird beispielsweise eine Heimzone oder ein Heimbereich verstanden, englisch Homezone genannt. Diese Standortzone kann der Abdeckungsbereich eines WLAN-Bereichs sein, beispielsweise definiert durch den Namen (SSID) des WLANs. Das Modul ist dann beispielsweise ein WLAN-Modul. Das Gerät erkennt dazu aktive WLANs und kann dann mit dem vordefinierten WLAN verbunden werden, um mit dem Internet verbunden zu sein. Das Gerät führt einige besondere Funktionen erst aus, wenn es erkannt hat, dass es in der vordefinierten Standortzone ist. Optional kann ein spezifisches WLAN Netz definiert sein. Zusätzlich oder alternativ kann das Modul ein Global Positioning System, GPS, Modul sein, mit welchem erkannt wird, dass das Gerät innerhalb vordefinierter GPS -Koordinaten ist. Dabei fuhrt das Gerät spezielle Funktionen nur in der vordefinierten Standortzone aus. Die Definition der Standortzone erfolgt entweder direkt am Gerät oder an dem Modul.
Die besonderen (speziellen) Funktionen, die bei Erkennen der Standortzone ausgeführt werden, sind beispielsweise das automatische Übertragen (also sowohl Senden als auch Empfangen) von elektronischen Münzdatensätzen, beispielsweise in das Tresormodul und/oder den externen Datenspeicher und/oder das Übertragen maskierter Münzdatensätze zum Umschalten des jeweiligen Münzdatensatzes in der Überwachungsinstanz. Das Standorterkennungs-Modul und das Tresormodul können bevorzugt interagieren, sodass ein Befüllen oder Entnehmen des Tresormoduls mit Münzdatensätzen (nur) in Abhängigkeit des definierten Schwellwertes und bei Erkennen der Standortzone erfolgt. Somit wird ein automatisches Aufladen und Überweisen und auch Abbuchen in Abhängigkeit von Standort und definiertem Schwell wert ermöglicht.
Das Gerät kann besonders bevorzugt eingerichtet sein, um abhängig von einer Vorgabe für in dem Endgerät abgelegte elektronische Münzdatensätze, insbesondere einem Schwellwert eines monetären Betrages für in dem Endgerät abgelegte elektronische Münzdatensätze, eine Maximalanzahl von elektronischen Münzdatensätzen und/oder einer Denominations vorgabe für in dem Endgerät abgelegte elektronische Münzdatensätze, zur Einhaltung der Vorgabe zumindest einen elektronischen Münzdatensatz automatisch aus dem Gerät oder in das Gerät zu übertragen. Zur Einhaltung der Vorgabe wird beispielsweise der elektronische Münzdatensatz aus dem Gerät in das Tresormodul oder aus dem Tresormodul in das Gerät übertragen. Wahlweise kann das Gerät alternativ oder zusätzlich dazu eingerichtet sein, zur Einhaltung der Vorgabe den elektronischen Münzdatensatz von einer Fierausgeberinstanz in das Gerät zu übertragen oder aus dem Gerät an die Herausgeberinstanz zu übertragen.
Zur Erhöhung der Sicherheit kann vorgesehen sein, dass die Herausgeberinstanz elektronische Münzdatensätze nur an Tresormodule von Geräten ausgibt und/oder elektronische Münzdatensätze nur von Tresormodulen von Geräten zurücknimmt. Das (die) Gerät(e) ist (sind) eingerichtet elektronische Münzdatensätze mittels der Schnittstelle mit anderen Geräten auszutauschen und vorzugsweise nur mittels des Tresormoduls elektronische Münzdatensätze mit der Herausgeberinstanz auszutauschen, insbesondere anzufordem oder zurückzugeben.
In einer bevorzugten Ausgestaltung ist die Recheneinheit eingerichtet zum Erkennen einer Differenz aus einem zu übertragenden monetären Betrag und einem monetären Betrags des elektronischen Münzdatensatzes; Anfragen eines elektronischen Münzdatensatzes aufweisend einen monetären Betrag gleich der erkannten Differenz bei einer Herausgeberinstanz; Erhalten des angefragten elektronischen Münzdatensatz. Bevorzugt erfolgt ein Verbinden des erhaltenen elektronischen Münzdatensatzes mit dem abgelegten elektronischen Münzdatensatz und Maskieren des zu verbindenden elektronischen Münzdatensatzes zum Registrieren bei der Überwachungsinstanz. Übertragen wird dann der verbundene elektronische Münzdatensatz. In einer alternativen Ausgestaltung erfolgt ein Umschalten des empfangenen elektronischen Münzdatensatzes bei der Überwachungsinstanz. Übertragen werden dann der umgeschaltete sowie der vorhandene elektronische Münzdatensatz. Somit kann das Gerät vollautomatisch den gewünschten Bezahlbetrag in einem elektronischen Münzdatensatz bereitstellen und dazu die Herausgeberinstanz entsprechend beauftragen. Dies ist optional auch eine der besonderen Funktionen des Geräts, die ggf. erst in einer Standortzone und bei Unterschreiten eines vordefinierten Schwellwertes erfolgen.
In einer bevorzugten Ausgestaltung ist die Recheneinheit eingerichtet zum Erkennen eines Überschusses aus erhaltenen monetären Betrag und einem Schwellwert eines monetären Betrags für abgelegte elektronische Münzdatensätze; und Übertragen des Überschusses, beispielsweise als Gutschreiben des Überschusses auf ein Bankkonto oder als Übertragen in ein Tresormodul, unter Aufteilen des elektronischen Münzdatensatzes zum Erhalten eines ersten elektronischen Münzteildatensatzes, der dem Schwellwert entspricht, und eines zweiten elektronischen Münzteildatensatzes, der dem Überschuss entspricht, und Maskieren des ersten und zweiten Münzteildatensatzes zum Erhalten von maskierten ersten und zweiten elektronischen Münzdatensätzen zum Aufteilen bei der Überwachungsinstanz. Somit kann das Gerät vollautomatisch einen Überschuss-Betrag beispielsweise auf ein Bankkonto gutschreiben lassen und somit Anzahl und Werte des Münzdatensatzes auf dem Gerät gering (im Sinne des Schwellwertes) halten. Dies ist auch eine der besonderen Funktionen des Geräts, die ggf. erst in einer Standortzone und bei Überschreiten eines vordefinierten Schwellwertes erfolgen.
In einer bevorzugten Ausgestaltung weist das Gerät, insbesondere das erste und/ oder zweite Endgerät, ein Banknotenmodul auf, das eingerichtet zum Eingeben und/oder Ausgeben von Banknoten ist. In diesem Fall ist das Gerät bevorzugt eine Maschine oder ein Automat, beispielsweise ein Selbstbedienungs-Terminal oder eine Komponente in einem Kassensystem eines Händlers oder einer Bankinstanz. In einer bevorzugten Ausgestaltung ist das Gerät ein Kassenterminal und/oder ein Automat und ist dazu eingerichtet, einen monetären Betrag in Teilen als Banknote mittels des Banknotenmoduls auszugebnen und in Teilen als elektronischen Münzdatensatz mittels der Schnittstelle auszugeben. In diesem Fall ist durch das Gerät ermöglicht, dass auf analoge Münzen gänzlich verzichtet werden kann. Ein Teil des zu übertragenden monetären Betrags erfolgt als Banknoten, abgerundet auf die nächste Denomination, und der Restbetrag wird als elektronischer Münzdatensatz ausgegeben. Dies ersetzt eine Geldausgabe in Form von analogen Münzen.
Der elektronische Münzdatensatz (als Teil der Zahlung) kann dabei in (opto)-elektronischer Form übertragen werden oder aber ein Ausdruck von der Kassenkomponente sein, den der Nutzer in Empfang nimmt.
Bevorzugt ist der als elektronischer Münzdatensatz auszugebende Teil des monetären Betrags ein erster elektronischer Münzteildatensatz eines aufgeteilten elektronischen Münzdatensatz.
In einer bevorzugten Ausgestaltung ist das Gerät ein Kassenterminal und/oder ein Automat und dazu eingerichtet, einen monetären Betrag in Banknoten mittels des Banknotenmoduls auszugeben, wobei das Gerät dazu einen monetären Teilbetrag in Form von elektronischen Münzdatensatz von einem anderen Gerät erhält. Dazu kann das Gerät dem anderen Gerät mitteilen welchen monetären Wert es erwartet, also einen elektronischen Münzdatensatz eines bestimmten monetären Wertes anfragen. In diesem Fall kann also auch auf das Übertragen von analogen Münzen verzichtet werden. Ein Teil des zu übertragenden monetären Betrags erfolgt als Banknoten, aufgerundet auf die nächste Denomination und der Restbetrag wird als elektronischer Münzdatensatz vom Endgerät - als quasi als negatives Rückgeld - erhalten.
Der elektronische Münzdatensatz (als Teil der Zahlung) kann dabei in (opto)-elektronischer Form übertragen werden oder aber ein Ausdruck sein, den die Kassenkomponente in Empfang nimmt.
Bevorzugt ist der als elektronischer Münzdatensatz zu erhaltende Teil des monetären Betrags ein erster elektronischer Münzteildatensatz eines (vom Nutzer) aufgeteilten elektronischen Münzdatensatzes. Dabei kann das andere Gerät (also das Gerät vom Nutzer) zum Aufteilen entweder selbständig in Kontakt zur Überwachungsinstanz treten oder das Gerät als vertrauenswürdige Instanz zur Kommunikation mit der Überwachungsinstanz nutzen. In einer bevorzugten Ausführung würde das andere Gerät in diesem Fall dem Gerät einen elektronischen Münzdatensatz mit der Bitte um Aufteilen beispielsweise in einen ersten vordefmierten elektronischen Münzteildatensatz und einen zweiten vordefinierten elektronischen Münzteildatensatz.
In einer bevorzugten Ausgestaltung umfassend das Gerät zumindest ein Sicherheitselement- Lesegerät, eingerichtet zum Lesen eines Sicherheitselements; einen Zufallszahlengenerator; und/oder eine Kommunikationsschnittstelle zu einem Tresormodul und/ oder Bankinstitut mit zu autorisierendem Zugriff auf ein Bankkonto.
In einer bevorzugten Ausgestaltung ist der Datenspeicher ein gemeinsamer Datenspeicher, auf den zumindest noch ein anderes Gerät zugreifen kann, wobei jedes der Endgeräte eine Applikation aufweist, wobei diese Applikation zum Kommunizieren mit der Überwachungsinstanz zum entsprechenden Registrieren von elektronischen Münzteildatensätzen eingerichtet ist.
In einem Aspekt der Erfindung ist ein Bezahlsystem zum Austausch von monetären Beträgen vorgesehen mit einer Überwachungsschicht mit einer Datenbank, vorzugsweise einer dezentral gesteuerten Datenbank (DLT), in der maskierte elektronische Münzdatensätze abgelegt sind; und einer Direkttransaktionsschicht mit zumindest einem Gerät nach einem der vorhergehenden Art und einem anderen Gerät, bevorzugt nach einem der vorhergehenden Art; und/oder eine Herausgeberinstanz zum Erzeugen eines elektronischen Münzdatensatzes und einer Signatur, wobei die Signatur in der dezentral gesteuerten Datenbank hinterlegt ist.
Vorgeschlagen wird hierbei also eine Lösung, die digitales Geld in Form von elektronischen Münzdatensätzen heraus gibt, die an die Verwendung von konventionellen (analogen) Banknoten und/oder Münzen angelehnt ist. Das digitale Geld wird hierbei durch elektronische Münzdatensätze abgebildet. Wie bei (analogen) Banknoten werden auch diese elektronischen Münzdatensätze für alle Formen von Zahlungen, einschließlich Peer-to-Peer-Zahlungen und/oder POS-Zahlungen, verwendbar. Die Kenntnis aller Bestandteile (insbesondere monetärer Betrag und Verschleierungsbetrag) eines gültigen elektronischen Münzdatensatzes ist gleichbedeutend mit dem Besitz (Eigentum) des digitalen Geldes. Es ist daher ratsam, diese gültigen elektronischen Münzdatensätze vertraulich zu behandeln, also beispielsweise in einem Sicherheitselement/ Tresormodul eines Endgeräts aufzubewahren und dort zu verarbeiten. Um über die Authentizität eines elektronischen Münzdatensatzes zu entscheiden und Doppelausgaben zu verhindern, werden in der Überwachungsinstanz maskierte elektronische Münzdatensätze als einzigartige, korrespondierende öffentliche Darstellung des elektronischen Münzdatensatzes vorgehalten. Die Kenntnis oder der Besitz eines maskierten elektronischen Münzdatensatzes stellt nicht den Besitz von Geld dar. Vielmehr gleicht dies dem Überprüfen der Echtheit des analogen Zahlungsmittels. Die Überwachungsinstanz enthält auch Markierungen über durchgeführte und geplante Verarbeitungen des maskierten elektronischen Münzdatensatzes. Aus den Markierungen zu den Verarbeitungen wird ein Status des jeweiligen maskierten elektronischen Münzdatensatzes abgeleitet, der angibt, ob der entsprechende (unmaskierte) elektronische Münzdatensatz gültig, d.h. zahlungsbereit ist. Daher wird ein Empfänger eines elektronischen Münzdatensatzes zunächst einen maskierten elektronischen Münzdatensatz erzeugen und sich durch die Überwachungsinstanz die Gültigkeit der maskierten elektronischen Münzdatensatz authentifizieren lassen. Ein großer Vorteil dieser erfindungsgemäßen Lösung ist, dass das digitale Geld auf Endgeräte, Händler, Banken und andere Nutzer des Systems verteilt wird, aber kein digitales Geld oder weitere Metadaten bei der Überwachungsinstanz - also einer gemeinsamen Instanz - gespeichert wird.
Die vorgeschlagene Lösung kann in bestehende Zahlsysteme und Infrastrukturen eingebunden werden. Insbesondere können eine Kombination aus analogen Zahlungsvorgängen mit Geldscheinen und Münzen und digitale Zahlungsvorgänge gemäß der vorliegenden Lösung vorliegen. So kann ein Bezahlvorgang mit Banknoten und/ oder Münzen erfolgen, das Wechselgeld bzw. Rückgeld liegt aber als elektronischer Münzdatensatz vor. Zur Transaktion können beispielsweise ATMs mit entsprechender Konfiguration, insbesondere mit geeigneter Kommunikationsschnittstelle, und/ oder mobile Endgeräte vorgesehen sein. Weiterhin ist ein Umtausch von elektronischem Münzdatensatz in Banknoten bzw. Münzen denkbar.
Die vorliegend aufgeführten Schritte des Erstellens, Umschaltens, Aufteilens, Verbindens und Deaktivierens werden jeweils durch einen entsprechenden Erstell-, Umschalt-, Aufteil-, Verbinden- bzw. Deal tivier-Befehl ausgelöst.
KURZE ZUSAMMENFASSUNG DER FIGUREN
Nachfolgend wird anhand von Figuren die Erfindung bzw. weitere Ausführungsformen und Vorteile der Erfindung näher erläutert, wobei die Figuren lediglich Ausführungsbeispiele der Erfindung beschreiben. Gleiche Bestandteile in den Figuren werden mit gleichen Bezugszeichen versehen. Die Figuren sind nicht als maßstabsgetreu anzusehen, es können einzelne Elemente der Figuren übertrieben groß bzw. übertrieben vereinfacht dargestellt sein.
Es zeigen:
Fig.l ein Ausführungsbeispiel eines Bezahlsystems gemäß der Erfindung;
Fig.2 ein Ausführungsbeispiel einer Überwachungsinstanz; Fig.3 ein Ausführungsbeispiel eines Bezahlsystems gemäß der Erfindung zum Aufteilen und Umschalten von elektronischen Münzdatensätzen;
Fig.4 ein Ausführungsbeispiel eines Bezahlsystems gemäß der Erfindung zum Verbinden von elektronischen Münzdatensätzen;
Fig.5 ein Ausfährungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens und entsprechenden Verarbeitungsschritte eines Münzdatensatzes ;
Fig.6 ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens und entsprechenden Verarbeitungsschritte eines Münzdatensatzes;
Fig.7 ein weiteres Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens.
Fig. 8 ein Ausführungsbeispiel eines erfindungsgemäßen Geräts;
Fig. 9 ein weiteres Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens;
Fig. 10 ein weiteres Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens;
Fig. 11 ein weiteres Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens;
Fig. 12 ein weiteres Ausführungsheispiel eines erfindungsgemäßen Geräts mit einem anderen Gerät; und
Fig. 13 ein weiteres Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens.
FIGURENBESCHREIB UNG
Fig.l zeigt ein Ausführungsbeispiel eines Bezahlsystems mit Endgeräten M1 und M2 gemäß der Erfindung. Die Endgeräte M1 und M2 können dabei auch Geräte sein. Dabei wird in einer Herausgeberinstanz 1, beispielsweise einer Zentralbank, ein elektronischer Münzdatensatz Ci erzeugt. Zu dem elektronischen Münzdatensatz Ci, der einen Verschleierungsbetrag umfasst, wird ein maskierter elektronische Münzdatensatz Zi erzeugt und in einer Datenbank registriert, die hier als„Verschleierter-elektronischer-Datensatz-Ledger“ ausgebildet sein kann. Als Ledger wird im Rahmen dieser Erfindung eine Liste, ein Verzeichnis, vorzugsweise eine Datenbankstruktur verstanden. Der elektronische Münzdatensatz Ci wird an ein erstes Endgerät M1 ausgegeben.
Beispielsweise wurde dazu als Verschleierungsbetrag n eine echte Zufallszahl erzeugt. Diese Verschleierungsbetrag n wird mit einem monetären Betrag u verknüpft und bildet sodann einen erfindungsgemäßen i-ten elektronischen Münzdatensatz:
Ci = { ui; ri} (1)
Ein gültiger elektronischer Münzdatensatz kann zur Bezahlung eingesetzt werden. Der Besitzer der beiden Werte ui und n ist daher im Besitz des digitalen Geldes. Das digitale Geld ist im System aber definiert durch ein Paar bestehend aus einem gültigen elektronischen Münzdatensatz und einem entsprechenden maskierten elektronischen Münzdatensatz Zi. Der maskierte elektronische Münzdatensatz Zi wird durch Anwenden einer homomorphen Einwegfunktion f (Ci) gemäß Gleichung (2) erhalten:
Zi =f(Ci) (2)
Diese Funktion f (Q) ist öffentlich, d.h. jeder Systemteilnehmer kann diese Funktion auffufen und verwenden. Diese Funktion f (Ci) ist gemäß Gleichung (3) definiert:
Zi = ui- H + ri G (3) wobei H und G Generatorpunkte einer Gruppe G, in der das diskrete Logarithmusproblem schwer ist, mit den Generatoren G und H, für die der diskrete Logarithmus der jeweils anderen Basis unbekannt ist. Beispielsweise sind G und H Generatorpunkte einer elliptischen Kurvenverschlüsselung, ECC, - also private Schlüssel der ECC, sind. Diese Generatorpunkte G und H müssen in der Art gewählt werden, dass der Zusammenhang von G und H nicht öffentlich bekannt ist, sodass bei:
G = n · H (4) die Verknüpfung n praktisch nicht auffindbar sein darf, um zu verhindern, dass der monetäre Betrag ui manipuliert wird und trotzdem ein gültiges Zi berechnet werden könnte. Die Gleichung (3) ist ein„Pederson-Commitment für ECC“, das sicherstellt, dass der monetäre Betrag u; einer Überwachungsinstanz 2 zugestanden, also „commited“, werden kann, ohne diesen der Überwachungsinstanz 2 zu offenbaren. Der öffentlichen und entfernten Überwachungsinstanz 2 wird daher nur der maskierte Münzdatensatz Zi zugesendet (offenbart).
Auch wenn im vorliegenden Beispiel eine Verschlüsselung basierend auf elliptischen Kurven beschrieben ist bzw. wird, so wäre auch ein anderes kryptographische Verfahren denkbar, welches auf einem diskreten logarithmischen Verfahren beruht.
Die Gleichung (3) ermöglicht durch die Entropie des Verschleierungsbetrags n, dass auch bei kleinem Wertebereich für monetäre Beträge u; ein kryptografisch starkes Zi erhalten wird. Somit ist ein einfacher Brute-Force- Angriff durch bloßes Schätzen von monetären Beträgen Di praktisch nicht möglich.
Die Gleichung (3) ist eine Einwegfunktion, das heißt, dass die Berechnung von Zi aus Ci einfach ist, da ein effizienter Algorithmus existiert, wohingegen die Berechnung von Ci ausgehend von Zi sehr schwer ist, da kein in polynomialer Zeit lösbarer Algorithmus existiert.
Zudem ist die Gleichung (3) homomorph für Addition und Subtraktion, das heißt es gilt:
Zi + Zj = (ui . H + ri G)+ (uj . H + rj · G) = (ui + uj) . H - (ri + rj)· G (5)
Somit können Additions-Operationen und Subtraktions-Operationen sowohl in der Direkttransaktionsschicht 3 also auch parallel in der Überwachungsschicht 4 ausgeführt werden, ohne dass die Überwachungsschicht 4 Kenntnis von den elektronischen Münzdatensätzen Ci hat. Die homomorphe Eigenschaft der Gleichung (3) ermöglicht eine Verwaltung von gültigen und ungültigen elektronischen Münzdatensätzen Ci auf alleiniger Basis der maskierten Münzdatensätze Zi zu führen und sicherzustellen, dass kein neuer monetärer Betrag uj geschaffen wurde.
Durch diese homomorphe Eigenschaft kann der Münzdatensatz Ci gemäß Gleichung (1) aufgeteilt werden in:
Ci — Cj + Ck ( uj, rj} + { uk, rk} (6) wobei gilt:
ui = uj + uk (7) ri = rj + rk 8)
Für die entsprechenden maskierten Münzdatensätze gilt:
Zi = Zj + Zk (9)
Mit Gleichung (9) kann beispielsweise auf einfache Weise eine„Aufteilen“- Verarbeitung bzw. ein„Aufteilen“- Verarbeitungsschritt eines Münzdatensatzes gemäß Fig. 3 geprüft werden, ohne dass die Überwachungsinstanz 2 Kenntnis von Ci, Cj, Ck hat. Insbesondere wird die Bedingung der Gleichung (9) geprüft, um aufgeteilte Münzdatensätze Cj und Ck für gültig zu erklären und den Münzdatensatz Ci für ungültig zu erklären. Ein derartiges Aufteilen eines elektronischen Münzdatensatzes Ci ist in Fig. 3 gezeigt.
Auf die gleiche Weise können elektronische Münzdatensätze auch zusammengefügt (verbunden) werden, siehe dazu Fig. 4 und die Erläuterungen dazu.
Zusätzlich gilt es zu prüfen, ob (nicht erlaubte) negative monetäre Beträge registriert werden. Ein Besitzer eines elektronischen Münzdatensatzes Ci muss dabei der Überwachungsinstanz 2 nachweisen können, dass alle monetären Beträge ui in einer Verarbeitungs-Operation innerhalb eines Wertebereichs von [0, ..., n] liegen, ohne der Überwachungsinstanz 2 dabei die monetären Beträge m mitzuteilen. .Diese Bereichsnachweise werden auch„Range-Proofs“ genannt. Als Bereichsnachweise werden bevorzugt Ringsignaturen (engl ring signature) verwendet. Für das vorliegende Ausführungsbeispiel werden sowohl der monetäre Wert als auch der Verschleierungsbetrag eines elektronischen Münzdatensatzes in Bitdarstellung aufgelöst, d.h. ui=Saj*2j für 0£j£n und aj„element“ {0; 1 } sowie ri=åbj*2j für 0£j£n und bj„element“ {0; 1 }. Für jedes Bit wird vorzugsweise eine Ringsignatur mit Cij=aj.H+bj .G und Cij-aj.H durchgeführt, wobei in einer Ausgestaltung vorgesehen sein kann, nur für bestimmte Bits eine Ringsignatur durchzuführen.
Nicht dargestellt ist in Fig. 1 und erst später erläutert wird, dass neue elektronische Münzdatensätze Ci bevorzugt nicht direkt an Endgeräte ausgegeben werden, sondern beispielsweise zunächst an eine Serverinstanz einer Geschäftsbank.
In Fig. 1 wird ein elektronischer Münzdatensatz Ci von der Herausgeberinstanz 1 erzeugt und mittels der Gleichung (3) ein maskierter elektronischer Münzdatensatz Zi von der Herausgeberinstanz 1 errechnet und dieser in der Überwachungsinstanz 2 registriert. Im Anschluss überträgt das erste Endgerät M1, das den elektronischen Münzdatensatz Ci an ein zweites Endgerät M2 übertragen kann oder einen der Verarbeitungs-Schritte (Umschalten, Verbinden, Aufteilen) ausführen kann. Die Übertragung erfolgt beispielsweise drahtlos über WLAN, NFC oder Bluetooth. Die Übertragung kann durch kryptografische Verschlüsselungsverfahren zusätzlich abgesichert sein, indem beispielsweise ein Sitzungsschlüssel ausgehandelt wird oder eine PKI-Infrastruktur angewendet wird.
Im zweiten Endgerät M2 wird der übertragene elektronische Münzdatensatz Ci als Ci* erhalten. Mit dem Erhalt des elektronischen Münzdatensatzes Ci * ist das zweite Endgerät M2 im Besitz des digitalen Geldes, den der elektronische Münzdatensatz Ci* repräsentiert. Wenn sich beide Endgeräte gegenseitig vertrauen, sind keine weiteren Schritte notwendig, um das Verfahren zu beenden. Allerdings ist dem Endgerät M2 nicht bekannt, ob der elektronische Münzdatensatz Ci* tatsächlich gültig ist. Zudem könnte das Endgerät M1 den elektronischen Münzdatensatz Ci auch noch einem dritten Endgerät (nicht dargestellt) übertragen. Um dies zu verhindern sind weitere bevorzugte Schritte im Verfahren vorgesehen.
Zum Prüfen der Validität des erhaltenen elektronischen Münzdatensatzes Ci* wird im zweiten Endgerät M2 mit der - öffentlichen - Einwegfünktion aus Gleichung (3) der maskierte übertragene elektronische Münzdatensatz Zi* errechnet. Der maskierte übertragene elektronische Münzdatensatz Zi* wird dann an die Überwachungsinstanz 2 übertragen und dort gesucht. Bei Übereinstimmung mit einem registrierten und gültigen maskierten elektronischen Münzdatensatz wird dem zweiten Endgerät M2 die Validität des erhaltenen Münzdatensatzes Ci* angezeigt und es gilt, dass der erhaltene elektronische Münzdatensatz Ci* gleich dem registrierten elektronischen Münzdatensatz Ci ist. Mit der Prüfung auf Validität kann in einer Ausgestaltung festgestellt werden, dass der erhaltene elektronische Münzdatensatz Ci* noch gültig ist, d.h., dass er nicht bereits durch einen anderen Verarbeitungsschritt oder bei einer anderen Transaktion bereits verwendet wurde und/ oder einer weiteren Veränderung unterworfen war.
Bevorzugt findet danach ein Umschalten des erhaltenen elektronischen Münzdatensatzes statt.
Es gilt für das erfindungsgemäße Verfahren, dass die alleinige Kenntnis eines maskierten elektronischen Münzdatensatzes Zi nicht dazu berechtigt, das digitale Geld auszugeben. Die alleinige Kenntnis des elektronischen Münzdatensatzes Ci berechtigt aber zum Bezahlen, d.h. eine Transaktion erfolgreich durchzuführen, insbesondere wenn der Münzdatensatz Ci gültig ist. Es herrscht eine 1-zu-l Beziehung zwischen den elektronischen Münzdatensätzen Ci und den entsprechenden maskierten elektronischen Münzdatensätzen Zi. Die maskierten elektronischen Münzdatensätze Zi werden in der Überwachungsinstanz 2, beispielsweise einer öffentlichen dezentralen Datenbank, registriert. Durch dieses Registrieren wird zunächst die Gültigkeit des Datensatzes prüfbar, beispielsweise ob neue monetäre Beträge (illegaler Weise) erschaffen wurden. Ein Hauptunterscheidungsmerkmal gegenüber konventionellen Lösungen ist, dass die maskierten elektronischen Münzdatensätze Zi in einer Überwachungsschicht 4 gespeichert werden und alle Verarbeitungen an dem elektronischen Münzdatensatz Zi dort registriert werden, wohingegen die tatsächliche Übertragung des digitalen Geldes in einer (geheimen, d.h. einer der Öffentlichkeit nicht bekannten) Direkttransaktionsschicht 3 erfolgt.
Um ein mehrfaches Ausgeben zu verhindern oder um ein flexibleres Übertragen zu gewährleisten, können die elektronischen Münzdatensätze nunmehr im erfindungsgemäßen Verfahren verarbeitet werden. In der nachfolgenden Tabelle 1 sind die einzelnen Operationen aufgelistet, wobei mit dem angegebenen Befehl auch ein entsprechender Verarbeitungsschritt ausgeführt wird:
Figure imgf000041_0001
Tabeile 1— Anzahl von Operationen, die pro Verarbeitung eines Münzdatensatzes im Endgerät bzw.
Herausgeberinstanz durchzuführen sind; Weitere Operationen, die hier nicht aufgeführt sind, werden benötigt; Anstelle der angeführten Implementierung sind andere Umsetzungen denkbar, die andere Operationen implizieren
Die obige Tabelle 1 zeigt, dass für jeden Münzdatensatz, jede der Verarbeitungen„Erstellen“, „Deaktivieren“, „Aufteilen“, „Verbinden“ und „Umschalten“ verschiedene Operationen „Signatur erstellen“; „Zufallszahl erstellen“; „Maskierung erstellen“; „Bereichsprüfung“ vorgesehen sein können, wobei jede der Verarbeitungs-Operation in der Überwachungsinstanz 2 registriert und dort in unveränderlicher Form an eine Liste vorheriger Verarbeitungs-Operationen für maskierte elektronische Münzdatensätze Zi angehängt wird. Die Operationen der Verarbeitungen„Erstellen“ und„Deaktivieren“ eines elektronischen Münzdatensatzes werden nur an sicheren Orten und/ oder nur von ausgewählten Instanzen, beispielsweise der Herausgeberinstanz 1, ausgeführt, während die Operationen aller übrigen Verarbeitungen auf den Endgeräten M1 bis M3 ausgeführt werden können.
Die Anzahl der Operationen für die einzelnen Verarbeitungen ist in der Tabelle 1 mit„0“,„1“ oder „2“ gekennzeichnet. Die Anzahl „0“ zeigt dabei an, dass das Endgerät bzw. die Herausgeberinstanz 1 diese Operation für diese Verarbeitung des elektronischen Münzdatensatzes nicht durchführen muss. Die Anzahl„1“ zeigt dabei an, dass das Endgerät bzw. die Herausgeberinstanz 1 diese Operation für diese Verarbeitung des elektronischen Münzdatensatzes einmal durchführen können muss. Die Anzahl„2“ zeigt dabei an, dass das Endgerät bzw. die Herausgeberinstanz 1 diese Operation zweimal für diese Verarbeitung des elektronischen Münzdatensatzes durchführen können muss. Grundsätzlich kann in einer Ausgestaltung auch vorgesehen sein, dass eine Bereichsprüfung durch die Herausgeberinstanz 1 auch beim Erzeugen und/ oder Löschen durchgeführt wird.
In der nachfolgenden Tabelle 2 sind für die einzelnen Verarbeitungen die für die Überwachungsinstanz 2 benötigten Operationen aufgelistet:
Figure imgf000042_0001
Tabelle 2 - Anzahl von Operationen, die pro Verarbeitung eines Münzdatensatzes in der Überwachungsinstanz durchzuführen sind; Weitere Operationen, die hier nicht aufgeführt sind, werden benötigt; Anstelle der angeführten
Implementierung sind andere Umsetzungen denkbar die andere Operationen implizieren
Alle Operationen der Tabelle 2 können in der Überwachungsinstanz 2 durchgeführt werden, die als vertrauenswürdige Instanz, beispielsweise als dezentraler Server, insbesondere Distributed- Trusted-Server, für eine ausreichende Integrität der elektronischen Münzdatensätze sorgt.
Die Tabelle 3 zeigt die für die Systemteilnehmer im Bezahlsystem der Fig. 1 bevorzugt zu installierenden Komponenten:
Figure imgf000042_0002
Figure imgf000043_0001
Tabelle 3— Bevorzugte Einheiten in den Systemkomponenten
Tabelle 3 zeigt eine Übersicht über die bevorzugt zu verwendenden Komponenten in jedem Systemteilnehmer, also der Herausgeberinstanz 1, einem Endgerät M1 und der Überwachungsinstanz 2. Das Endgerät M1 kann als ein Wallet für elektronische Münzdatensätze, d.h. als elektronische Geldbörse, also ein Datenspeicher des Endgeräts, in dem eine Vielzahl von Münzdatensätzen hinterlegt sein können, ausgebildet sein und beispielsweise in Form einer Applikation auf einem Smartphone oder IT-System eines Händlers, einer Geschäftsbank oder eines anderen Marktteilnehmers implementiert sein und einen elektronischen Münzdatensatz senden oder empfangen. Somit sind die Komponenten in dem Endgerät, so wie sie in Tabelle 3 gezeigt sind, als Software implementiert. Es wird davon ausgegangen, dass die Überwachungsinstanz 2 auf einer DLT basiert und von einer Reihe vertrauenswürdiger Marktteilnehmer betrieben wird.
Fig. 2 zeigt ein Ausführungsbeispiel einer Überwachungsinstanz 2 der Fig. 1. In der Fig. 2 ist eine beispielhafte Datenbank in Form einer Tabelle dargestellt, in der die maskierten elektronischen Münzdatensätze Zi und ggf. - wie hier gezeigt - ihre Verarbeitungen registriert sind. In der einfachsten Ausgestaltung der Datenbank würden dagegen jeweils nur die aktuell gültigen maskierten Münzdatensätze Zi gespeichert sein. Die Überwachungsinstanz 2 ist bevorzugt lokal entfernt von den Endgeräten M1 bis M3 angeordnet und ist beispielsweise in einer Server- Architektur untergebracht.
Jede Verarbeitungs-Operation für eine Verarbeitung (Erstellen, Deaktivieren, Aufteilen, Verbinden und Umschalten) wird dabei in der Überwachungsinstanz 2 registriert und dort in unveränderlicher Form an eine Liste vorheriger Verarbeitung-Operationen für maskierte elektronische Münzdatensätze Zi angehängt. Die einzelnen Operationen bzw. deren Prüfergebnis, also quasi die Zwischenergebnisse einer Verarbeitung, werden in der Überwachungsinstanz 2 festgehalten.
Die Verarbeitungen„Erstellen“ und„Deaktivieren“, die die Existenz des monetären Betrags u an sich betreffen, also die Schaffung und die Vernichtung von Geld bedeuten, bedürfen einer zusätzlichen Genehmigung durch die Herausgeberinstanz 1, um in der Überwachungsinstanz 2 registriert (also protokolliert) zu werden. Die übrigen Verarbeitungsoperationen (Aufteilen, Verbinden, Umschalten) bedürfen keiner Autorisierung durch die Herausgeberinstanz 1 oder durch den Befehlsinitiator (= Zahler, bspw. das erste Endgerät M1).
Eine Registrierung der jeweiligen Verarbeitung in der Überwachungsinstanz 2 wird beispielsweise durch entsprechende Listeneinträge in der Datenbank gemäß Fig. 2 realisiert. Jeder Listeneintrag hat dabei weitere Markierungen 25 bis 28, die die Zwischenergebnisse der jeweiligen Verarbeitung dokumentiert, die von der Überwachungsinstanz 2 durchgeführt werden müssen. Bevorzugt werden die Markierungen 25 bis 28 als Hilfestellung benutzt und nach Abschluss der Befehle von der Überprüfungsinstanz verworfen. Was bleibt sind dann nicht dargestellte Markierungen über die Gültigkeit der (maskierten) elektronischen Münzdatensätze aus den Spalten 22a, 22b, 23a und/oder 23b. Diese Markierungen sind bei eingehen eines Verarbeitung-Befehls beispielsweise im Zustand und werden nach erfolgreichem Absolvieren aller Prüfungen auf den Zustand„1“ gesetzt und bei mindestens einer gescheiterten Prüfung auf den Zustand„0“ gesetzt. Eine mögliche Struktur für einen Listeneintrag eines Münzdatensatzes umfasst beispielsweise zwei Spalten 22a, 22b für einen Vorgänger- Münzdatensatz (Ol, 02), zwei Spalten 23a, 23b für einen Nachfolger-Münzdatensatz (Sl, S2), eine Signatur- Spalte 24 für Herausgeberinstanz(en) 1, und vier Markierungsspalten 25 bis 28. Jeder der Einträge in den Spalten 25 bis 28 weist drei alternative Zustände „1“ oder„0“ auf. Die Spalte 25 (O-Flag) zeigt an, ob eine Gültigkeitsprüfung bezüglich eines elektronischen Münzdatensatzes in Spalte 23a/b erfolgreich war, wobei Zustand „1“ bedeutet, dass eine Validitäts-Prüfung ergab, dass der elektronische Münzdatensatz der Spalte 23a/b gültig ist und der Zustand „0“ anzeigt, dass eine Validitäts-Prüfung ergab, dass der elektronische Münzdatensatz der Spalte 23a/b ungültig und der Zustand anzeigt, dass eine Validitäts- Prüfung noch nicht abgeschlossen ist. Die Spalte 26 (C-Flag) zeigt an, ob eine Berechnung zur Prüfung der Betragsneutralität der maskierten elektronischen Münzdatensätze des Befehls erfolgreich war. Der Zustand„1“ bedeutet, dass eine Berechnung erfolgreich war und der Zustand„0“ gibt an, dass Berechnung nicht erfolgreich war und der Zustand anzeigt, dass eine Validitäts-Prüfung noch nicht abgeschlossen ist.
Die in Spalte 26 durchzuführende Berechnung lautet beispielsweise:
(Zo1 + Zo2) - (ZS1 + ZS2) == 0 (10)
Die Spalte 27 (R-Flag) zeigt an, ob eine Prüfung der Bereichsnachweise oder des Bereichsnachweises erfolgreich war, wobei Zustand„1“ bedeutet, dass eine Validitäts-Prüfung ergab, dass die Bereichsnachweise oder der Bereichsnachweis nachzuvollziehen sind oder ist und der Zustand„0“ anzeigt, dass eine Validitäts-Prüfung ergab, dass die Bereichsnachweise oder der Bereichsnachweis nicht nachvollzogen werden konnten oder konnte und der Zustand “ anzeigt, dass eine Validitäts-Prüfung noch nicht abgeschlossen ist, erfolgreich war. Die Spalte 28 (S-Flag) zeigt die erfolgreiche Verifikation der Signatur an. Der Zustand„1“ bedeutet, dass eine Validitäts-Prüfung ergab, dass die Signatur als die der Herausgeberinstanz identifiziert werden konnte und der Zustand„0“ anzeigt, dass eine Validitäts-Prüfung ergab, dass die Signatur nicht als die der Herausgeberinstanz identifiziert werden konnte und der Zustand
Figure imgf000045_0001
anzeigt, dass eine Validitäts-Prüfung noch nicht abgeschlossen ist.
Eine Änderung des Status eines der Markierungen (auch als„Flag“ bezeichnet) bedarf der Genehmigung durch die Überwachungsinstanz 2 und muss sodann unveränderlich in der Überwachungsinstanz 2 gespeichert werden. Eine Verarbeitung ist endgültig, wenn und nur wenn die erforderlichen Markierungen 25 bis 28 durch die Überwachungsinstanz 2 validiert wurden, d.h. nach der entsprechenden Prüfung vom Zustand„0“ in den Zustand„1“ oder den Zustand„l“gewechselt wurden.
Um festzustellen, ob ein maskierter elektronischer Münzdatensatz Z gültig ist, sucht die Überwachungsinstanz 2 - in der vorliegenden Variante - nach der letzten Änderung, die den maskierten elektronischen Münzdatensatz betrifft. Es gilt, dass der maskierte elektronische Münzdatensatz Z gültig ist, wenn und nur wenn der maskierte elektronische Münzdatensatz Z für seine letzte Verarbeitung in einer der Nachfolger- Spalten 23a, 23b aufgeführt ist und diese letzte Verarbeitung die entsprechende endgültige Markierung 25 bis 28 aufweist. Es gilt auch, dass der maskierte elektronische Müpzdatensatz Z gültig ist, wenn und nur wenn der maskierte elektronische Münzdatensatz Z für seine letzte Verarbeitung in einer der Vorgänger- Spalten 22a, 22b aufgeführt ist und diese letzte Verarbeitung fehlgeschlagen ist, also zumindest einer der entsprechend geforderten Zustände der Markierungen 25 bis 28 auf„0“ gesetzt ist.
Es gilt zudem, dass der maskierte elektronische Münzdatensatz Z für alle übrigen Fälle nicht gültig ist, beispielsweise, wenn der maskierte elektronische Münzdatensatz Z nicht in der Überwachungsinstanz 2 gefunden wird; oder wenn die letzte Verarbeitung des maskierten elektronischen Münzdatensatzes Z in einer der Nachfolger-Spalten 23a, 23b aufgeführt ist, diese letzte Verarbeitung aber nie endgültig wurde; oder wenn die letzte Verarbeitung des maskierten elektronischen Münzdatensatzes Z in einer der Vorgänger- Spalten 22a, 22b ist und diese letzte Verarbeitung endgültig ist.
Die Prüfungen durch die Überwachungsinstanz 2, um zu prüfen, ob eine Verarbeitung endgültig ist, werden durch die Spalten 25 bis 28 abgebildet: Der Zustand in der Spalte 25 zeigt an, ob der/die maskierten elektronischen Münzdatensätze gemäß Vorgänger- Spalten 22a, 22b gültig sind. Der Zustand in der Spalte 26 gibt an, ob die Berechnung zur Betragsneutralität, beispielsweise gemäß Gleichung (10), stimmt. Der Zustand in der Spalte 27 gibt an, ob die Bereichsnachweise für die maskierten elektronischen Münzdatensätze Z erfolgreich geprüft werden konnten. Der Zustand in Spalte 28 zeigt an, ob die Signatur in der Spalte 24 des maskierten elektronischen Münzdatensatzes Z eine gültige Signatur der Herausgeberinstanz 1 ist.
Der Zustand„0“ in einer Spalte 25 bis 28 zeigt dabei an, dass die Prüfung nicht erfolgreich war. Der Zustand„1“ in einer Spalte 25 bis 28 zeigt dabei an, dass die Prüfung erfolgreich war. Der Zustand in einer Spalte 25 bis 28 zeigt dabei an, dass keine Prüfung erfolgt ist. Die Zustände können auch einen anderen Wert aufweisen, solange eindeutig zwischen Erfolg/Misserfolg einer Prüfung unterschieden werden kann und ersichtlich ist, ob eine bestimmte Prüfung durchgeführt wurde.
Beispielhaft sind fünf verschiedene Verarbeitungen definiert, die hier im Einzelnen erläutert werden. Dabei wird auf den entsprechenden Listeneintrag in Fig. 2 verwiesen.
Eine Verarbeitung ist beispielsweise„Erzeugen“ eines elektronischen Münzdatensatzes Ci. Das Erzeugen in der Direkttransaktionsschicht 3 durch die Herausgeberinstanz 1 beinhaltet das Wählen eines monetären Betrags t>i und das Erstellen eines Verschleierungsbetrags n, wie mit Gleichung (1) bereits beschrieben wurde. Wie in Fig. 2 gezeigt, bedarf es bei der Verarbeitung „Erzeugen“ keiner Eintragungen/Markierungen in den Spalten 22a, 22b, 23b und 25 bis 27. ln der Nachfolger- Spalte 23a wird der maskierte elektronische Münzdatensatz Zi registriert. Diese Registrierung erfolgt bevorzugt vor dem Übertragen an ein Endgerät M1 bis M3, insbesondere oder bereits beim Generieren durch die Herausgeberinstanz 1, wobei in beiden Fällen dazu die Gleichung (3) ausgeführt werden muss. Der maskierte elektronische Münzdatensatz Zi ist beim Erstellen von der Herausgeberinstanz 1 signiert, diese Signatur ist in der Spalte 24 eingetragen, um sicherzustellen, dass der elektronische Münzdatensatz Ci tatsächlich von einer Herausgeberinstanz 1 erstellt wurde, wobei auch andere Verfahren dafür in Frage kommen. Stimmt die Signatur eines erhaltenen Zi mit der Signatur in Spalte 24 überein, so wird die Markierung in Spalte 28 gesetzt (von„0“ auf„1“). Die Markierungen gemäß Spalte 25 bis 27 benötigen keine Statusänderung und können ignoriert werden. Der Bereichsnachweis wird nicht benötigt, da die Überwachungsinstanz 2 darauf vertraut, dass die Herausgeberinstanz 1 keine negativen monetären Beträge ausgibt. In einer alternativen Ausführung kann er aber von der Herausgeberinstanz 1 im Erstellen-Befehl mitgesendet werden und von der Überwachungsinstanz 2 geprüft werden.
Eine Verarbeitung ist beispielsweise„Deaktivieren“. Das Deaktivieren, also das Geldvernichten, bewirkt, dass der maskierte elektronische Münzdatensatz Z; nach erfolgreichem Ausführen des Deaktivieren-Befehls durch die Herausgeberinstanz 1 ungültig wird. Man kann also den zu deaktivierenden (maskierten) elektronischen Münzdatensatz in der Überwachungsschicht 4 also nicht mehr weiter verarbeiten. Um Verwirrung zu vermeiden, sollten die entsprechenden (unmaskierten) elektronischen Münzdatensätze Ci auch in der Direkttransaktionsschicht 3 deaktiviert werden. Beim„Deaktivieren“ wird die Vorgängerspalte 22a mit dem elektronischen Münzdatensatz Zi beschrieben, aber keine Nachfolgerspalte 23a, 23b besetzt. Der maskierte elektronische Münzdatensatz Zi ist beim Deaktivieren daraufhin zu prüfen, ob die Signatur mit der Signatur gemäß Spalte 24 übereinstimmt, um sicherzustellen, dass der elektronische Münzdatensatz Ci tatsächlich von einer Herausgeberinstanz 1 erstellt wurde, wobei wieder andere Mittel für diese Prüfung verwendet werden können. Kann das signierte Zi, das im Deaktivieren-Befehl mitgesendet wird, als von der Herausgeberinstanz 1 signiert bestätigt werden, wird die Markierung 28 gesetzt (von„0“ auf„1“). Die Markierungen gemäß Spalte 26 bis 27 benötigen keine Statusänderung und können ignoriert werden. Die Markierungen gemäß Spalte 25 und 28 werden nach entsprechender Prüfung gesetzt.
Eine Verarbeitung ist beispielsweise „Aufteilen“. Das Aufteilen, also das Teilen eines elektronischen Münzdatensatzes Zi in zwei elektronische Münzteildatensätze Zj und Zk erfolgt zunächst in der Direkttransaktionsschicht 3, so wie es in Fig. 3 noch gezeigt wird, wobei die monetären Beträge Uj und des Verschleierungsbetrags rj generiert werden. Vk und rk ergeben sich über die Gleichungen (7) und (8). In der Überwachungsinstanz 2 werden die Markierungen 25 bis 27 gesetzt, die Vorgängerspalte 22a wird mit dem elektronischen Münzdatensatz Zi beschrieben, Nachfolgerspalte 23a wird mit Zj und Nachfolgerspalte 23b wird mit Zk beschrieben. Die gemäß Spalten 25 bis 27 benötigten Statusänderungen erfolgen nach der entsprechenden Prüfung durch die Überwachungsinstanz 2 und dokumentieren das jeweilige Prüfungsergebnis. Die Markierung gemäß Spalte 28 wird ignoriert.
Eine Verarbeitung ist beispielsweise„Verbinden“. Das Verbinden, also das Zusammenfügen zweier elektronischer Münzdatensätze Zi und Zj zu einem elektronischen Münzdatensatz Zm erfolgt zunächst in der Direkttransaktionsschicht 3, so wie es in Fig. 4 noch gezeigt wird, wobei der monetäre Betrag um und der Verschleierungsbetrag rm berechnet werden. In der Überwachungsinstanz 2 werden die Markierungen 25 bis 27 gesetzt, die Vorgängerspalte 22a wird mit dem elektronischen Münzdatensatz Zi beschrieben, Vorgängerspalte 22b wird mit Zj und Nachfolgerspalte 23b wird mit Zm beschrieben. Die Markierungen in den Spalten 25 bis 27 benötigen Statusänderungen und die Überwachungsinstanz 2 führt die entsprechenden Prüfungen durch. Ein Bereichsnachweis muss erbracht werden, um zu zeigen, dass kein neues Geld generiert wurde. Die Markierung gemäß Spalte 28 wird ignoriert.
Eine Verarbeitung ist beispielsweise„Umschalten“. Das Umschalten ist dann nötig, wenn ein elektronischer Münzdatensatz auf ein anderes Endgerät übertragen wurde und ein erneutes Ausgeben durch das übertragende Endgerät (hier M1) ausgeschlossen werden soll. Beim Umschalten, auch„switch“ genannt, wird der vom ersten Endgerät M1 erhaltene elektronische Münzdatensatz Ck gegen einen neuen elektronischen Münzdatensatz C1 mit gleichem monetärem Betrag ausgetauscht. Der neue elektronische Münzdatensatz C1 wird vom zweiten Endgerät M2 generiert. Dieses Umschalten ist notwendig, um die vom ersten Endgerät M1 erhaltenen elektronischen Münzdatensatz Ck zu invalideren (ungültig machen), wodurch ein erneutes Ausgeben des gleichen elektronischen Münzdatensatzes Ck vermieden wird. Denn, solange der elektronische Münzdatensatz Ck nicht umgeschaltet ist, kann - da das erste Endgerät M1 in Kenntnis des elektronischen Münzdatensatzes Ck ist - das erste Endgerät M1 diesen elektronischen Münzdatensatz Ck an ein drittes Endgerät M3 weitergeben. Das Umschalten erfolgt beispielsweise durch Hinzufügen eines neuen Verschleierungsbetrags radd zum Verschleierungsbetrag rk des erhaltenen elektronischen Münzdatensatz Ck, wodurch ein Verschleierungsbetrag n erhalten wird, die nur das zweite Endgerät M2 kennt. Dies kann auch in der Überwachungsinstanz 2 erfolgen. Um zu beweisen, dass nur einen neuen Verschleierungsbetrag radd zum Verschleierungsbetrag rk des maskierten erhaltenen elektronischen Münzdatensatzes Zk hinzugefügt wurde, der monetäre Betrag aber gleichgeblieben ist, und also Gleichung (11): uk = ul (11) gilt, so muss das zweite Endgerät M2 nachweisen können, dass sich Z1-Zk als skalares Vielfaches von G also als radd*G darstellen lässt. Das heißt, dass nur ein Verschleierungsbetrag radd erzeugt wurde und der monetäre Betrag von Z1 gleich dem monetären Betrag von Zk ist, also Z1=Zk+ radd*G. Dies erfolgt durch das Erzeugen einer Signatur mit dem öffentlichen Schlüssel Z1- Zk=radd*G.
In Fig. 3 ist ein Ausführungsbeispiel eines Bezahlsystems gemäß der Erfindung zum Aufteilen und Umschalten von elektronischen Münzdatensätzen gezeigt. In Fig. 3 hat das erste Endgerät M1 den Münzdatensatz Ci erhalten und möchte nun eine Bezahltransaktion nicht mit dem gesamten monetären Betrag ui, sondern nur mit einem Teil Vk davon durchführen. Dazu wird der Münzdatensatz Ci aufgeteilt. Dazu wird zunächst der monetäre Betrag geteilt: u = uj + uk (12)
Dabei muss jeder der erhaltenen Beträge uj, uk, größer 0 sein, denn negative monetäre Beträge sind nicht zulässig. Zudem werden neue Verschleierungsbeträge abgeleitet: ri = rj + rk (13) Dann werden die maskierten Münzdatensätze Zj und Zk gemäß Gleichung (3) aus den Münzdatensätzen Cj und Ck erhalten und in der Überwachungsinstanz 2 registriert. Für das Aufteilen werden die Vorgängerspalte 22a mit dem Münzdatensatz Zi, die Nachfolgerspalte 23 a mit Zj und die Nachfolgerspalte 23b mit Zk beschrieben. Die Markierungen in den Spalten 25 bis 27 benötigen Statusänderung und die Überwachungsinstanz 2 führt die entsprechenden
Prüfungen durch. Die Markierung gemäß Spalte 28 wird ignoriert.
Dann wird ein Münzdatensatz, hier Ck vom ersten Endgerät M1 an das zweite Endgerät M2 übertragen. Um ein doppeltes Ausgeben zu verhindern, ist eine Umschalt-Operation sinnvoll, um den vom ersten Endgerät M1 erhaltenen elektronischen Münzdatensatz Ck gegen einen neuen elektronischen Münzdatensatz C1 mit gleichem monetären Betrag auszutauschen. Der neue elektronische Münzdatensatz Q wird vom zweiten Endgerät M2 generiert. Dabei wird der monetäre Betrag des Münzdatensatzes C1 übernommen und nicht verändert, siehe Gleichung (11). Dann wird gemäß Gleichung (14) ein neuer Verschleierungsbetrag radd zum Verschleierungsbetrag rk des erhaltenen elektronischen Münzdatensatz Ck hinzugefugt, rl = rk + radd (14) wodurch ein Verschleierungsbetrag n erhalten wird, die nur das zweite Endgerät M2 kennt. Um zu beweisen, dass nur ein neuer Verschleierungsbetrag radd zum Verschleierungsbetrag rk des erhaltenen elektronischen Münzdatensatz Zk hinzugefugt wurde, der monetäre Betrag aber gleichgeblieben ist (nk = ui ), muss das zweite Endgerät M2 nachweisen können, dass sich Z1-Zk als Vielfaches von G darstellen lässt. Dies erfolgt mittels öffentlicher Signatur Radd gemäß Gleichung (15):
Figure imgf000049_0001
wobei G der Generatorpunkt der ECC ist. Dann wird der umzuschaltende Münzdatensatz C1 maskiert mittels der Gleichung (3), um den maskierten Münzdatensatz Z1 zu erhalten. In der Überwachungsinstanz 2 kann dann die private Signatur radd genutzt werden um beispielsweise den maskierten umzuschaltenden elektronischen Münzdatensatz Z1 zu signieren,, was als Beweis gilt, dass das zweite Endgerät M2 nur ein Verschleierungsbetrag radd zum maskierten elektronischen Münzdatensatz hinzugefügt hat und keinen zusätzlichen monetären Wert, d.h. v1 = vk.
Der Beweis lautet wie folgt:
Zk = uk . H + rk . G (16)
Figure imgf000050_0001
Fig. 4 zeigt ein Ausfahrungsbeispiel eines Bezahlsystems gemäß der Erfindung zum Verbinden von elektronischen Münzdatensätzen. Dabei werden im zweiten Endgerät M2 die beiden Münzdatensätze Ci und Cj erhalten. In Anlehnung an das Aufteilen gemäß Fig. 3 wird nun ein neuer Münzdatensatz Zm erhalten, indem sowohl die monetären Beträge als auch der Verschleierungsbetrag der beiden Münzdatensätze Ci und Cj addiert werden. Dann wird der erhaltene zu verbindende Münzdatensatz Cm maskiert und der maskierte Münzdatensatz Zm wird in der Überwachungsinstanz registriert.
In den Figuren 3 und 4 wird wiederum die Variante einer Datenbank der Überwachungsinstanz 2 dargestellt, die eine Liste von Verarbeitungen der maskierten Münzdatensätze enthält. Andere Varianten einer Datenbank, beispielsweise maskierte Münzdatensätze mit Status oder nur gültige maskierte Münzdatensätze, sind ebenso - wie zu Fig. 2 bereits erwähnt - einsetzbar.
Fig. 5 bis 7 ist jeweils ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens 100. Nachfolgend werden beide Figuren 5 und 6 gemeinsam erläutert.
Die Schritte 101 bis 104 sind optional für das weitere Verfahren und werden am Beispiel des Endgerätes M1 beschrieben. In den optionalen Schritten 101 und 102 wird ein Münzdatensatz angefragt und seitens der Herausgeberinstanz 1 dem ersten Endgerät M1 nach Erstellen des elektronischen Münzdatensatzes bereitgestellt. Ein signierter maskierter elektronischer Münzdatensatz wird im Schritt 103 an die Überwachungsinstanz 2 gesendet. Im Schritt 103 erfolgt ein Maskieren des erhaltenen elektronischen Münzdatensatzes Ci gemäß der Gleichung (3) und wie in Fig. 1 erläutert. Dann wird im Schritt 104 der maskierte elektronische Münzdatensatz Zi in der Überwachungsinstanz 2 registriert. Es könnte vorgesehen werden, dass maskierte elektronische Münzdatensätze in der Überwachungsinstanz erst gültig sind, wenn sie von einem Teilnehmer, wie Endgerät oder Server, registriert werden. Alternativ kann - wie zu Fig. 1 erläutert - der maskierte elektronische Münzdatensatz Zi in der Überwachungsinstanz 2 bereits nach Schritt 102 als gültiger maskierter elektronischer Münzdatensatz registriert sein. Optional kann das Endgerät M1 den erhaltenen elektronischen Münzdatensatz mit Schritt 104 umschalten, wie es jedoch näher erst zu Schritt 108 beschrieben wird.
Im Schritt 105 erfolgt das Übertragen des Münzdatensatzes Ci in der Direkttransaktionsschicht 3 an das zweite Endgerät M2. In den optionalen Schritten 106 und 107 erfolgt eine Validitätsprüfung mit vorheriger Maskierung, bei der im Gutfall die Überwachungsinstanz 2 die Gültigkeit des Münzdatensatzes Z, bzw. Ci bestätigt wird.
Im Schritt 108 erfolgt das Umschalten eines erhaltenen Münzdatensatzes Ck (es könnte natürlich auch der erhaltene Münzdatensatz Ci umgeschaltet werden) auf einen neuen Münzdatensatz C1, wodurch der Münzdatensatz Ck ungültig wird und ein Doppeltausgeben verhindert wird. Dazu wird der monetäre Betrag Vk des übertragenen Münzdatensatzes Ck als„neuer“ monetärer Betrag ul uerwendet. Zudem wird, wie bereits mit Gleichungen (14) bis (17) erläutert, der Verschleierungsbetrag n erstellt. Der zusätzliche Verschleierungsbetrag radd wird verwendet, um zu beweisen, dass kein neues Geld (in Form eines höheren monetären Betrags) von dem zweiten Endgerät M2 generiert wurde. Dann wird unter anderem der maskierte umzuschaltende Münzdatensatz Z1 an die Überwachungsinstanz 2 gesendet und das Umschalten von Ck auf C1 beauftragt.
Im Schritt 108‘ erfolgt die entsprechende Prüfung in der Überwachungsinstanz 2. Dabei wird Zk in die Spalte 22a gemäß Tabelle in Fig. 2 eingetragen und in Spalte 23b der umzuschreibende Münzdatensatz Z1. Es erfolgt sodann eine Prüfung in der Überwachungsinstanz 2, ob Zk (noch) gültig ist, also ob die letzte Verarbeitung von Zk in einer der Spalten 23a/b eingetragen ist (als Beweis dafür, dass Zk nicht weiter aufgeteilt oder deaktiviert oder verbunden wurde) und ob eine Prüfung für die letzte Verarbeitung fehlgeschlagen ist. Zudem wird Z1 in die Spalte 23b eingetragen und die Markierungen in. den Spalten 25, 26, 27 werden zunächst auf„0“ gesetzt. Nun erfolgt eine Prüfung, ob Z1 gültig ist, wobei dabei die Prüfung gemäß Gleichungen (16) und (17) verwendet werden können. Im Gutfall wird die Markierung in Spalte 25 auf„1“ gesetzt, ansonsten auf„0“. Nun erfolgt eine Prüfung, die Berechnung gemäß Gleichung (10) ergibt, dass Zk und Z1 gültig sind und entsprechend wird die Markierung in Spalte 26 gesetzt. Weiterhin wird geprüft, ob die Bereiche schlüssig sind, sodann wird die Markierung in Spalte 27 gesetzt. Wenn alle drei Prüfungen erfolgreich waren, und dies entsprechend unveränderlich in der Überwachungsinstanz 2 festgehalten wurde, gilt der Münzdatensatz als umgeschaltet. D.h. der Münzdatensatz Ck ist nicht mehr gültig und ab sofort ist der Münzdatensatz C1 gültig. Ein Doppeltausgeben ist nicht mehr möglich, wenn ein drittes Endgerät M3 die Validität des (doppelt ausgegebenen) Münzdatensatz an der Überwachungsinstanz 2 erfragt.
In der Regel werden - leicht abweichend von der Darstellung in Figur 5 - die von der Herausgeberinstanz erstellten elektronischen Münzdatensätze Ci an eine Instanz (wie Server, Rechner ...) einer Geschäftsbank übertragen (ausgegeben). Die (Server-)Instanz der Geschäftsbank stellt die elektronischen Münzdatensätze für Endgeräte bereit. Das Endgerät M1 fordert und erhält dann in den Schritten 101 und 102 den elektronischen Münzdatensatz von der Instanz der Geschäftsbank. Insbesondere wenn das Endgerät M1 den elektronischen Münzdatensatz Ci von einem Server einer Geschäftsbank anfordert und erhält, ist ein Umschalten bereits in Schritt 104 sinnvoll.
Im Schritt 109 erfolgt ein Verbinden von zwei Münzdatensätzen Ck und Ci auf einen neuen Münzdatensatz Cm, wodurch die Münzdatensätze Ck, G ungültig werden und ein Doppeltausgeben verhindert wird. Dazu wird der monetäre Betrag um aus den beiden monetären Beträgen uk und ui gebildet. Dazu wird der Verschleierungsbetrag rm aus den beiden Verschleierungsbeträgen rk und n gebildet. Zudem wird mittels Gleichung (3) der maskierte zu verbindende Münzdatensatz erhalten und dieser (mit anderen Informationen zusammen) an die Überwachungsinstanz 2 gesendet und das Verbinden als Verarbeitung erbeten.
Im Schritt 109‘ erfolgt die entsprechende Prüfung in der Überwachungsinstanz 2. Dabei wird Zm in die Spalte 23b gemäß Tabelle in Fig. 2 eingetragen. Es erfolgt sodann eine Prüfung in der Überwachungsinstanz 2, ob Zk und Zi (noch) gültig sind, also ob die letzte Verarbeitung von Zk oder Zi in einer der Spalten 23a/b eingetragen ist (als Beweis dafür, dass Zk und Zi nicht weiter aufgeteilt oder deaktiviert oder verbunden wurden) und ob eine Prüfung für die letzte Verarbeitung fehlgeschlagen ist. Zudem werden die Markierungen in den Spalten 25, 26, 27 zunächst auf„0“ gesetzt. Nun erfolgt eine Prüfung, ob Zm gültig ist, wobei dabei die Prüfung gemäß Gleichungen (16) und (17) verwendet werden können. Im Gutfall wird die Markierung in Spalte 25 auf„1“ gesetzt, ansonsten auf„0“. Nun erfolgt eine Prüfung, die Berechnung gemäß Gleichung (10) ergibt, dass Zi plus Zk gleich Zm ist und entsprechend wird die Markierung in Spalte 26 gesetzt. Weiterhin wird geprüft, ob die Bereiche schlüssig sind, sodann wird die Markierung in Spalte 27 gesetzt.
Im Schritt 110 erfolgt ein Aufteilen eines Münzdatensatz Ci in zwei Münzteildatensätzen Ck und Cj, wodurch der Münzdatensatz Ci ungültig gemacht wird und die beiden geteilten Münzteildatensätze gültig gemacht werden sollen. Dazu wird der monetäre Betrag ui in die beiden monetären Beträge uk und uj aufgeteilt. Dazu wird der Verschleierungsbetrag r; in die beiden Verschleierungsbeträge rk und h aufgeteilt. Zudem werden mittels Gleichung (3) die maskierten Münzteildatensätze Zk und Zj erhalten und diese mit weiteren Informationen, beispielsweise den Bereichsprüfüngen, an die Überwachungsinstanz 2 gesendet und das Aufteilen als Verarbeitung erbeten.
Im Schritt 110‘ erfolgt die entsprechende Prüfung in der Überwachungsinstanz 2. Dabei werden Zj und Zk in die Spalten 23a/b gemäß Tabelle in Fig. 2 eingetragen. Es erfolgt sodann eine Prüfung in der Überwachungsinstanz 2, ob Zj (noch) gültig ist, also ob die letzte Verarbeitung von Zi in einer der Spalten 23a/b eingetragen ist (als Beweis dafür, dass Zi nicht weiter aufgeteilt oder deaktiviert oder verbunden wurde) und ob eine Prüfung für die letzte Verarbeitung fehlgeschlagen ist. Zudem werden die Markierungen in den Spalten 25, 26, 27 zunächst auf„0“ gesetzt. Nun erfolgt eine Prüfung, ob Zj und Zk gültig sind, wobei dabei die Prüfung gemäß Gleichungen (16) und (17) verwendet werden können. Im Gutfall wird die Markierung in Spalte 25 auf„1“ gesetzt. Nun erfolgt eine Prüfung, die Berechnung gemäß Gleichung (10) ergibt, dass Zi gleich Zk plus Zj ist und entsprechend wird die Markierung in Spalte 26 gesetzt. Weiterhin wird geprüft, ob die Bereiche schlüssig sind, sodann wird die Markierung in Spalte 27 gesetzt.
In Fig. 8 ist ein Ausführungsbeispiel eines erfmdungsgemäßen Geräts M1 gezeigt. Das Gerät M1 kann elektronische Münzdatensätze Ci in einem Datenspeicher 10, 10‘ ablegen. Dabei können die elektronischen Münzdatensätze C, auf dem Datenspeicher 10 des Geräts M1 liegen oder in einem externen Datenspeicher 10‘ verfügbar sein. Bei Verwenden eines externen Datenspeichers 10‘ könnten die elektronischen Münzdatensätze Ci in einem Online-Speicher abgelegt sein, beispielsweise einem Datenspeicher 10‘ eines Anbieters für digitale Geldbörsen. Zusätzlich könnten auch private Datenspeicher, bspw. ein Network- Attached-Storage, NAS in einem privaten Netzwerk verwendet werden.
In einem Fall ist der elektronische Münzdatensatz Ci als ein Ausdruck auf Papier dargestellt. Dabei kann der elektronische Münzdatensatz durch einen QR-Code, ein Bild eines QR-Codes dargestellt werden, oder aber auch eine Datei oder eine Zeichenfolge (ASCII) sein.
Das Gerät M1 hat mindestens eine Schnittstelle 12 als Kommunikationskanal zum Ausgeben des Münzdatensatzes Ci zur Verfügung. Diese Schnittstelle 12 ist beispielsweise eine optische Schnittstelle, beispielsweise zum Darstellen des Münzdatensatzes Ci auf einem Anzeigeeinheit (Display), oder einen Drucker zum Ausdrucken des elektronischen Münzdatensatzes Ci als Papier- Ausdruck. Diese Schnittstelle 12 kann auch eine digitale Kommunikationsschnittstelle, beispielsweise für Nahfeldkommunikation, wie NFC, Bluetooth, oder eine Internetfähige Schnittstelle, wie TCP, IP, UDP, HTTP oder ein Zugriff auf eine Chipkarte als
Sicherheitselement sein. Diese Schnittstelle 12 ist beispielsweise eine Datenschnittstelle, sodass der Münzdatensatz Ci über eine Applikation, beispielsweise einem Instant-Messenger-Dienst oder als Datei oder als Zeichenfolge zwischen Geräten übertragen wird.
Zudem ist die Schnittstelle 12 oder eine weitere Schnittstelle (nicht dargestellt) des Geräts M1 dazu eingerichtet, mit der Überwachungsinstanz 2 gemäß der Beschreibung in den Figuren 1 bis 6 zu interagieren. Das Gerät M1 ist dazu bevorzugt onlinefähig.
Darüber hinaus kann das Gerät M1 auch eine Schnittstelle zum Empfang von elektronischen Münzdatensätzen aufweisen. Diese Schnittstelle ist eingerichtet visuell präsentierte
Münzdatensätze, beispielsweise mittels Erfassungsmodul wie Kamera oder Scanner, oder digital präsentierte Münzdatensätze, empfangen via NFC, Bluetooth, TCP, IP, UDP, HTTP oder mittels einer Applikation präsentierte Münzdatensätze zu empfangen.
Das Gerät M1 umfasst auch eine Recheneinheit 13, die das oben beschriebene Verfahren zum Maskieren von Münzdatensätzen und die Verarbeitungen an Münzdatensätzen durchführen kann.
Das Gerät M1 ist onlinefähig und kann bevorzugt mittels eines Standorterkennungs-Moduls 15 erkennen, wenn es mit einem WLAN verbunden ist. Optional kann ein spezifisches WLAN Netz als bevorzugt markiert sein (=Standortzone), sodass das Gerät M1 besondere Funktionen nur ausführt, wenn es in diesem WLAN Netz angemeldet ist. Alternativ erkennt das Standorterkennungs-Modul 15, wenn das Gerät M1 in vordefinierten GPS-Koordinaten inklusive eines definierten Radius ist und führt die besonderen Funktionen entsprechend der so definierten Standortzone durch. Diese Standortzone kann entweder manuell in das Gerät M1 oder via andere Einheiten/Module in das Gerät M1 eingebracht werden. Die besonderen Funktionen, die das Gerät M1 bei Erkennen der Standortzone durchfuhrt, sind insbesondere das Übertragen von elektronischen Münzdatensätzen von/zum externen Datenspeicher 10 von/zu einem Tresormodul 14 und ggf. das Übertragen maskierter Münzdatensätze Z an die Überwachungsinstanz 2, beispielsweise im Rahmen von den o.g. Verarbeitungen an einem Münzdatensatz.
Im einfachsten Fall werden im Endgerät M1 alle Münzdatensätze Ci nach Erhalt automatisch zu einem Münzdatensatz verbunden (siehe Verbinden- Verarbeitung bzw. Verbinden-Schritt). Das heißt, sobald ein neuer elektronischer Münzdatensatz empfangen wird, wird ein Verbinden bzw. Umschalten-Befehl an die Überwachungsinstanz 2 gesendet. Das Gerät M1 kann elektronische Münzdatensätze auch in algorithmisch festgelegten Denominationen vorbereiten und im Datenspeicher 10, 10‘ Vorhalten, damit auch ohne Daten Verbindung zur Überwachungsinstanz 2 ein Bezahlvorgang möglich ist.
In Fig. 9 ist ein Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens 200 gezeigt. Dabei werden im Gerät M1 die Münzdatensätze Ci wie folgt verwaltet.
Das Gerät M1 kann wie oben beschrieben mittels des Standorterkennungs-Moduls 15 eine vordefinierte Standortzone erkennen, Schritt 201. In dieser Standortzone kann das Endgerät M1 sodann automatisch auf einen vordefinierten Schwellwert, also ein festgelegtes Limit X, an monetären Beträgen ui in Form von elektronischen Münzdatensätzen Ci auf- oder entladen. Dazu wird das Gerät M1 personalisiert. Dazu werden über eine Schnittstelle eine Bankverbindung (Bankkonto-Daten) bzw. ein Tresormodul und der Schwellwert X angegeben. Der Nutzer muss sich ggf. am Bankkonto bzw. einem Tresormodul authentisieren, um monetäre Beträge vom Bankkonto per Lastschrift abzubuchen bzw. an das Bankkonto zu überweisen bzw. Münzdatensätze von dem Tresormodul zu empfangen oder an das Tresormodul zu senden.
Ziel des Verfahrens 200 ist es, stets den Schwellwert X als monetären Betrag - in einem einzigen (verbundenen) elektronischen Münzdatensatz oder in allen elektronischen Münzdatensätzen - im Gerät vorrätig zu haben.
Im Endgerät M1 können alle Münzdatensätze Ci nach Erhalt eines Münzdatensatzes automatisch zu einem Münzdatensatz verbunden werden (siehe Verbinden-Schritt). Beispielsweise kann durch das Verbinden ein Münzdatensatz Ci mit einem monetären Betrag ui größer dem Schwellwert X erhalten (hier mit Y abgekürzt) werden. Ist die Vorgabe nicht mehr erfüllt, liegt also beispielsweise der Nein-Fall in Schritt 202 der Fig. 9, so wird in Schritt 203 durch das Gerät M1 der Münzdatensatz Ci aufgeteilt, so dass ein erster elektronischer Münzteildatensatz mit dem monetären Betrag X und ein zweiter elektronischer Münz(teil)datensatz C mit dem monetären Betrag M=Y-X erhalten wird. Die beiden Münzteildatensätze werden dabei auch in der Überwachungsinstanz 2 registriert. Der zweite Münz(teil)datensatz C wird in Schritt 204 an die Herausgeberinstanz zurückgegeben. Die Herausgeberinstanz schreibt den monetären Betrag M dem Bankkonto des Nutzers gut, dies kann beispielsweise mittels Gutschrift oder Überweisung erfolgen. Sofern in dem Gerät bereits ein elektronischer Münzdatensatz mit (genau oder ungefähr) dem monetären Betrag M vorliegt, kann Schritt 203 entfallen und dieser Münzdatensatz direkt zurückgegeben 204 werden.
In einer weiteren nicht in der Figur dargestellten Variante wird eine Überweisung ausgelöst, mit der ein Differenzbetrag aus monetärem Betrag Y und Schwellwert X (für einen monetären Betrag) auf das vorpersonalisierte Bankkonto gutgeschrieben wird. Parallel dazu wird die verbundene Münze Ci aufgeteilt (Aufteilen-Schritt) und die entsprechend maskierten Münzteildatensätze an die Überwachungsinstanz 2 gesendet, um den gutgeschriebenen Münzteildatensatz (Y-X) an das Tresormodul bzw. dem Überweisenden zu schicken.
Ist - gemäß Ja-Fall des Schritts 202 - ein Münzdatensatz Ci mit einem monetären Betrag kleiner dem Schwellwert X im Gerät M1 enthalten (beispielsweise, wenn mit einem Betrag X-Y bezahlt wurde), so wird durch das Gerät M1 eine Lastschrift im Schritt 205 beantragt, mit der ein Differenzbetrag aus dem Schwellwert X und dem monetären Betrag Y des abgelegten Münzdatensatz Ci vom Bankkonto abgehoben wird. Parallel dazu erhält das Gerät M1 einen neuen Münzdatensatz von der Herausgeberinstanz 1 im Schritt 205, siehe Erstellen- Schritt, wie er oben beschrieben ist. Alternativ oder ergänzend zu einem Schwellwert als Vorgabe kann auch eine Denominations vorgabe vorliegen. Mit der Denominationsvorgabe wird festgelegt, wie viele elektronische Münzdatensätze mit welcher Denomination (also mit welchem monetären Betrag) im Gerät vorrätig sein sollen. Der Ablauf des Verfahrens 200 kann im Wesentlichen analog sein. Vereinfacht werden entweder fehlende elektronische Münzdatensätze angefordert und erhalten oder überschüssige elektronische Münzdatensätze, zurückgegeben. In einem optionalen Vorschritt können durch Aufteilen und Verbinden elektronische Münzdatensätze gemäß der Denominationsvorgabe erzeugt werden.
In Fig. 9 sind zudem auch die Verfahrensschritte des Verfahrens 300 dargestellt. Dabei wird ein Zugriff auf ein Tresormodul 14 des Geräts M1 vorgesehen. Im Nein-Fall des Schritts 301 wird der Betrag Y-X im Schritt 302 in das Tresormodul 14 geschrieben. Im Ja-Fall des Schritts 301 wird der Betrag Y-X im Schritt 303 aus dem Tresormodul 14 geladen. Dazu sind bevorzugt Authentifizierungen des Benutzers notwendig.
Das Tresormodul 14 ist dabei ein Datenspeicher auf den nach zusätzlicher erfolgreicher Authentisierung zugegriffen werden darf. Dieses Tresormodul 14 kann entweder im Gerät M1 sein, z.B. einem Bereich, der durch zusätzliche Sicherheitsfunktionen geschützt ist, oder das Tresormodul 14 ist extern vom Gerät M1, zum Beispiel auf dem Server eines vertrauenswürdigen Drittens, der die Tresormodul-Funktion anbietet. Das Tresormodul 14 kann Münzdatensätze verarbeiten und diese mit der Überwachungsinstanz 2 registrieren lassen.
In Fig. 10 ist ein weiteres Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens 400 dargestellt. Das Gerät M1 weist dabei einen Datenspeicher 10 und ein Tresormodul 14 auf. Ein anderes Gerät M2 erbittet im Schritt 401 die Zahlung eines Betrags Y. Das Gerät M1 erkennt im Schritt 402, dass es den Betrag Y nicht im Datenspeicher 10 aufweist, da er größer ist, als der vordefinierte Schwellwert X. M1 erfragt daher den Betrag Y-X (oder Y) vollautomatisch vom Tresormodul 14 im Schritt 403. Ist der Betrag Y-X (oder Y) im Tresormodul 14 vorhanden (hier nicht dargestellt), wird dieser vom Gerät M1 an das Gerät M2 übertragen, entweder mit vorheriger Übertragung des Betrags vom Tresormodul 14 an das Gerät M1 oder durch direkte Übertragung vom Tresormodul 14 an das andere Gerät M2. Zusätzlich zu dem Münzdatensatz des Tresormoduls mit dem monetären Betrag Y-X, wird das Gerät M1 den Münzdatensatz mit dem Betrag X übertragen.
Gemäß Fig. 10 hat das Tresormodul 14 den Betrag Y-X (bzw. Y) nicht vorrätig. Der Betrag X im Tresormodul 14 ist also geringer als der angeforderte Betrag Y-X (bzw. Y). Daher fragt das Tresormodul im Schritt 404 bei der Herausgerbinstanz 1 oder (nicht dargestellt) einem anderen Liquiditätsanbieter einen Münzdatensatz C mit dem monetären Differenzbetrag Y-X an. Die Herausgeberinstanz 1 erzeugt im Schritt 405 einen entsprechenden Münzdatensatz C mit dem Differenzbetrag Y-X und überträgt diesen im Schritt 406 an das Tresormodul 14. Zudem wird der signierte maskierte elektronische Münzdatensatz an die Überwachungsinstanz 2 gesendet, siehe Schritt 407 (siehe auch Fig. 1 bis 7 für Details). Bevorzugt hält die Herausgeberinstanz eine Vielzahl bereits erzeugter und registrierter Münzdatensätze bereit, so dass Schritt 407 sowie das Erzeugen entfallen. Der Liquiditätsanbieter verarbeitet die Anfrage an einen elektronischen Münzdatensatz vom monetären Wert Y-X (nicht in Fig. 10 dargestellt). Dabei werden folgende Schritte ausgeführt: Registrieren nach einem Aufteilen-Schritt in der Überwachungsinstanz 2, um einen elektronischen Münzdatensatz des benötigten monetären Wertes zu erzeugen; und Versenden des angefragten elektronischen Münzdatensatzes an das Tresormodul 14. Das Tresormodul 14 verbindet den Münzdatensatz X mit dem Münzdatensatz Y-X, um den Betrag Y als neuen Münzdatensatz zu erhalten, siehe Schritt 408 (siehe auch Fig. 1 bis 7 für Details). Der verbundene Münzdatensatz Y wird im Schritt 409 an das andere Gerät M2 übertragen, entweder direkt vom Tresormodul 14 oder über das Gerät M1. Das Ablaufdiagramm der Fig. 10 oberhalb der Strichlinie entspricht beispielsweise auch den Verfahrensschritten 202, 203, 204 bzw. 301, 302 und 303 der Fig. 9.
Das Ablaufdiagramm der Fig. 10 unterhalb der Strichlinie entspricht beispielsweise auch den Verfahrensschritten 202, 205, 206 bzw. 301, 303 und 304 der Fig. 9. Dabei überträgt ein anderes Gerät M2 die Zahlung eines Betrags Y im Schritt 410 an das Gerät M1. Das Gerät M1 erkennt im Schritt 411, dass der Betrag Y den Schwellwert X übersteigt. Das Gerät M1 veranlasst daher die Überweisung des korrespondierenden Überschusses, hier die Überweisung des monetären Betrags X-Y im Schritt 412. Dazu veranlasst das Tresormodul 14 vollautomatisch die Überweisung an das Bankinstitut 1 im Schritt 413 (in Fig. 10 ist das Bankinstitut gleichzeitig auch Herausgeberinstanz 1 ; darauf ist der Erfmdungsgedanke aber nicht beschränkt). Dabei wird ein Aufteilen-Schritt vom Tresormodul 14 durchgeführt und in der Überwachungsinstanz 2 registriert, siehe Schritt 414 (siehe auch Fig. 1 bis 7 für Details). Der Schritt des Aufteilens 414 kann parallel oder vor dem Schritt des Überweisens 413 erfolgen. So kann insbesondere wiederum eine Rückgabe bzw. das Übertragen des aufgeteilten Münzteildatensatzes an die Herausgeberinstanz die Überweisung auslösen.
In Fig. 11 ist ein weiteres Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens 500 gezeigt. Das Gerät M1 hat einen Datenspeicher 10 für elektronische Münzdatensätze Ci. Ein Teil dieses Speichers 10 kann durch eine Applikation 5, die auf jedem der Endgeräte M1, M3 installiert und betriebsbereit ist, mit anderen Geräten M3 synchronisiert werden, siehe Schritt 501. Damit haben verschiedene Nutzer dieser synchronisierten Geräte M1, M3 gleichzeitig Zugriff auf die elektronische Münzdatensätze Ci. Sie teilen sich die elektronische Münzdatensätze Ci, die in diesem Teil des Datenspeichers 10 abgelegt sind.
Neben den elektronischen Münzdatensätzen Ci sind in dem gemeinsamen Teil des Datenspeichers 10 auch Identifizierungsdaten der zu synchronisierenden Geräte M1, M3 abgelegt.
Zur Synchronisation hat jedes Gerät M1, M3 diese Anwendung 5 - sozusagen eine gemeinsam genutzte digitale Geldbörse. Diese Anwendung 5 stellt sicher, dass Informationen an die Geräte M1, M3 kommuniziert werden. Die Anwendung 5 ist zudem in Kommunikationsverbindung mit der Überwachungsinstanz 2, siehe Schritt 502.
Im System gemäß Fig. 11 sind elektronische Münzdatensätze Ci aus Sicherheitsgründen nicht zentral in der Applikation 5 gespeichert, sondern lokal auf jedem der Geräte M1, M3. Ein Gerät M1 kann nun über die Applikation 5 - also die gemeinsam genutzte digitale Geldbörse - eine Verarbeitung an einer der gemeinsamen elektronische Münzdatensätzen Ci mittels der Überwachungsinstanz 2 vornehmen lassen. Auf Anfrage gemäß Schritt 502 kontaktiert die Applikation 5 im Schritt 503 im Rahmen eines Aufteilen-Schritts (siehe Fig. 1 bis Fig. 7 für Details) die Überwachungsinstanz 2, um ursprüngliche elektronische Münzdatensätze Ci deaktivieren zu lassen (=für ungültig zu erklären) und um entsprechend aufgeteilte oder neu erstellte maskierte Münzdatensätze in der Überwachungsinstanz 2 zu dokumentieren und diese für gültig zu erklären. Die Applikation 5 synchronisiert im Schritt 505 sodann wieder die Geräte M1, M3.
Die Fig. 12 zeigt ein Ausführungsbeispiel eines erfindungsgemäßen Geräts M1 in Kommunikations Verbindung mit einem anderen Gerät M2 zum Übertragen von monetären Beträgen in Form von Münzdatensätzen. Bezüglich des Geräts M1 wird auf die Beschreibung zur Fig. 8 verwiesen. Das andere Gerät M2 stellt beispielsweise eine Maschine dar, die elektronischen Münzdatensätze Ci direkt empfangen und versenden kann. Außerdem kann sie maskierte elektronische Münzdatensätze berechnen, also einen Maskieren-Schritt für elektronische Münzdatensätze durchführen. Das andere Gerät M2 kann mit einer Überwachungsinstanz 2 kommunizieren (nicht dargestellt). Das andere Gerät M2 ist beispielsweise ein Selbstbedienungsterminal - ähnlich eines Geldautomaten - oder ist ein Bediensystem, wie zum Beispiel ein Kassensystem, bestehend aus mehreren Komponenten. Das andere Gerät M2 hat beispielsweise ein Kartenlesegerät, um Sicherheitselemente (Chipkarten, eUICC) auslesen zu können, wodurch ein Nutzer zweifelsfrei identifiziert werden kann. Zudem hat das andere Gerät M2 beispielsweise eine Tastatur. Zudem hat das andere Gerät beispielsweise eine Schnittstelle 12 zum Ausgeben von Münzdatensätzen, die der Schnittstelle 12 bzw. den Schnittstellen des Geräts M1 vollkommen entsprechen können. Auf etwaige Ausführungen zum Gerät M1 wird daher an dieser Stelle verwiesen. Beispielsweise ist die Schnittstelle 12 des anderen Geräts M2 Ausgabeschnittstelle für optoelektronisch erfassbare Münzdatensätze, also beispielsweise ein Bildschirm oder ein Monitor; oder eine digitale (Protokoll, bzw. Daten-)Schnittstelle, wie NFC, Bluetooth, TCP, IP, UDP, HTTP, oder eine Schnittstelle zum Übertragen von Datensätzen mittels Applikation, wie Textdatei, ASCII- Zeichenfolge, Instant-Messenger-Dienst oder gemäß einer Geldbörsen-Applikation 5.
Des Weiteren hat das andere Gerät M2 eine oder mehrere Schnittstellen zum Empfangen von Münzdatensätzen, die der/den entsprechende(n) Schnittstelle(n) des Geräts M1 entsprechen, beispielsweise eine optische Schnittstelle 11 (Scanner oder Kamera) oder eine digitale Schnittstelle, ggf. kombiniert mit der digitalen Schnittstelle zum Ausgeben von Münzdatensätzen Ci.
Des Weiteren hat das andere Gerät M2 eine oder mehrere Schnittstellen zum Kommunizieren mit der Überwachungsinstanz 2, beispielsweise zum Übertragen maskierter Münzdatensätze Zi.
Zudem hat das Gerät M2 beispielsweise ein Eingabe- und/oder Ausgabemodul 16 für Banknoten und/oder einen Zufallszahlengenerator bzw. eine Schnittstelle zum Empfangen einer Zufallszahl. Ein Kassenmodul 17 des anderen Geräts M2 steht beispielsweise für den Zugang zu einem Kontosystem einer (oder mehrerer) Geschäftsbanken zur Verfügung, wodurch einem Nutzer auch Zugang zu ihrem/seinen Bankkonto gewährleistet wird. Einen kryptografischen Schlüssel zum Signieren einer Deaktivieren- Verarbeitung ist ebenfalls optional im anderen Gerät M2 vorhanden. Das andere Gerät M2 hat ebenfalls einen Datenspeicher 10 oder Mittel zum Zugreifen auf einen externen Datenspeicher 10‘. Das Gerät M2 bezieht gültige elektronische Münzdatensätze Ci entweder aus dem Datenspeicher 10 oder über die Schnittstelle zu einem Betreiber der Maschine, der den elektronischen Münzdatensatz Ci in einem extern Datenspeicher 10‘ verwaltet oder über eine Tauschbörse.
Der Nutzer des Geräts M1 kann beim Bezahlen mit Bargeld (z.B. an einem Kassenterminal) das Rückgeld als Kombination aus Banknoten und elektronischen Münzdatensätzen Ci erhalten.
In einem Fall bekommt er einen Teil des Rückgelds aus Geldscheinen, abgerundet auf die nächste Denomination von Banknoten und der zweite Teil des Rückgelds wird als elektronischer Münzdatensatz Ci empfangen. Dieser elektronische Münzdatensatz Ci bzw. die elektronischen Münzdatensätze können elektronisch oder als Ausdruck empfangen werden. Dazu teilt das Kassenmodul 17 des anderen Geräts M2 der Recheneinheit 13 des anderen Geräts M2 mit, wieviel Rückgeld als elektronischer Münzdatensatz Ci gezahlt werden soll. Dann führt die Recheneinheit 13 des anderen Geräts M2 ein Aufteilen-Schritt durch und informiert die Überwachungsinstanz 2 entsprechend zum Registrieren der aufgeteilten Münzteildatensätze. Optional kann das Gerät M1 durch beispielsweise Vibrieren oder einem optischen Signal dem Nutzer bestätigen, dass der zweite Teil des Rückgelds als elektronischer Münzdatensatz Ci empfangen wurde.
In einem alternativen Fall bekommt der Nutzer des Geräts M1 einen Teil des Rückgelds als Banknoten von dem anderen Gerät M2, aufgerundet auf die nächste Denomination. Das Gerät M1 überträgt dann „negatives“ Rückgeld in Form eines oder mehrerer elektronischen/-r Münzdatensatzes/-sätze Ci an das andere Gerät M2. Diese(r) elektronische(n) Münzdatensatz/- sätze Ci kann er elektronisch oder als Ausdruck ausgeben. Zum Beispiel hat der Nutzer eine Rechnung über 12,28€ und zahlt mit einer 20€ Banknote. Der Nutzer von Gerät M1 erhält eine 10€ Banknote (= die nächstgrößte Denomination) als Bargeld- Anteil. Das Gerät M1 überträgt einen monetären Betrag von 2,28€ als„negatives Rückgeld“ an das Gerät M2 in Form eines elektronischen Münzdatensatzes Ci. Hierbei kommuniziert das Kassenmodul 17 des andern Geräts M2 mit der Recheneinheit 13 des anderen Geräts M2, wieviel monetärer Betrag u in Form eines elektronischen Münzdatensatzes Ci vom Gerät M1 eingefordert werden muss. Die Forderung wird im Gerät M1 empfangen. Mittels eines Aufteilen-Befehls und dazugehörigem Registrieren bei der Überwachungsinstanz 2 wird das negative Rückgeld in dem anderen Gerät M2 erhalten. Das Gerät M2 führt einen Umschalten-Befehl durch. Optional kann das Gerät M1 dem Nutzer durch beispielsweise Vibrieren oder einem optischen Signal eine Transaktionsbestätigung anzeigen.
In Fig. 13 ist ein weiteres Ausführungsbeispiel eines Verfahrensablaufdiagramms eines erfindungsgemäßen Verfahrens 600 gezeigt. Oberhalb der Strichlinie ist ein Verfahren zum Ausgeben von Bargeld an einem anderen Gerät M2 gezeigt. In diesem Fall hat das andere Gerät M2 zwingend ein Ausgabefach 16 für Bargeld und kann Verschleierungsbeträge, also Zufallszahlen r, generieren oder beziehen.
Das Gerät M1 hat einen elektronischen Münzdatensatz Ci und möchte diese im Schritt 601 in Bargeld umwandeln. Der Nutzer des Geräts M1 wählt dazu die Funktion„Bargeld ausgeben“ am anderen Gerät M2 aus, sollte es sich um ein Selbstbedienungsterminal handeln. Das Gerät M1 überträgt den elektronischen Münzdatensatz O an das Gerät M2 im Schritt 602. Das andere Gerät M2 empfängt den elektronischen Münzdatensatz Ci. Das andere Gerät M2 generiert einen neuen Entropiefaktor, hier Zufallszahl rj, und bildet daraus einen neuen elektronischen Münzdatensatz Cj im Rahmen eines Umschalten-Schritts gemäß Schritt 603, wie in Fig. 1 bis Fig. 7 im Detail beschrieben. Dann berechnet das andere Gerät M2 die Maskierungen Z; und Zj aus f(Ci) und f (Cj) und schaltet den elektronischen Münzdatensatz Ci auf Cj um, wobei dazu die maskierten Münzdatensätze Zi und Zj an die Überwachungsinstanz 2 gesendet werden, siehe Schritt 604. Falls die Überwachungsinstanz 2 das Umschalten nicht ausführt (beispielsweise, weil eine für das Umschalten benötigte Überprüfung fehlgeschlagen ist, siehe oben), lehnt das andere Gerät M2 die Anfrage vom Nutzer des Geräts M1 ab (hier nicht dargestellt). Falls die Überwachungsinstanz 2 das Umschalten registrieren kann (Prüfungen erfolgreich), wird im Schritt 605 der elektronische Münzdatensatz Cj auf das andere Gerät M2 umgeschrieben und Ci ungültig. Im Schritt 606 bestätigt die Überwachungsinstanz 2 das Umschalten. Sodann gibt das andere Gerät M2 den monetären Betrag als Bargeld aus, siehe Schritt 607. Der elektronische Münzdatensatz Cj wird lokal im anderen Gerät M2 gespeichert oder an den Betreiber des Geräts M2 gesendet. Optional kann das andere Gerät M2 (falls dazu befugt) in der Überwachungsinstanz 2 einen Deaktivier-Schritt über den maskierten elektronischen Münzdatensatz Zi registrieren. Dieses Verfahren 600 der Bargeld-Herausgabe kann mit dem in Fig. 12 beschriebenen Rückgeld- Ausgeben kombiniert werden, sodass das andere Gerät M2 einen Teil des monetären Betrags u als Banknoten aus dem Banknotenmodul 16 herausgibt (entweder auf- oder abgerundet auf die nächste Denomination) und den übrigen Teil als elektronischer Münzdatensatz C. Damit würde sich das Gerät M1 einen Aufteilen-Schritt sparen.
Unterhalb der Strichlinie in Fig. 13 ist ein Verfahren zum Abheben von elektronischen Münzdatensätzen Ci von einem Bankkonto gezeigt. Dabei wird entweder Bargeld über ein Banknotenmodul 16 am anderen Gerät M2 eingezahlt (Schritt 608) oder einfach der Wert für Cj angefragt (Schritt 609). In diesem Fall ermöglicht das andere Gerät M2 dem Nutzer des Geräts M1 Zugang zu ihrem/seinen Bankkonto am Bankinstitut 1 (gleichzeitig auch Herausgeberinstanz, was den Erfindungsgedanken nicht einschränken soll).
Der Nutzer des Geräts M1 wählt die Funktion„elektronischer Münzdatensatz abheben“ an dem Gerät M2 und nutzt ihre/seine Sicherheitselement (Bankkarte, eUICC) o.ä. zur Authentifizierung und/oder Identifizierung. Auf diese Weise können Überweisung, Lastschrift, Kreditkartentransaktion o.ä. getätigt werden. Dabei wird im Schritt 610 die Deckung des Bankkontos des Nutzers des ersten Geräts M1 abgefragt und ggf. bestätigt.
Nach erfolgreich ausgeführter Transaktion bezieht das Gerät M2 einen elektronischen Münzdatensatz Ci von der Herausgeberinstanz 1 (siehe Fig. 1 bis 7 für Details). Die Herausgeberinstanz 1 kann den Münzdatensatz insbesondere erstellen oder beispielsweise (als Geschäftsbank) von einer weiteren Instanz (Zentralbank) erstellte Münzdatensätze bereit halten. Weiter alternativ wird ein elektronischer Münzdatensatz Ci im angefragten Wert der Transaktion generiert, wobei dazu der gewünschte monetäre Wert u und eine Zufallszahl als Verschleierungsbetrag r (über Zufallszahlengenerator erzeugt) verknüpft werden. Ein signierter maskierter elektronischer Münzdatensatz mit der Signatur dieses Geräts M2 (oder der Herausgeberinstanz 1) wird an die Überwachungsinstanz 2 im Schritt 611 übertragen.
Im Schritt 612 überträgt sie (optisch, elektronisch) den generierten elektronischen Münzdatensatz Ci an das Gerät M1.
Im Rahmen der Erfindung können alle beschriebenen und/oder gezeichneten und/oder beanspruchten Elemente beliebig miteinander kombiniert werden.
BEZUGSZEICHENLISTE
1 Herausgeberinstanz oder Bank
2 Überwachungsinstanz
21 Befehls-Eintrag
22a, b Eintrag eines zu verarbeitenden elektronischen Münzdatensatzes (Vorgänger)
23a, b Eintrag eines verarbeiteten elektronischen Münzdatensatzes (Nachfolger)
24 Signatur-Eintrag
25 Markierung der Gültigkeitsprüfung
26 Markierung der Berechnungsprüfung
27 Markierung der Bereichsnachweisprüfung
28 Markierung der Signatur-Prüfung
3 Direkttransaktionsschicht
4 Überwachungsschicht
5 Applikation gemeinsame Geldbörse
10, 10‘ Datenspeicher
11 Anzeige
12 Schnittstelle
13 Recheneinheit
14 Tresonnodul
15 Standorterkennungs-Modul
16 Banknotenmodul
17 Kassenmodul
M1 erstes Gerät
M2 zweites Gerät
M3 drittes Gerät
Ci elektronischer Münzdatensatz
Cj, Ck aufgeteilter elektronischer Münzteildatensatz,
C1 umzuschaltender elektronischer Münzdatensatz
Cm zu verbindendender elektronischer Münzdatensatz
Zi maskierter elektronischer Münzdatensatz
Zj, Zk maskierter aufgeteilter elektronischer Münzteildatensatz
Z1 maskierter umzuschaltender elektronischer Münzdatensatz
Zm maskierter zu verbindender elektronischer Münzdatensatz
ui, Monetärer Betrag
uj, uj Aufgeteilter monetärer Betrag
uu, Monetärer Betrag eines umzuschaltenden/umgeschalteten elektr. Münzdatensatzes um, Monetärer Betrag eines zu verbindenden/verbundenen elektr. Münzdatensatz n Verschleierungsbetrag, Zufallszahl
rj, q Verschleierungsbetrag eines aufgeteilten elektronischen Münzdatensatzes rm Verschleierungsbetrag eines zu verbindenden/verbundenen elektronischen Münzdatensatzes Ci * übertragener elektronischer Münzdatensatz
Cj *, Ck * übertragener aufgeteilter elektronischer Münzteildatensatz, Zi* maskierter übertragener elektronischer Münzdatensatz
Zj*, Zk *maskierter übertragener aufgeteilter elektronischer Münzdatensatz f(C) Homomorphe Einwegfunktion
[Zi]Sigi Signatur der Herausgeberinstanz
101-108 Verfahrensschritte gemäß einem Ausfuhrungsbeispiel
201 -205 V erfabrensschritte gemäß einem Ausfuhrungsbeispiel
301-302 V erfahrensschritte gemäß einem Ausfuhrungsbeispiel
401-414 V erfahrensschritte gemäß einem Ausfuhrungsbeispiel
501 -505 Verfahrensschritte gemäß einem Ausfuhrungsbeispiel
601-612 Verfahrensschritte gemäß einem Ausfuhrungsbeispiel

Claims

PATENTANSPRÜCHE
1. Gerät (M1), eingerichtet zum direkten Übertragen von elektronischen Münzdatensätzen (Ci, Cj, Ck, Cm, C1) an ein anderes Gerät (M2, M3), aufweisend:
- Mittel zum Zugreifen auf einen Datenspeicher (10, 10‘), wobei im Datenspeicher (10, 10‘) zumindest ein elektronischer Münzdatensatz (Ci, Cj, Ck, Cm, C1) abgelegt ist;
- einer Schnittstelle (12) zumindest zum Ausgeben des zumindest einen elektronischen Münzdatensatzes (Ci, Cj, Ck, Cm, C1) an das andere Gerät (M2, M3); und
- eine Recheneinheit (13), eingerichtet zum:
- Maskieren des elektronischen Münzdatensatzes (Ci, Cj, Ck, Cm, C1) im Gerät (M1) durch Anwenden einer homomorphen Einwegfunktion (f(C)) auf den elektronischen Münzdatensatz (Ci, Cj, Ck, Cm, C1) zum Erhalten eines maskierten elektronischen Münzdatensatzes (Z;, Zj, Zk, Zm, Z1) zum Registrieren des maskierten elektronischen Münzdatensatzes (Zi, Zj, Zk, Zm, Z1) in einer Überwachungsinstanz (2); und
- Ausgeben des elektronischen Münzdatensatzes (Ci, Cj, Ck, Cm, C1) mittels der Schnittstelle (12), wobei der zumindest eine elektronische Münzdatensatz (Ci, Cj, Ck, Cm, C1) einen monetären Betrag (ui, Uj, Uk, ui, nm) nnd ein Verschleierungsbetrag (n, p, ik, n, rm) aufweist.
2. Das Gerät (M1) nach Anspruch 1, wobei die Recheneinheit (13):
- einen umzuschaltenden elektronischen Münzdatensatz (C1) als den elektronischen Münzdatensatz (Ci, Cj, Ck, Cm, C1) maskiert, um einen maskierten umzuschaltenden elektronischen Münzdatensatzes (Z1) als den maskierten elektronischen Münzdatensatz (Zi, Zj, Zk, Zm, Z1) zu erhalten, der in der Überwachungsinstanz (2) registriert wird; und/oder
- einen in einen ersten elektronischen Münzteildatensatz (Cj) und einen zweiten elektronischen Münzteildatensatz (Ck) aufgeteilten elektronischen Münzdatensatz (C1) maskiert, um einen maskierten ersten elektronischen Münzteildatensatz (Zj) und einen maskierten zweiten elektronischen Münzteildatensatz (Zk) zu erhalten, der in der Überwachungsinstanz (2) registriert werden soll; und/oder
- einen aus einem ersten und einem zweiten elektronischen Münzdatensatz (Ci; Cj) zu verbindenden elektronischen Münzteildatensatzes (Cj) als den elektronischen Münzdatensatz (Ci, Cj, Ck, Cm, C1) maskiert, um einen maskierten zu verbindenden Münzdatensatzes (Cm) als den maskierten elektronischen Münzdatensatz (Zi, Zj, Zk, Zm, Z1) zu erhalten, der in der Überwachungsinstanz registriert wird.
3. Das Gerät (M1) nach einem der vorhergehenden Ansprüche, weiter aufweisend eine Schnittstelle zum Empfangen von elektronischen Münzdatensätzen (Ci, Cj, Ck, Cm, C1), wobei diese Schnittstelle eine der folgenden ist:
- ein elektronisches Erfassungsmodul des Geräts (M1), eingerichtet zum optoelektronischen Erfassen eines, in visueller Form dargestellten, elektronischen Münzdatensatzes (Ci, Cj, Ck, Cm, C1);
- eine Protokollschnittstelle zum drahtlosen Empfangen des elektronischen Münzdatensatzes (Ci, Cj, Ck, Cm, C1) von einem anderen Gerät (M2, M3) mittels eines Kommunikationsprotokolls für Drahtloskommunikation;
- eine Datenschnittstelle zum Empfangen des elektronischen Münzdatensatzes (Ci, Cj, Ck, Cm, C1) von dem anderen Gerät (M2, M3) mittels einer Applikation; und/oder
- die Schnittstelle (12) die auch zum Ausgeben des elektronischen Münzdatensatzes (Ci, Cj, Ck, Cm, C1) eingerichtet ist.
4. Das Gerät (M1) nach einem der vorhergehenden Ansprüche, weiter aufweisend ein Mittel zum Zugreifen auf ein elektronisches Tresormodul (14), wobei das Tresormodul (14) eingerichtet zum gesicherten Ablegen von zumindest einem elektronischen Münzdatensatz (Ci, Cj, Ck, Cm, C1) ist.
5. Das Gerät (M1) nach einem der vorhergehenden Ansprüche, wobei die Recheneinheit (13) weiter eingerichtet ist, um abhängig von einer Vorgabe für in dem Gerät (M1) abgelegte elektronische Münzdatensätze, insbesondere einem Schwellwert eines monetären Betrages (X) für in dem Gerät (M1) abgelegte elektronische Münzdatensätze und/oder einer Denominations vorgabe für in dem Gerät (M1) abgelegte elektronische Münzdatensätze, zur Einhaltung der Vorgabe zumindest einen elektronischen Münzdatensatz automatisch aus dem Gerät (M1) oder in das Gerät (M1) zu übertragen.
6. Das Gerät (M1) nach Anspruch 5, wobei die Recheneinheit (13) weiter eingerichtet ist, zur Einhaltung der Vorgabe
- den elektronischen Münzdatensatz aus dem Gerät in das Tresormodul oder aus dem Tresormodul in das Gerät zu übertragen; oder
- den elektronischen Münzdatensatz von einer Herausgeberinstanz (1) in das Gerät zu übertragen oder aus dem Gerät an die Herausgeberinstanz (1) zu übertragen.
7. Das Gerät (M1) nach einem der Ansprüche 4 bis 6, wobei
die Recheneinheit (13) eingerichtet ist elektronische Münzdatensätze mittels der Schnittstelle (12) mit anderen Geräten auszutauschen und nur mittels des Tresormoduls (14) elektronische Münzdatensätze mit der Herausgeberinstanz (1) austauscht, insbesondere empfängt oder zurückgibt; und/oder wobei die Herausgeberinstanz (1) elektronische Münzdatensätze nur an Tresormodule von Geräten ausgibt und/oder elektronische Münzdatensätze nur von Tresormodulen von Geräten zurücknimmt.
8. Das Gerät (M1) nach einem der vorhergehenden Ansprüche, weiter aufweisend ein Standorterkennungsmodul (15), eingerichtet zum Erkennen einer vordefinierten Standortzone, wobei die Recheneinheit (13) weiter eingerichtet ist, besondere Funktionen, wie beispielsweise ein vorgabenabhängiges automatisches Übertragen von elektronischen Münzdatensätzen, ein Austauschen von elektronischen Münzdatensätzen mit dem Tresormodul oder der Herausgeberinstanz, optional über das Tresormodul, oder ein Registrieren maskierter elektronischer Münzdatensätze, erst in der vordefinierten Standortzone auszuführen.
9. Das Gerät (M1) nach einem der vorhergehenden Ansprüche, wobei die Recheneinheit (13) weiter eingerichtet ist zum:
- Erkennen einer Differenz aus einem zu übertragenden monetären Betrag (Y) und einem monetären Betrags (X, ui, uj, uk, u1, um) des abgelegten elektronischen Münzdatensatzes (Ci, Cj, Ck, Cm, C1);
- Anfragen eines elektronischen Münzdatensatzes (Ci) aufweisend einen monetären Betrag gleich der erkannten Differenz;
- Erhalten des angefragten elektronischen Münzdatensatzes.
10. Das Gerät (M1) nach Anspruch 9, wobei die Recheneinheit (13) weiter eingerichtet ist zum:
- Verbinden des erhaltenen elektronischen Münzdatensatzes mit dem abgelegten elektronischen Münzdatensatz (Ci, Cj, Ck, Cm, C1) und Maskieren des zu verbindenden elektronischen Münzdatensatzes zum Registrieren bei der Überwachungsinstanz (2), und
- Übertragen des verbundenen elektronischen Münzdatensatzes, dessen monetärer Betrag dem zu übertragenden monetären Betrag entspricht; oder
- Übertragen des abgelegten und des erhaltenen elektronischen Münzdatensatzes, deren monetäre Beträge zusammen dem zu übertragenden monetären Betrag entsprechen, wobei der erhaltene elektronische Münzdatensatz optional zuvor umgeschaltet wird.
1 1. Das Gerät (M1) nach einem der vorhergehenden Ansprüche, wobei die Recheneinheit (13) weiter eingerichtet ist zum:
- Erkennen eines Überschusses aus einem erhaltenen monetären Betrag (Y) und einem Schwellwert eines monetären Betrages (X) für abgelegte elektronische Münzdatensätze (Ci, Cj, Ck, Cm, C1); - Veranlassen eines Gutschreiben des Überschusses auf ein Bankkonto unter Aufteilen des elektronischen Münzdatensatzes (Ci, Cj, Ck, Cm, C1) zum Erhalten eines ersten elektronischen Münzteildatensatz (Ci) und eines zweiten elektronischen Münzteildatensatzes (Cj) und Maskieren des ersten und zweiten Münzteildatensatzes zum Erhalten von maskierten ersten und zweiten elektronischen Münzdatensätzen (Zi, Zj) zum Registrieren bei der Überwachungsinstanz (2).
12. Das Gerät nach einem der vorhergehenden Ansprüche, weiter umfassend ein
Banknotenmodul (16), eingerichtet zum Eingeben und/oder Ausgeben von Banknoten.
13. Das Gerät nach Anspruch 12, wobei das Gerät (M1) ein Kassenterminal und/oder ein Automat ist und dazu eingerichtet ist, einen monetären Betrag in Teilen als Banknote mittels des Banknotemnoduls (16) auszugeben, und in Teilen als elektronischen Münzdatensatz mittels der Schnittstelle (12) auszugeben.
14. Das Gerät nach Anspruch 13, wobei der als elektronischer Münzdatensatz auszugebende Teil des monetären Betrags ein erster elektronischer Münzteildatensatz (Cj) eines aufgeteilten elektronischen Münzdatensatzes ist.
15. Das Gerät nach Anspruch 12, wobei das Gerät ein Kassenterminal und/oder ein Automat ist und dazu eingerichtet ist, einen monetären Betrag in Banknoten mittels des Banknotenmoduls (16) auszugeben, wobei das Gerät dazu einen monetären Teilbetrag des monetären Betrags in Form eines elektronischen Münzdatensatzes (Ci, Cj, Ck, Cm, C1) von einem anderen Gerät erhält.
16. Das Gerät nach einem der vorhergehenden Ansprüche, weiter umfassend zumindest ein:
- ein Sicherheitselement-Lesegerät, eingerichtet zum Lesen eines Sicherheitselements; und/oder
- einen Zufallszahlengenerator; und/oder
- eine Schnittstelle zu einem Bankinstitut mit zu autorisierendem Zugriff auf ein Bankkonto.
17. Das Gerät (M1) nach einem der vorhergehenden Ansprüche, wobei der Datenspeicher (10) ein gemeinsamer Datenspeicher ist, auf den noch zumindest ein anderes Gerät (M3) zugreifen kann, wobei jedes der Geräte (M1, M3) eine Applikation aufweist, wobei diese Applikation eingerichtet ist, zum:
- Kommunizieren mit der Überwachungsinstanz (2) zum entsprechenden Registrieren von elektronischen Münzteildatensätzen.
18. Verfahren in einem Gerät gemäß einem der Ansprüche 1 bis 17, welches zumindest die Schritte des Zugreifen, Maskieren und Ausgeben umfasst.
19. Bezahlsystem zum Austausch von monetären Beträgen, wobei das Bezahlsystem umfasst:
- eine Überwachungsschicht (4) mit einer Datenbank - welche vorzugsweise eine dezentrale Datenbank (DLT) ist, in der maskierte elektronische Münzdatensätze (Zi, Zj, Zk, Zm, Z1) abgelegt sind; und
- eine Direkttransaktionsschicht (3) mit zumindest einem Gerät (M1) nach einem der vorhergehenden Ansprüche 1 bis 17 und einem anderen Gerät (M2, M3), bevorzugt ebenfalls nach einem der vorhergehenden Ansprüche 1 bis 17.
20. Bezahlsystem nach Anspruch 19, wobei das Gerät ein Kassenterminal und/oder ein Automat nach einem der Ansprüche 12 bis 17 ist und das andere Gerät ein Endgerät eines Nutzers ist nach einem der Ansprüche 1 bis 11, 16 oder 17 ist.
20. Bezahlsystem nach Anspruch 19, ferner umfassend eine Herausgeberinstanz (1)
eingerichtet zum
- Erzeugen eines elektronischen Münzdatensatzes (Ci), wobei die Herausgeberinstanz (1) vorzugsweise einen maskierten erstellten elektronischen Münzdatensatz (Zi) mit einer
Signatur ([Zi]SigI) versieht und der Überwachungsinstanz (2) den maskierten erstellten elektronischen Münzdatensatz (Zi) und die Signatur ([Zi]SigI) sendet; und/oder
- Ausgeben eines elektronischen Münzdatensatzes (Ci) an das Gerät oder Zurücknehmen eines elektronischen Münzdatensatzes (Ci) von dem Gerät, insbesondere unter Lastschrift bzw. Gutschrift des monetären Betrages des ausgegebenen bzw. zurückgenommenen
elektronischen Münzdatensatzes auf ein Bankkonto des Gerätes.
PCT/EP2020/060434 2019-04-15 2020-04-14 Gerät zum direkten übertragen von elektronischen münzdatensätzen an ein anderes gerät sowie bezahlsystem WO2020212331A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
EP20719976.1A EP3956845A1 (de) 2019-04-15 2020-04-14 Gerät zum direkten übertragen von elektronischen münzdatensätzen an ein anderes gerät sowie bezahlsystem
US17/604,171 US12014338B2 (en) 2019-04-15 2020-04-14 Device for directly transmitting electronic coin data records to another device, and payment system
CN202080039069.9A CN113924588A (zh) 2019-04-15 2020-04-14 用于将电子币数据记录直接发送到另一设备的设备和支付系统

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102019002731.0 2019-04-15
DE102019002731.0A DE102019002731A1 (de) 2019-04-15 2019-04-15 Gerät zum direkten Übertragen von elektronischen Münzdatensätzen an ein anderes Gerät sowie Bezahlsystem

Publications (1)

Publication Number Publication Date
WO2020212331A1 true WO2020212331A1 (de) 2020-10-22

Family

ID=70295106

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2020/060434 WO2020212331A1 (de) 2019-04-15 2020-04-14 Gerät zum direkten übertragen von elektronischen münzdatensätzen an ein anderes gerät sowie bezahlsystem

Country Status (5)

Country Link
US (1) US12014338B2 (de)
EP (1) EP3956845A1 (de)
CN (1) CN113924588A (de)
DE (1) DE102019002731A1 (de)
WO (1) WO2020212331A1 (de)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021000570A1 (de) 2021-02-04 2022-08-04 Giesecke+Devrient Advance52 Gmbh Verfahren zum bereitstellen eines nachweisdatensatzes; verfahren zum prüfen eines nachweisdatensatzes; ein münzregister; eine teilnehmereinheit und ein computerprogrammprodukt
DE102021002329A1 (de) 2021-05-03 2022-11-03 Giesecke+Devrient Advance52 Gmbh Verfahren zum registrieren eines elektronischen münzdatensatzes in einem münzregister; ein münzregister; eine teilnehmereinheit und ein computerprogrammprodukt
WO2023011758A1 (de) 2021-08-04 2023-02-09 Giesecke+Devrient Advance52 Gmbh Münzdepot-verwaltungseinheit sowie verfahren in einer münzdepot-verwaltungseinheit
WO2023011759A1 (de) 2021-08-04 2023-02-09 Giesecke+Devrient Advance52 Gmbh Münzverwaltungseinheit sowie verfahren in einer münzverwaltungseinheit
DE102021004548A1 (de) 2021-09-08 2023-03-09 Giesecke+Devrient Advance52 Gmbh Verfahren und transaktionssystem zum übertragen von token in einem elektronischen transaktionssystems
WO2023046317A1 (de) 2021-09-24 2023-03-30 Giesecke+Devrient Advance52 Gmbh Münzverwaltungseinheit sowie verfahren in einer münzverwaltungseinheit
DE102021005040A1 (de) 2021-09-24 2023-03-30 Giesecke+Devrient Advance52 Gmbh Münzverwaltungseinheit sowie Verfahren in einer Münzverwaltungseinheit
EP4407545A1 (de) 2023-01-26 2024-07-31 Giesecke+Devrient advance52 GmbH Sicheres element, verfahren zum ersetzen eines elektronischen tokens des sicheren elements und sicheres sonderelement
EP4425405A1 (de) 2023-03-01 2024-09-04 Giesecke+Devrient advance52 GmbH Sicherer dienstanbieter, sichere geldbörse, verfahren zur ausgabe einer oder mehrerer sicherer geldbörsen
EP4432191A1 (de) 2023-03-14 2024-09-18 Giesecke+Devrient advance52 GmbH Sichere tokenausgebereinheit, sichere dienstanbietereinheit, elektronisches zahlungstransaktionssystem, verfahren zur bereitstellung neuer token, verfahren zum empfangen alter token
EP4435700A1 (de) 2023-03-22 2024-09-25 Giesecke+Devrient advance52 GmbH Verfahren zur registrierung eines tokens, tokenreferenzregister, sichere transaktionseinheit und elektronisches zahlungstransaktionssystem
EP4435699A1 (de) 2023-03-21 2024-09-25 Giesecke+Devrient advance52 GmbH Sichere transaktionseinheit, tokenreferenzregister, elektronisches zahlungstransaktionssystem und verfahren zur registrierung eines tokens
EP4451192A1 (de) 2023-04-20 2024-10-23 Giesecke+Devrient advance52 GmbH Sichere transaktionseinheit, tokenreferenzregister, elektronisches zahlungstransaktionssystem und verfahren zur registrierung eines tokens
EP4451190A1 (de) 2023-04-18 2024-10-23 Giesecke+Devrient advance52 GmbH Wiederherstellungseinheit, sichere transaktionseinheit, token-referenzregister und elektronisches zahlungstransaktionssystem

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019006799A1 (de) 2019-09-30 2021-04-01 Giesecke+Devrient Gesellschaft mit beschränkter Haftung Karte und verfahren zur herstellung der karte
DE102020104905A1 (de) * 2020-02-25 2021-08-26 Giesecke+Devrient Gesellschaft mit beschränkter Haftung Verfahren zum direkten übertragen von elektronischen münzdatensätzen zwischen endgeräten, bezahlsystem, währungssystem und überwachungsinstanz
DE102021000572A1 (de) 2021-02-04 2022-08-04 Giesecke+Devrient Advance52 Gmbh Verfahren zum erstellen einer münzdatensatz-zusammensetzung, teilnehmereinheit und bezahlsystem

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0772165A2 (de) * 1995-11-06 1997-05-07 Nippon Telegraph And Telephone Corporation Verfahren zum Implementieren von elektronischem Geld mit Hilfe eines Treuhänders
DE102009034436A1 (de) 2009-07-23 2011-01-27 Giesecke & Devrient Gmbh Verfahren und System zum Bezahlen mit geldwerten Beträgen in Form elektronischer Datensätze
DE102009038645A1 (de) 2009-08-24 2011-03-24 Giesecke & Devrient Gmbh Verfahren und tragbarer Datenträger zum Übertragen eines geldwerten Betrages in Form eines elektronischen Datensatzes zwischen einer ersten nichtzentralen Instanz und einer zweiten nichtzentralen Instanz
US20160247131A1 (en) * 2015-02-19 2016-08-25 Hernan Ahmed Money exchange systems and methods
WO2016200885A1 (en) 2015-06-08 2016-12-15 Blockstream Corporation Cryptographically concealing amounts transacted on a ledger while preserving a network's ability to verify the transaction
CN109257182A (zh) * 2018-10-24 2019-01-22 杭州趣链科技有限公司 一种基于同态的密码学承诺与零知识范围证明的区块链隐私保护方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2085199A (en) * 1997-11-19 1999-06-07 Security Dynamics Technologies, Inc. Digital coin tracing using trustee tokens
US10521776B2 (en) 2002-10-01 2019-12-31 Andrew H B Zhou UN currency (virtual payment cards) issued by central bank or other issuer for mobile and wearable devices
WO2012098543A2 (en) 2011-01-18 2012-07-26 Fortress Gb Ltd. System and method for computerized negotiations based on coded integrity
US11270263B2 (en) 2013-09-12 2022-03-08 Netspective Communications Llc Blockchain-based crowdsourced initiatives tracking system
US20160335628A1 (en) * 2014-05-15 2016-11-17 Adam Mark Weigold System and method for digital currency storage, payment and credit
JP6115734B2 (ja) * 2014-06-25 2017-04-19 トヨタ自動車株式会社 燃料電池の組み立て方法及び組み立て装置
US9686247B2 (en) * 2015-06-24 2017-06-20 International Business Machines Corporation Distributed computing utilizing homomorphic encryption
US20170132615A1 (en) 2015-11-11 2017-05-11 Bank Of America Corporation Block chain alias for person-to-person payments
WO2018175504A1 (en) 2017-03-20 2018-09-27 Wasserman Steven Victor Blockchain digital currency: systems and methods for use in enterprise blockchain banking
US20190228386A1 (en) 2018-01-19 2019-07-25 Xapo Holdings Limited Recording evidence of address/account allocations in a distributed ledger
US10873447B2 (en) * 2018-05-24 2020-12-22 Visa International Service Association Efficient concurrent scalar product calculation
SG11201903553VA (en) 2018-11-07 2019-05-30 Alibaba Group Holding Ltd Blockchain data protection using homomorphic encryption
EP3549082B1 (de) 2018-11-27 2020-08-26 Alibaba Group Holding Limited System und verfahren zum informationsschutz
EP3545644B8 (de) 2018-11-27 2021-03-10 Advanced New Technologies Co., Ltd. System und verfahren zum informationsschutz

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0772165A2 (de) * 1995-11-06 1997-05-07 Nippon Telegraph And Telephone Corporation Verfahren zum Implementieren von elektronischem Geld mit Hilfe eines Treuhänders
DE102009034436A1 (de) 2009-07-23 2011-01-27 Giesecke & Devrient Gmbh Verfahren und System zum Bezahlen mit geldwerten Beträgen in Form elektronischer Datensätze
DE102009038645A1 (de) 2009-08-24 2011-03-24 Giesecke & Devrient Gmbh Verfahren und tragbarer Datenträger zum Übertragen eines geldwerten Betrages in Form eines elektronischen Datensatzes zwischen einer ersten nichtzentralen Instanz und einer zweiten nichtzentralen Instanz
US20160247131A1 (en) * 2015-02-19 2016-08-25 Hernan Ahmed Money exchange systems and methods
WO2016200885A1 (en) 2015-06-08 2016-12-15 Blockstream Corporation Cryptographically concealing amounts transacted on a ledger while preserving a network's ability to verify the transaction
CN109257182A (zh) * 2018-10-24 2019-01-22 杭州趣链科技有限公司 一种基于同态的密码学承诺与零知识范围证明的区块链隐私保护方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
POELSTRA ANDREW ET AL: "Confidential Assets", 10 February 2019, ROBOCUP 2008: ROBOCUP 2008: ROBOT SOCCER WORLD CUP XII; [LECTURE NOTES IN COMPUTER SCIENCE; LECT.NOTES COMPUTER], SPRINGER INTERNATIONAL PUBLISHING, CHAM, PAGE(S) 43 - 63, ISBN: 978-3-319-10403-4, XP047502246 *

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021000570A1 (de) 2021-02-04 2022-08-04 Giesecke+Devrient Advance52 Gmbh Verfahren zum bereitstellen eines nachweisdatensatzes; verfahren zum prüfen eines nachweisdatensatzes; ein münzregister; eine teilnehmereinheit und ein computerprogrammprodukt
DE102021002329A1 (de) 2021-05-03 2022-11-03 Giesecke+Devrient Advance52 Gmbh Verfahren zum registrieren eines elektronischen münzdatensatzes in einem münzregister; ein münzregister; eine teilnehmereinheit und ein computerprogrammprodukt
WO2022233454A1 (de) 2021-05-03 2022-11-10 Giesecke+Devrient Advance52 Gmbh Verfahren zum registrieren eines elektronischen münzdatensatzes in einem münzregister; ein münzregister; eine teilnehmereinheit und ein computerprogrammprodukt
WO2023011758A1 (de) 2021-08-04 2023-02-09 Giesecke+Devrient Advance52 Gmbh Münzdepot-verwaltungseinheit sowie verfahren in einer münzdepot-verwaltungseinheit
WO2023011759A1 (de) 2021-08-04 2023-02-09 Giesecke+Devrient Advance52 Gmbh Münzverwaltungseinheit sowie verfahren in einer münzverwaltungseinheit
DE102021004022A1 (de) 2021-08-04 2023-02-09 Giesecke+Devrient Advance52 Gmbh Münzdepot-Verwaltungseinheit sowie Verfahren in einer Münzdepot-Verwaltungseinheit
DE102021004025A1 (de) 2021-08-04 2023-02-09 Giesecke+Devrient Advance52 Gmbh Münzverwaltungseinheit sowie Verfahren in einer Münzverwaltungseinheit
WO2023036458A1 (de) 2021-09-08 2023-03-16 Giesecke+Devrient Advance52 Gmbh Verfahren und transaktionssystem zum übertragen von token in einem elektronischen transaktionssystems
DE102021004548A1 (de) 2021-09-08 2023-03-09 Giesecke+Devrient Advance52 Gmbh Verfahren und transaktionssystem zum übertragen von token in einem elektronischen transaktionssystems
WO2023046317A1 (de) 2021-09-24 2023-03-30 Giesecke+Devrient Advance52 Gmbh Münzverwaltungseinheit sowie verfahren in einer münzverwaltungseinheit
DE102021005040A1 (de) 2021-09-24 2023-03-30 Giesecke+Devrient Advance52 Gmbh Münzverwaltungseinheit sowie Verfahren in einer Münzverwaltungseinheit
EP4407545A1 (de) 2023-01-26 2024-07-31 Giesecke+Devrient advance52 GmbH Sicheres element, verfahren zum ersetzen eines elektronischen tokens des sicheren elements und sicheres sonderelement
EP4425405A1 (de) 2023-03-01 2024-09-04 Giesecke+Devrient advance52 GmbH Sicherer dienstanbieter, sichere geldbörse, verfahren zur ausgabe einer oder mehrerer sicherer geldbörsen
EP4432191A1 (de) 2023-03-14 2024-09-18 Giesecke+Devrient advance52 GmbH Sichere tokenausgebereinheit, sichere dienstanbietereinheit, elektronisches zahlungstransaktionssystem, verfahren zur bereitstellung neuer token, verfahren zum empfangen alter token
EP4435699A1 (de) 2023-03-21 2024-09-25 Giesecke+Devrient advance52 GmbH Sichere transaktionseinheit, tokenreferenzregister, elektronisches zahlungstransaktionssystem und verfahren zur registrierung eines tokens
EP4435700A1 (de) 2023-03-22 2024-09-25 Giesecke+Devrient advance52 GmbH Verfahren zur registrierung eines tokens, tokenreferenzregister, sichere transaktionseinheit und elektronisches zahlungstransaktionssystem
EP4451190A1 (de) 2023-04-18 2024-10-23 Giesecke+Devrient advance52 GmbH Wiederherstellungseinheit, sichere transaktionseinheit, token-referenzregister und elektronisches zahlungstransaktionssystem
EP4451192A1 (de) 2023-04-20 2024-10-23 Giesecke+Devrient advance52 GmbH Sichere transaktionseinheit, tokenreferenzregister, elektronisches zahlungstransaktionssystem und verfahren zur registrierung eines tokens

Also Published As

Publication number Publication date
DE102019002731A1 (de) 2020-10-15
CN113924588A (zh) 2022-01-11
US20220207500A1 (en) 2022-06-30
EP3956845A1 (de) 2022-02-23
US12014338B2 (en) 2024-06-18

Similar Documents

Publication Publication Date Title
WO2020212331A1 (de) Gerät zum direkten übertragen von elektronischen münzdatensätzen an ein anderes gerät sowie bezahlsystem
EP4111348B1 (de) Verfahren zum direkten übertragen von elektronischen münzdatensätzen zwischen endgeräten, bezahlsystem, währungssystem und überwachungseinheit
EP3956846A1 (de) Verfahren zum direkten übertragen von elektronischen münzdatensätzen zwischen endgeräten sowie bezahlsystem
DE69630738T2 (de) Verfahren und Einrichtung für ein elektronisches Geldsystem mit Ursprungserkennung
EP3446273A1 (de) Elektronisches verfahren zur kryptographisch gesicherten überweisung eines betrags einer kryptowährung
WO2023036458A1 (de) Verfahren und transaktionssystem zum übertragen von token in einem elektronischen transaktionssystems
WO2022008322A1 (de) Verfahren, teilnehmereinheit, transaktionsregister und bezahlsystem zum verwalten von transaktionsdatensätzen
WO2022008319A1 (de) Herausgabeinstanz und verfahren zum herausgeben von elektronischen münzdatensätzen sowie bezahlsystem
WO2022233454A1 (de) Verfahren zum registrieren eines elektronischen münzdatensatzes in einem münzregister; ein münzregister; eine teilnehmereinheit und ein computerprogrammprodukt
EP4381408A1 (de) Sicheres element, verfahren zum registrieren von token und tokenreferenzregister
WO2023011761A1 (de) Sicheres element, verfahren zum registrieren von token und tokenreferenzregister
EP4179489A1 (de) Verfahren, endgerät sowie münzregister zum übertragen von elektronischen münzdatensätzen
EP4111347B1 (de) Verfahren zum direkten übertragen von elektronischen münzdatensätzen zwischen endgeräten, bezahlsystem, währungssystem und überwachungsinstanz
EP4111399B1 (de) Verfahren, endgerät, überwachungsinstanz sowie bezahlsystem zum verwalten von elektronischen münzdatensätzen
EP4179486A1 (de) Bezahlsystem, münzregister, teilnehmereinheit, transaktionsregister, überwachungsregister und verfahren zum bezahlen mit elektronischen münzdatensätzen
DE102020104902A1 (de) Verfahren zum direkten übertragen von elektronischen münzdatensätzen zwischen endgeräten, bezahlsystem, währungssystem und überwachungsinstanz
DE102021000570A1 (de) Verfahren zum bereitstellen eines nachweisdatensatzes; verfahren zum prüfen eines nachweisdatensatzes; ein münzregister; eine teilnehmereinheit und ein computerprogrammprodukt
WO2024012624A1 (de) Verfahren zur sicheren generierung eines herausgebbaren tokens, verfahren zur sicheren vernichtung eines tokens und tokenherausgeber

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20719976

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2020719976

Country of ref document: EP

Effective date: 20211115