Abstract: |
Anonymes Bezahlen ist aus Gründen des Datenschutzes zwar unbedingt notwendig, kann aber auch für kriminelle Zwecke mißbraucht werden: Geschützt durch anonyme Zahlungen können Verbrechen begangen werden, die mit Bargeld nicht möglich wären. Da ein möglicher Mißbrauch von anonymen Zahlungen nicht toleriert werden kann, muß die gewährte Anonymität eingeschränkt werden. Zahlungssysteme mit eingeschränkter Anonymität basieren in der Regel auf dem Konzept des Treuhänders, der die Anonymität jeder Zahlung nachträglich aufheben kann. Wurde die Anonymität mißbraucht, kann auf diese Weise der Täter immer ermittelt werden. Jedoch müssen sowohl die Kunden, als auch die Strafverfolgungsbehörden dem Treuhänder vertrauen, daß er genau dann die Anonymität einer Zahlung aufdeckt, wenn eine richterliche Anordnung vorliegt. Aus diesem Grund muß der Treuhänder strengen Auflagen und Kontrollen unterliegen. Es stellt sich die Frage, wer diese Kontrollen durchführen soll und wie überhaupt kontrolliert werden kann, ob ein Treuhänder seine Aufgabe korrekt erfüllt. Wir sind daher der Meinung, daß der treuhänderbasierte Ansatz für anonyme Zahlungssysteme nicht geeignet ist. In dieser Dissertation beschreiben wir FlexiCash, ein neues anonymes elektronisches Zahlungssystem, das Mißbrauch von Anonymität auf neue und elegante Weise verhindert, ohne dabei eine zusätzliche dritte Partei zu benötigen. Obwohl FlexiCash sehr gut mit Bargeld vergleichbar ist, bietet FlexiCash sowohl stärkere Anonymität als auch wesentlich bessere Deanonymisierungsmechanismen. Diese Eigenschaften erreichen wir durch einen Kontrollmechanismus für Deanonymisierungen, der in keinem anderen Zahlungssystem existiert: In regelmäßigen Abständen können vorhergehende Zahlungen durch den Zahlenden selbst überprüft werden. Bei dieser Überprüfung kann der Zahlende feststellen, ob die Anonymität einer Zahlung in der Vergangenheit aufgehoben wurde. In diesem Fall muß eine richterliche Anordnung dafür vorhanden sein. Andernfalls wurde beweisbar eine illegale Deanonymisierung durchgeführt, die rechtlich verfolgt werden kann. Wird bei einer Überprüfung keine Deanonymisierung festgestellt, hat der Zahlende die Garantie, daß diese Zahlungen tatsächlich anonym durchgeführt wurden und anonym bleiben werden. Kein anderes Zahlungssystem mit eingeschränkter Anonymität kann diese starke Anonymität garantieren. |
Alternative Abstract: |
Alternative Abstract | Language |
---|
While anonymous payments are necessary for privacy reasons, they can as well be misused for criminal activities: Anonymous electronic cash can be used to conduct crimes that would be impossible with physical cash. As potential misuse of anonymity cannot be tolerated, the allowed anonymity has to be restricted. Payment systems with restricted anonymity are commonly based on the concept of a trusted third party that is always able to subsequently revoke the anonymity of any payment. If anonymity was misused, it is always possible to investigate the delinquent. However, both the customers as well as law enforcement have to rely on the trusted third party to revoke the anonymity of a payment if and only if a judical warrant was issued. Thus, the trusted third party must be subject to rigorous restrictions and controls. Creating an instance that is able to control the trusted third party is still an open problem. Therefore, in our opinion, the trusted third party approach is not suitable for anonymous payment systems. In this dissertation we introduce FlexiCash, a new anonymous payment system that uses a novel approach to prevent misuse of anonymity independent of trusted third parties. Although FlexiCash is well comparable to physical cash, it does not only offer stronger anonymity but has also superior deanonymization mechanisms. This is possible by integrating an audit mechanism in FlexiCash that cannot be found in any other payment system: At regular intervals previous payments can be audited by the payer himself. Then the payer can check, whether the anonymity of his payments has been revoked. In this case, a judical warrant must be available otherwise the deanonymization was provably illegal and can be prosecuted. If no deanoymization is detected by the payer, it is guaranteed that the payments have been and will remain anonymous. No other payment system with restricted anonymity can guarantee such strong anonymity. | English |
|