Most of the following papers are available online in gnuzipped Postscript, some also in PDF. There is also a complete list of all our publications sorted by language and subject.
Don't forget: some proceedings are published in a later year than the conference is held.
Abstract:
Der CryptoManager ist eine Softwarebibliothek für kryptographische Verfahren, die nach folgenden Entwurfszielen entwickelt wurde: Individuell skalierbare Sicherheit, intuitive Verwendbarkeit, Effizienz, Wartbarkeit und Erweiterbarkeit, reiches Angebot kryptographischer Mechanismen. Insbesondere sollen Kooperationen mehrerer kryptographischer Verfahren für den Anwendungsprogrammierer wie ein (integriertes) Verfahren benutzbar sein, und potentiell unbegrenzte Datenoperanden (Datenströme) sollen einfach zu verarbeiten sein. Eine stabile Implementierung liegt in THINK-Pascal für Apple Computer vor.
Die Softwarebibliothek wurde zum Teil innerhalb des EU-Projekts SEISMED (Secure Environment for Information Systems in MEDicine) entwickelt. Die erfolgreiche Integration in eine prototypische Anwendung für gesicherten Dateitransfer in einem Apple-Talk-Rechnernetz demonstriert ihre Funktionalität und Effizienz.
Die Weiterentwicklung des CryptoManager verfolgt vorrangig die Entwicklungsziele Portierbarkeit und objektorientierten Entwurf. Konkret entwickelt wird eine C++-Implementierung.
Abstract: CAFE (Conditional Access for Europe) is an ongoing
project in the European Community's ESPRIT program. The goal of CAFE
is to develop innovative systems for conditional access, and in
particular, digital payment systems. An important aspect of CAFE is
high security of all parties concerned, with the least possible
requirements that they are forced to trust other parties (so-called
multi-party security). This should give legal certainty to everybody
at all times. Moreover, both the electronic money issuer and the
individual users are less dependent on the tamper-resistance of
devices than in usual digital payment systems. Since CAFE aims at the
market of small everyday payments that is currently dominated by cash,
payments are offline, and privacy is an important issue.
The basic devices used in CAFE are so-called electronic wallets, whose
outlook is quite similar to pocket calculators or PDAs (Personal
Digital Assistant). Particular advantages of the electronic wallets
are that PINs can be entered directly, so that fake-terminal attacks
are prevented. Other features are:
Abstract: Health care is a complex and transnational task of societies. The various institutions and individuals involved are not and should not be governed by one central authority, but have legitimate and sometimes diverging interests. Balancing these interests has been subject to organizational and legal procedures traditionally. Today, institutions like hospitals and practices are no longer employers of isolated IT-systems, but they increasingly collaborate by means of a transnational network of various highly efficient database and datatransfer components, etc. Balancing all legitimate interests demands too much of organizational measures and, thus, requires direct support by the IT-systems themselves. The most important implication for the specification of such systems is that it must explicitly allow different parties to distrust different components of the system. We start from a simple specification of a "secure" system and unfold it with respect to typical requirements of health care.
Abstract:
The increasing mobility of patients demands more and more large scale
integrated health care information systems which provide accurate and secure
information across countries' borders. Open distributed systems can support a
highly decentralized community such as health care. But the market for open
information and operating systems hardly provides secure products. This
"missing link" is approached by the prototype SECURE Talk that provides secure
transmission and archiving of files on top of an existing operating system. Its
services may then be utilized by existing medical applications. This is
outlined by a suitable example application.
SECURE Talk is an experimental, high speed tool which does not aim at
integrating additional mechanisms into existing operating systems or
information systems. However, it demonstrates at a friendly user interface the
usability and performance of the mechanisms essential for open systems
security: enciphering and electronic signature mechanisms.
Abstract:
Health care information systems must reflect at least two basic characteristics
of the health care community: The increasing mobility of patients and the
personnal liability of everyone giving medical treatment. Open distributed
information systems bear the potential to reflect these requirements. But the
market for open information systems and operating systems hardly provides
secure products today. This "missing link" is approached by the prototype
SECURE Talk that provides secure transmission and archiving of files on top of
an existing operating system. Its services may be utilized by existing medical
applications.
SECURE Talk demonstrates secure communication utilizing only standard hardware.
Its message is that cryptography (and in particular asymmetric cryptography) is
practical for many medical applications even if implemented in software.
All mechanisms are software implemented in order to be executable on standard
hardware. One can investigate more or less decentralized forms of public key
management and the performance of many different cryptographic mechanisms. That
of, e.g., hybrid encryption and decryption (RSA + DES-PCBC) is about 300
kbit/s. That of signing and verifying is approximately the same using RSA with
a DES hash function. The internal speed, without disk accesses etc., is about
1.1 Mbit/s. (Apple Quadra 950 (MC 68040, 33 MHz, RAM: 20 MB, 80ns. Length of
RSA modulus is 512 bit.)
Abstract:
We show that the existence of a statistically hiding bit commitment scheme with
non-interactive opening and public verification implies the existence of
fail-stop signatures. Therefore such signatures can now be based on any one-way
permutation -- the weakest assumption known to be sufficient for fail-stop
signatures. We also show that genuinely practical fail-stop signatures follow
from the existence of any collision-intractable hash function.
A similar idea is used to improve a commitment scheme of Naor and Yung, so that
one can commit to several bits with amortized O(1) bits of communication per
bit committed to.
Conversely, we show that any fail-stop signature scheme with a property we call
the {\em almost unique secret key property} can be transformed into a
statistically hiding bit commitment scheme. All previously known fail-stop
signature schemes have this property. We even obtain an equivalence since we
can modify the construction of fail-stop signatures from bit commitments such
that it has this property.
Abstract:
Zukünftig werden Nachrichten, z.B. Sprache, Text, Bilder, zunehmend
digitalisiert übertragen, da dies billiger, perfekter und flexibler ist.
In solchen digitalisierten Nachrichten können, für
Außenstehende nahezu unerkennbar, weitere - allerdings notwendigerweise
erheblich kürzere - Nachrichten versteckt werden. Wie diese
rechnergestützte Steganographie funktioniert und welche Ergebnisse wir mit
einem hierfür geschriebenen Programm, nach einer Märchengestalt
DigiStilz genannt, erzielt haben, wird ausführlich dargestellt.
Seit der technische Fortschritt den Einsatz von Verschlüsselung potentiell
billig und einfach macht, wird diskutiert und in einigen Ländern bereits
versucht, Verschlüsselung gesetzlich zu reglementieren. Andernfalls sei
die Bekämpfung der internationalen Schwerkriminalität erheblich
behindert. Selbst wenn wir unterstellen, daß Schwerkriminelle sich
ausgerechnet diesem Verbot zu unterwerfen bereit seien: Durch die leicht
einsetzbare rechnergestützte Steganographie ist für Ermittler nicht
einmal das Vorliegen einer geheimen Nachricht, geschweige denn ihr Inhalt,
feststellbar. Da rechnergestützte Steganographie nicht verhindert werden
kann, solange der Besitz von programmierbaren Rechnern verbreitet ist, und sie
für die Planung und Koordinierung von Straftaten ausreichende "versteckte"
Bandbreite liefert, ist jeder Versuch einer Reglementierung von
Verschlüsselung für die Strafverfolgung wirkungslos. Da für die
Bürger vertrauenswürdige Verschlüsselung für die
Wahrnehmung ihres Rechtes auf informationelle Selbstbestimmung unverzichtbar
ist und Vertrauen in eine Schutzmaßnahme freie Kenntnis, Gestaltung und
Benutzung voraussetzt, raten wir dringend von Reglementierungsversuchen ab.
Abstract: We construct the first fail-stop signature scheme where neither the signature length nor the length of the public key grows as a function of the number of messages that can be signed with one key. The computation needed for signing and testing is reduced similarly. This removes one of the main differences between the complexity of ordinary signature schemes and previous fail-stop signature schemes: In the latter, signatures were branches in an authentication tree, and their length is therefore logarithmic in the size of that tree. Our result also bridges the main gap between known lower and upper bounds on the complexity of fail-stop signature schemes. The construction is based on one-way accumulators.
Abstract:
Research about secure systems takes place in several largely unrelated
communities without much mutual understanding, and without a common notion of
"security". Example areas are access control and information flow control,
cryptology, secure software, statistical databases, and fault tolerance and
safety. We strive to unify these approaches, or at least to give them a common
understanding of their relations, by presenting a general framework for the
design of secure systems and showing how the main research activities of
several example areas fit together in it.
Our main issue is not terminology, but the notions of security as such, and how
such security can be achieved. We keep formalism to a minimum and use simple
terminology from general computer science, avoiding all the jargons of the
communities involved. Nevertheless, in contrast to previous approaches, our
goal was to identify notions that can be defined formally (at least for those
design stages that are accessible to formalization at all), and to relate them
to usual formal notions about system design, e.g., "specification" and
"correctness".
Particular notions we discuss are trust models, the requirement that a system
does "nothing else" than what is specified, and the interplay of individual
goals and a global specification. Our approach is not restricted to systems
with a trusted central authority or computing base.
Abstract:
"Conditional Access for Europe" (CAFE) ist ein von der Europäischen Union
im Rahmen von ESPRIT gefördertes Forschungs- und Entwicklungsprojekt. Ziel
ist die Entwicklung von Autorisierungssystemen, insbesondere digitalen
Zahlungssystemen. Grundlage sind kleine, tragbare Benutzergeräte,
Wallets genannt, die in Größe und Erscheinungsbild
Taschenrechnern oder PDAs ähneln. Wallets können untereinander und
mit anderen Geräten per Infrarotkanal kommunizieren.
Hauptmerkmal von CAFE ist die hohe Sicherheit aller Beteiligter unter
geringstmöglichen Anforderungen an das gegenseitige Vertrauen: Die
Sicherheit vieler herkömmlicher Systeme basiert darauf, daß alle
Beteiligten dem Betreiber vertrauen. Oft hängt die Sicherheit aller
Beteiligter auch noch von manipulations- und ausforschungssicheren Geräten
ab, etwa von Chipkarten, oder von den Besitzern der POS-Terminals. Die Benutzer
können diese Geräte nicht kontrollieren, müssen aber dennoch
deren Korrektheit vertrauen. In CAFE genügt es für die
Integrität und Vertraulichkeit, wenn jeder Beteiligte nur solchen
Geräten vertraut, die er vollständig kontrolliert und die keine
Geheimnisse vor ihm haben. Hauptstütze der Sicherheit sind
kryptographische Verfahren, insbesondere digitale Signaturen.
Hauptgegenstand von CAFE sind digitale offline Zahlungssysteme, die den
Benutzern Unbeobachtbarkeit (Datenschutz) und Sicherheit garantieren.
Unbeobachtbarkeit und Sicherheit der Benutzer gegen Geldverlust basieren allein
auf Kryptographie. Die Sicherheit des Betreibers basiert ebenfalls auf
Kryptographie und zusätzlich auf der Manipulations- und
Ausforschungssicherheit eines Bestandteils der Wallets, der Guardians.
Sollte ein Guardian wider Erwarten ausgeforscht werden, so wird dem Betreiber
zumindest garantiert, daß für jeden unerlaubt ausgegebenen Betrag
der Betrüger eindeutig identifiziert und damit zur Rechenschaft gezogen
werden kann. Die Sicherheit eines Benutzers hängt nicht vom
Guardian seines Wallets ab.
Das für einen Feldversuch 1995 vorgesehene Zahlungssystem wird die
Bezahlung in mehreren Währungen (z. B. ECU und DM) erlauben und
schützt die Benutzer selbst dann vor Geldverlust, wenn sie ihr Wallet
verlieren.
Abstract:
Sichere elektronische Zahlungen sollen von einem neuartigen
Zahlungsverfahren ermöglicht werden, das im Rahmen des ESPRIT Projekts
"CAFE -- Conditional Access for Europe" von 13 europäischen
Industrieunternehmen und Forschungsinstituten entwickelt wird. Grundlage sind
kryptographische Verfahren, insbesondere sogenannte public-key-Verfahren zur
digitalen Unterschrift: alle Zahlungen werden durch den Emittenten des
elektronischen Geldes digital unterschrieben und sind so gegen Fälschung
sicher.
Für Zahlungen erhalten die Kunden eine Prozessorchipkarte des Emittenten
oder eine Art elektronischer Geldtasche. In seiner Grundversion erlaubt das
Zahlungsverfahren anonyme offline Zahlungen von Kunden an beliebige
Dienstleister. Die Kunden erhalten elektronisches Geld über
öffentliche Ausgabeautomaten oder über private Terminals, die
über den heimischen Telefonanschluß mit einem Emittenten verbunden
sind.
Zahlungen können in unterschiedlichen Währungen geleistet werden.
Optional kann elektronisches Geld auch zwischen Kunden transferiert werden.
Möglich ist auch die Kombination mit herkömmlichen Kredit- und
Debitsystemen. Ein Übergang zu einem anonymen oder auch nichtanonymen
online-Betrieb ist ebenfalls möglich, etwa für höhere Werte.
Darüber hinaus ist der Kunde gegen den Verlust elektronischen Geldes durch
Ausfall, Verlust oder Diebstahl seiner Karte oder seiner elektronischen
Geldtasche geschützt.
Das Zahlungsverfahren setzt keinen zentralen Emittenten voraus. Statt dessen
ist das Verfahren für mehrere Emittenten offen, die zudem die
möglichen Optionen unabhängig voneinander auswählen
können.
Ein Test der entwickelten Architektur und verschiedener Optionen soll 1995
stattfinden.
Eine elektronische Geldtasche enthält elektronisches Geld und kann
zusätzlich auch die Funktionen anderer Karten oder auch digitale
Quittungen und ähnliches enthalten. Technisch ist sie ein Gerät
ähnlich einem Taschenrechner, also mit einer kleinen LCD-Anzeige und
Tastatur, das über einen eingebauten Infrarotsender und -empfänger
mit anderen Geräten kommunizieren kann. Da die Kommunikation über
eine Infrarotverbindung, also kontaktlos erfolgt, sind hinsichtlich Form und
zusätzlicher Funktionalität beliebig unterschiedliche elektronische
Geldtaschen denkbar. Das Geld des Kunden wird von seiner elektronischen
Geldtasche gespeichert und verwaltet. Alle Transaktionen des Kunden werden vom
Kunden selbst über seine elektronische Geldtasche initiiert. Abhebungen
und, soweit vom Kunden gewünscht, auch Zahlungen sind durch PIN-Abfrage
geschützt. Die elektronische Geldtasche kann der Kunde im Prinzip von
einem beliebigen Hersteller beziehen und beliebig selbst prüfen oder von
Dritten prüfen lassen.
Daß gespeichertes elektronisches Geld nur einmal ausgegeben werden kann,
wird durch ein spezielles, in eine elektronische Geldtasche einsetzbares
Sicherheitsmodul des Emittenten, den sogenannten "Guardian", erzwungen.
Die Zahlungsempfänger können zur Speicherung des erhaltenen
elektronischen Geldes beliebige Speichermedien verwenden. Im Gegensatz zu
elektronischen Geldtaschen benötigen POS-Terminals kein Sicherheitsmodul.
Die Kommunikation mit dem Gerät des Kunden erfolgt, je nach
Systemvariante, über einen Chipkartenleser oder einen Infrarotsender und -empfänger.
Back to SIRENE's Home or Pointers to the Outside World.