Sirene Online Abstracts 1997

(Sorted by authors.)

Most of the following papers are available online in gnuzipped Postscript, some also in PDF. There is also a complete list of all our publications sorted by language and subject.

Don't forget: some proceedings are published in a later year than the conference is held.


N. Asokan, Phillipe A. Janson, Michael Steiner, Michael Waidner: The State of the Art in Electronic Payment Systems; IEEE Computer 30/9 (1997) 28-35.

Abstract: Electronic funds transfer over financial networks is reasonably secure, but securing payments over open networks like the Internet poses challenges of a new dimension. This article surveys the state of the art in payment technologies and sketches emerging developments.


N. Asokan, Matthias Schunter, Michael Waidner: Optimistic Protocols for Fair Exchange; 4th ACM Conference on Computer and Communications Security, Zürich, April 1997, 7-17.

Abstract: We describe a generic protocol for fair exchange of electronic goods with non-repudiation. Goods can be signatures (i.e., non-repudiation tokens of public data), confidential data, or payments. The protocol does not involve a third party in the exchange in the fault-less case but only for recovery.


Niko Bari'c, Birgit Pfitzmann: Collision-Free Accumulators and Fail-Stop Signature Schemes Without Trees; Eurocrypt '97, LNCS 1233, Springer-Verlag, Berlin 1997, 480-494.

Abstract: One-way accumulators, introduced by Benaloh and de Mare, can be used to accumulate a large number of values into a single one, which can then be used to authenticate every input value without the need to transmit the others. However, the one-way property does is not sufficient for all applications.
In this paper, we generalize the definition of accumulators and define and construct a collision-free subtype. As an application, we construct a fail-stop signature scheme in which many one-time public keys are accumulated into one short public key. In contrast to previous constructions with tree authentication, the length of both this public key and the signatures can be independent of the number of messages that can be signed.


Gerrit Bleumer, Matthias Schunter: Datenschutzorientierte Abrechnung medizinischer Leistungen; Datenschutz und Datensicherung DuD 21/2 (1997) 88-97.

Abstract: Wir beschreiben ein Verfahren zur Abrechnung medizinischer Leistungen, das die Sicherheitsinteressen aller Akteure und insbesondere auch die Datenschutzinteressen der Betroffenen berücksichtigt. In einer entwickelten informationstechnischen Infrastruktur ermöglicht das solidarische Finanzierungsprinzip der gesetzlichen Krankenkassen den Patienten und Ärzten, ihre Vertrauensverhältnisse wirksamer als bisher zu schützen, wobei die Krankenkassen gleichzeitig die anfallenden Gesamtkosten unter Kontrolle behalten können.


Gerrit Bleumer, Matthias Schunter: Privacy Oriented Clearing for the German Healthcare System; Personal Medical Information -- Security, Engineering, and Ethics, Springer-Verlag, Berlin 1997, 175-194.

Abstract: We present a clearing scheme for health-care in Germany that allows for the specific privacy interests of all participants, including the patient. Health insurance plays a key role in the German clearing system and it is their vital interest to reduce their overall cost as much as possible. Our scheme supports these interests while protecting the privacy of the insured persons and medical professionals.


Ivan B. Damgård, Birgit Pfitzmann: Sequential Iteration of Interactive Arguments and an Efficient Zero-Knowledge Argument for NP; BRICS Report Series RS-97-50, Computer Science Department, Aarhus University, Dec. 1997. (Also in PDF.)

Abstract: We study the behavior of interactive arguments under sequential iteration, in particular how this affects the error probability. This problem turns out to be more complex than one might expect from the fact that for interactive proofs, the error trivially decreases exponentially in the number of iterations.
In particular, we study the typical efficient case where the iterated protocol is based on a single instance of a computational problem. This is not a special case of independent iterations of an entire protocol, and real exponential decrease of the error cannot be expected, but nevertheless, for practical applications, one needs concrete relations between the complexity and error probability of the underlying problem and that of the iterated protocol. We show how this problem can be formalizedand solved using the theory of proofs of knowledge.
We also prove that in the non-uniform model of complexity the error probability of independent iterations of an argument does indeed decrease exponentially -- to our knowledge this is the first result about a strictly exponentially small error probability in a computational cryptographic security property.
As an illustration of our first result, we present a very efficient zero-knowledge argument for circuit satisfiability, and thus for any NP problem, based on any collision-intractable hash function. Our theory applies to show the soundness of this protocol. Using an efficient hash function such as SHA-1, the protocol can handle about 20000 binary gates per second at an error level of 2-50.


Ivan B. Damgård, Torben P. Pedersen, Birgit Pfitzmann: On the Existence of Statistically Hiding Bit Commitment Schemes and Fail-Stop Signatures; Journal of Cryptology 10/3 (1997) 163-194.

Abstract: We show that the existence of a statistically hiding bit commitment scheme with non-interactive opening and public verifiability implies the existence of fail-stop signatures. Therefore such signatures can now be based on any one-way permutation. We also show that genuinely practical fail-stop signatures follow from the existence of any collision-intractable hash function. These are the weakest assumptions known to be sufficient for fail-stop signatures.
Conversely, we show that any fail-stop signature scheme with a property we call the almost unique secret key property can be transformed into a statistically hiding bit commitment scheme. All previously known fail-stop signature schemes have this property. We even obtain an equivalence, because we can modify the construction of fail-stop signatures from bit commitments such that it has this property.


Herbert Damker, Hannes Federrath, Martin Reichenbach, Andreas Bertsch: Persönliches Erreichbarkeitsmanagement; in: G. Müller, A. Pfitzmann (Hrsg.): Mehrseitige Sicherheit in der Kommunikationstechnik, Addison-Wesley-Longman, 1997, 207-217.

Abstract: Der Beitrag beschreibt ein datenschutzfreundliches Konzept zur Steuerung der persönlichen Erreichbarkeit. Erreichbarkeitswünsche werden so ausgehandelt, daß die kommunikative Selbstbestimmung der Teilnehmer gefördert wird, ohne dabei ihre Datenschutzinteressen zu verletzen.


Hannes Federrath: DuD-Forum Schlüsselgenerierung: Einseitig sicher ist nicht sicher genug; Datenschutz und Datensicherung DuD 21/2 (1997) 98-99.

Abstract: Die digitale Signatur im elektronischen Rechtsverkehr basiert auf kryptographischen Verfahren mit öffentlichen und geheimen Schlüsseln. Es ist im Interesse aller Beteiligten, diese Schlüssel so sicher wie möglich zu generieren. Das Ziel der mehrseitig sicheren Schlüsselgenerierung ist es, daß alle Beteiligten der sicheren Generierung vertrauen können, da ohne dieses Vertrauen keine rechtsverbindliche Kommunikation möglich ist. Der Autor vertritt die Auffassung, daß dies mit einer alleinigen Schlüsselgenerierung in einem Trust Center nicht vereinbar ist.


Hannes Federrath, Jan Müller: Ende-zu-Ende-Verschlüsselung in GSM-Mobilfunknetzen; Datenschutz und Datensicherheit DuD 21/6 (1997) 328-333.

Abstract: Aufgrund des Fehlens von Bittransparenz der Sprechkanäle in Mobilfunknetzen nach dem GSM-Standard ist weder Ende-zu-Ende-Verschlüsselung der Sprache zwischen Teilnehmern des GSM-Mobilfunknetzes noch zu bzw. von Teilnehmern des Festnetzes oder anderer Mobilfunknetze möglich. Es werden Vorschläge gemacht, wie diesem Datenschutzdefizit entgegengetreten werden kann.


Hannes Federrath, Andreas Pfitzmann: Bausteine zur Realisierung mehrseitiger Sicherheit; in: G. Müller, A. Pfitzmann (Hrsg.): Mehrseitige Sicherheit in der Kommunikationstechnik, Addison-Wesley-Longman, 1997, 83-104.

Abstract: Das Papier stellt die wesentlichen Bausteine zur Realisierung von Sicherheitsmerkmalen in IT-Systemen vor. Deren geeigneter Einsatz ermöglicht die Wahrung der Schutzinteressen mehrerer, im Grenzfall aller Beteiligter. Es wird beschrieben, für welche Anforderungen welche Bausteine eingesetzt werden sollten.


Hannes Federrath, Guntram Wicke: Vertrauliche Kommunikation mit Steganographie; PIK, Praxis der Informationsverarbeitung und Kommunikation 20/3 (1997) 134-137.

Abstract: Mit Steganographie ist es möglich, geheime Daten über Kommunikationsnetze zu übermitteln, ohne daß überhaupt etwas über deren Existenz bekannt wird. Hierzu werden in unverdächtigen Daten die geheimen Nachrichten eingebettet.


Hannes Federrath, Elke Franz, Anja Jerichow, Jan Müller, Andreas Pfitzmann: Ein Vertraulichkeit gewährendes Erreichbarkeitsverfahren -- Schutz des Aufenthaltsortes in künftigen Mobilkommunikationssystemen; Kommunikation in Verteilten Systemen (KiVS) 97, Informatik aktuell, Springer-Verlag, Heidelberg 1997, 77-91.

Abstract: Es wird ein Verfahren zur Verwaltung von Aufenthaltsinformationen in Mobilkommunikationssystemen vorgestellt. Dabei wird von dem in existierenden Netzen verwendeten Konzept der mehrstufigen Speicherung von Aufenthaltsinformationen ausgegangen. Das Verfahren erfüllt die Datenschutzforderung nach Vertraulichkeit des Aufenthaltsorts von Mobilkommunikationsteilnehmern. Es ermöglicht die Speicherung unterschiedlich granularer, geographischer Aufenthaltsinformationen unter Pseudonymen (statt der wahren Identität der Teilnehmer). Die Pseudonyme werden über Register unterschiedlicher Netzbetreiber miteinander verkettet. Somit ist die Erstellung von Bewegungsprofilen von mobilen Teilnehmern nicht möglich.


Hannes Federrath, Elke Franz, Andreas Westfeld, Guntram Wicke: Steganographie zur vertraulichen Kommunikation; IT-Sicherheit 3/3 (1997) 10-13.

Abstract: Auf der CeBit'97 zeigten Mitarbeiter der Fakultät Informatik der TU Dresden im Rahmen einer Ausstellung des Ladenburger Kollegs "Sicherheit in der Kommunikationstechnik" der Gottlieb Daimler - und Karl Benz-Stiftung einen Demonstrator für Steganographie. Er veranschaulicht, daß sich mit Steganographie eine nicht nachweisbare vertrauliche Kommunikation realisieren läßt.


Hannes Federrath, Anja Jerichow, Dogan Kesdogan, Andreas Pfitzmann, Dirk Trossen: Minimizing the Average Cost of Paging on the Air Interface -- An Approach Considering Privacy; to appear in IEEE 47th Annual International Vehicular Technology Conference (VTC 97).

Abstract: Location Management of mobile users in a cellular network is considered from a performance and privacy point of view. Location management covers tracking functionality and paging (searching) functionality. After a risk analysis of location management w.r.t. privacy, we focus on the paging strategy. A sequential search strategy is proposed which reduces the signaling on the air interface and also considers the user's privacy.


Hannes Federrath, Anja Jerichow, Jan Müller, Andreas Pfitzmann: Unbeobachtbarkeit in Kommunikationsnetzen; Verläßliche IT-Systeme, GI-Fachtagung VIS '97, DuD Fachbeiträge, Vieweg, Braunschweig 1997, 191-210.

Abstract: Es wird ein Verfahren zum Schutz der Vermittlungsdaten vorgestellt, das es den Nutzern von Kommunikationsnetzen ermöglicht, diese Netze unbeobachtbar und anonym zu nutzen. Dieses Verfahren der getakteten Mix-Kanäle [PfPW_89] basiert auf dem Mix-Netz, einer Methode für anonyme Kommunikation von D. Chaum. Die Realisierung dieses Konzeptes wird für die Kommunikationsnetze ISDN und GSM angegeben. Durch die beschriebenen Modifikationen ist eine anonyme und unbeobachtbare Netznutzung ohne Einbußen bei der Datenrate des Nutzkanals trotz Echtzeitanforderungen möglich. Die Effizienz des beschriebenen Verfahrens wird untersucht.


Elke Franz, Anja Jerichow, Andreas Pfitzmann: Systematisierung und Modellierung von Mixen; Verläßliche IT-Systeme, GI-Fachtagung VIS '97, DuD Fachbeiträge, Vieweg, Braunschweig 1997, 172-190.

Abstract: Ausgehend von der ursprünglichen Definition der Mixe von D. Chaum und fortführenden Arbeiten von A. Pfitzmann et al. werden Erweiterungen dieses Konzepts betrachtet. Daraus wird ein mögliches allgemeines Modell abgeleitet, welches verschiedene Anwendungen des Mix-Konzepts berücksichtigt.
In einem ablauforientierten Modell werden die möglichen Konfigurationen eines Mixes vorgestellt. Anhand der allgemeinen Anforderungen sowie der durch die Betrachtung von Angriffen hinzukommenden Forderungen wird dieses Modell modifiziert. Das abgeleitete Modell zeigt die unter den getroffenen Annahmen sicheren Konfigurationen.


Oded Goldreich, Birgit Pfitzmann, Ronald L. Rivest: Self-Delegation with Controlled Propagation - or - What If You Lose Your Laptop; Theory of Cryptography Library 97-12, September 1997. (Also in letter format.)

Abstract: We introduce delegation schemes wherein a user may delegate certain rights to himself, but may not safely delegate these rights to others. In our motivating application, a user has a primary (long-term) key that receives some personalized access rights, yet the user may reasonably wish to delegate these rights to new secondary (short-term) keys he creates to use on his laptop when traveling, to avoid having to store his primary secret key on the vulnerable laptop. We propose several cryptographic schemes, both generic ones under general assumptions and more specific practical ones, that fulfill these somewhat conflicting requirements, without relying on special-purpose (e.g., tamper-proof) hardware.


Michaela Huhn, Andreas Pfitzmann: Technische Randbedingungen jeder Kryptoregulierung; in: G. Müller, A. Pfitzmann (Hrsg.): Mehrseitige Sicherheit in der Kommunikationstechnik; Addison-Wesley-Longman, 1997, 497-506

Abstract: Politische Diskussionen über die Regulierung kryptographischer Techniken werfen häufig die verschiedensten Dinge durcheinander. Oft sind die in ihnen aufgestellten Forderungen an die technische Gestaltung unerfüllbar oder den angestrebten Zielen ganz und gar nicht dienlich. Hauptthema der politischen Diskussion sind Erzeugung und Verwaltung kryptographischer Schlüssel. Dabei wird davon ausgegangen, daß kryptographische Systeme eine fest vorgegebene Systemarchitektur und einen bestimmten Verwendungsmodus (Integritätssicherung oder Vertraulichkeitsschutz) besitzen. Beide Annahmen sind falsch:
Jede Sicherheitsinfrastruktur für digitale Signatursysteme, die technisch zuverlässige Signierschlüssel bereitstellt, ermöglicht auch den sicheren Austausch von Schlüsseln für Konzelationssysteme (Vertraulichkeitsschutz).
Jedes Konzelationssystem kann zum zunächst nicht bemerkbaren Austausch von Schlüsseln für weitere aufgesetzte Konzelationssysteme verwendet werden. Dies relativiert insbesondere den Nutzen von Key-Escrow-Systemen (inzwischen wegen des freundlicheren Wortklangs häufig key-recovery (crypto)system genannt), also von Kryptosystemen mit zwangsweiser Hinterlegung von "geheimen" Schlüsseln, die dann für die Verbrechensbekämpfung zugänglich sind.
Neben den bekannten asymmetrischen Konzelationssystemen kann jede datenintensive Anwendung mittels steganographischer Verfahren zum Konzelationssystem ausgebaut werden. Damit können Benutzer jede Einschränkung der Verwendung von kryptographischen Konzelationssystemen unterlaufen, sofern sie nur einen Bruchteil der vom Kommunikationssystem bereitgestellten Bandbreite benötigen. Auch steganographische Systeme können mit Schlüsseln parametrisiert und so in offenen Benutzergruppen sicher eingesetzt werden.
Außerdem sollte unterschieden werden zwischen Schlüsseln zum Schutz von Kommunikation und solchen zum Schutz langfristig zu speichernder Daten: Key-Escrow-Systeme zur Rekonstruktion verlorengegangener Schlüssel sind nur für die letztere Anwendung dem Nutzer dienlich, während sie für erstere vornehmlich den Sicherheitsbehörden die Überwachung der Kommunikation ermöglichen.
Resümee: Eine gesetzliche Regulierung von Konzelationssystemen mit dem Ziel der Verbrechensbekämpfung muß ihr Ziel verfehlen und sollte daher unterbleiben, da sie gravierende Nachteile für informationelle Selbstbestimmung und Sicherheit der Bürger wie auch für die Schutzinteressen der Wirtschaft hat.


Michaela Huhn, Andreas Pfitzmann: Kryptographie und Internet -- Stand der Diskussion; Beitrag zum IBM-Symposium "Internet und Security", 25.-26.09.1997 in Herrenberg.

Abstract: Kryptographie ist ein wesentliches Hilfsmittel, mit dem Information auch in Räumen ohne zentrale physische Kontrolle wie etwa dem Internet effizient gegen unbefugte Kenntnisnahme und/oder unbefugte unerkannte Änderung geschützt werden kann. Die dezentrale Natur globaler digitaler Kommunikationsnetze entzieht den Nationalstaaten Kontroll- und Schutzmöglichkeiten. Einerseits verstärkt Kryptographie diese Entwicklung, ermöglicht andererseits aber einen Selbstschutz der betroffenen Bürger und der Wirtschaft. Der sinkende staatliche Schutz der Kommunikation kann daher durch die wachsenden Möglichkeiten des eigenverantwortlichen Schutzes kompensiert werden, was allerdings die staatlichen Kontrollmöglichkeiten weiter verringert. Die politischen Diskussionen dieses Paradigmenwechsels sind entsprechend kontrovers.
In der Diskussion über Einsatz und Reglementierung kryptographischer Verfahren tritt häufig eine grundlegende Verwirrung über die technischen Zusammenhänge zutage. Oft sind die in ihnen aufgestellten Forderungen an die technische Gestaltung unerfüllbar oder den angestrebten Zielen nicht dienlich. Hauptthema der politischen Diskussion sind Erzeugung und Verwaltung kryptographischer Schlüssel. Dabei wird davon ausgegangen, daß kryptographische Systeme eine fest vorgegebene Systemarchitektur und einen bestimmten Verwendungsmodus (Integritätssicherung oder Vertraulichkeitsschutz) besitzen. Beide Annahmen sind falsch:
Jede Sicherheitsinfrastruktur für digitale Signatursysteme, die technisch zuverlässige Signierschlüssel bereitstellt, ermöglicht auch den sicheren Austausch von Schlüsseln für Konzelationssysteme (Vertraulichkeitsschutz).
Jedes Konzelationssystem kann zum zunächst nicht bemerkbaren Austausch von Schlüsseln für weitere aufgesetzte Konzelationssysteme verwendet werden. Dies relativiert insbesondere den Nutzen von Key-Escrow-Systemen (inzwischen wegen des freundlicheren Wortklangs häufig key-recovery (crypto)system genannt), also von Kryptosystemen mit zwangsweiser Hinterlegung von "geheimen" Schlüsseln, die der Verbrechensbekämpfung dienen soll.
Außerdem kann jede datenintensive Anwendung mittels steganographischer Verfahren zum Konzelationssystem ausgebaut werden. Damit können Benutzer jede Einschränkung der Verwendung von kryptographischen Konzelationssystemen unterlaufen, sofern sie nur einen Bruchteil der vom Kommunikationssystem bereitgestellten Bandbreite benötigen. Auch steganographische Systeme können mit Schlüsseln parametrisiert und so in offenen Benutzergruppen sicher eingesetzt werden.
Außerdem sollte unterschieden werden zwischen Schlüsseln zum Schutz von Kommunikation und solchen zum Schutz langfristig zu speichernder Daten: Schlüsselbackup-Systeme zur Rekonstruktion verlorengegangener Schlüssel sind nur für die letztere Anwendung dem Nutzer dienlich, während Key-Escrow-Systeme für erstere vornehmlich den Sicherheitsbehörden die Überwachung der Kommunikation ermöglichen.
Resümee: Eine gesetzliche Reglementierung von Konzelationssystemen zum Zwecke der Verbrechensbekämpfung muß ihr Ziel verfehlen und sollte daher unterbleiben, da sie gravierende Nachteile für informationelle Selbstbestimmung und Sicherheit der Bürger wie auch für die Schutzinteressen der Wirtschaft hat.


Anja Jerichow, Jan Müller, Andreas Pfitzmann, Birgit Pfitzmann, Michael Waidner: Real-Time Mixes: A Bandwidth-Efficient Anonymity Protocol; IEEE Journal on Selected Areas in Communications 16/4 (1998) 495-509.

Abstract: We present techniques for efficient anonymous communication with real-time constraints, as necessary for services like telephony where a continuous data stream has to be transmitted.
For concreteness, we present the detailed protocols for the narrowband ISDN (Integrated Services Digital Network), although the heart of our techniques -- anonymous channels -- can also be applied to other networks. For ISDN, we achieve the same data rate as without anonymity using the same subscriber lines and without any significant modifications to the long-distance network. A precise performance analysis is given.
Our techniques are based on mixes, a method for anonymous communication for email-like services introduced by D. Chaum.


Jan Müller: Anonyme Signalisierung in Kommunikationsnetzen; Diplomarbeit, TU Dresden, Institut für Theoretische Informatik, Februar 1997.

Abstract: (Aufgabenstellung der Diplomarbeit) Realisierungsmöglichkeiten für die anonyme Signalisierung sollen gefunden, untersucht und bewertet werden.
Auf der Grundlage des Signalisierungssystems No.7 (SS7) sollen Verfahren entwickelt werden, die dem Teilnehmer eine anonyme Signalisierung von Verbindungsaufbau, -abbau und Location Management Funktionen in mobilen Netzen ermöglichen.
Anwendungsmöglichkeiten für verschiedene Kommunikationsnetze (insbesondere GSM und ISDN) sind beispielhaft darzustellen. Erweiterte Datenschutzforderungen, wie der Schutz des Aufenthaltsortes in Mobilkommunikationsnetzen, sind in die Betrachtungen zur anonymen Signalisierung einzubeziehen.


Torben Pryds Pedersen, Birgit Pfitzmann: Fail-stop Signatures; SIAM Journal on Computing 26/2 (1997) 291-330.

Abstract: Fail-stop signatures can briefly be characterized as digital signatures that allow the signer to prove that a given forged signature is indeed a forgery. After such a proof has been published, the system can be stopped. This type of security is strictly stronger than that achievable with ordinary digital signatures as introduced by Diffie and Hellman in 1976 and formally defined by Goldwasser, Micali, and Rivest in 1988, which was widely considered as the strongest possible definition.
This paper formally defines fail-stop signatures and shows their relation to ordinary digital signatures. A general construction and actual schemes derived from it follow. They are efficient enough to be used in practice. Next, we prove lower bounds on the efficiency of any fail-stop signature scheme. In particular, we show that the number of secret random bits needed by the signer, the only parameter where the complexity of all our constructions deviates from ordinary digital signatures by more than a small constant factor, cannot be reduced significantly.


Andreas Pfitzmann, Birgit Pfitzmann, Matthias Schunter, Michael Waidner: Trusting Mobile User Devices and Security Modules; IEEE Computer 30/2 (1997) 61-68.

Abstract: The market for devices like mobile phones, multifunctional watches, and personal digital assistants is growing rapidly. Most of these mobile user devices need security for their prospective electronic commerce applications.


Birgit Pfitzmann, Michael Waidner: Asymmetric Fingerprinting for Larger Collusions; 4th ACM Conference on Computer and Communications Security, Zürich, April 1997, 151-160.

Abstract: Fingerprinting schemes deter people from illegally redistributing digital data by enabling the original merchant of the data to identify the original buyer of a redistributed copy. So-called traitor-tracing schemes have the same goal for keys used to decrypt information that is broadcast in encrypted form. Recently, asymmetric fingerprinting and traitor-tracing schemes were introduced. Here, only the buyer knows the fingerprinted copy after a sale, and if the merchant finds this copy somewhere, he obtains a proof that he found the copy of this particular buyer. This gives both parties security in disputes. First constructions showed the validity of the concept.
However, these constructions did not yet achieve much security against collusions, in contrast to known symmetric schemes. This paper presents asymmetric constructions without this restriction.


Birgit Pfitzmann, Michael Waidner: Anonymous Fingerprinting; Eurocrypt '97, LNCS 1233, Springer-Verlag, Berlin 1997, 88-102.

Abstract: Fingerprinting schemes deter people from illegally redistributing digital data by enabling the original merchant of the data to identify the original buyer of a redistributed copy. Recently, asymmetric fingerprinting schemes were introduced. Here, only the buyer knows the fingerprinted copy after a sale, and if the merchant finds this copy somewhere, he obtains a proof that it was the copy of this particular buyer.
A problem with all previous fingerprinting schemes arises in the context of electronic marketplaces where untraceable electronic cash offers buyers privacy similar to that when buying books or music in normal shops with normal cash. Now buyers would have to identify themselves solely for the purpose of fingerprinting. To remedy this, we introduce and construct anonymous asymmetric fingerprinting schemes, where buyers can buy information anonymously, but can nevertheless be identified if they redistribute this information illegally.
A subresult of independent interest is an asymmetric fingerprinting protocol with reasonable collusion tolerance and 2-party trials, which have several practical advantages over the previous 3-party trials. Our results can also be applied to so-called traitor tracing, the equivalent of fingerprinting for broadcast encryption.


Birgit Pfitzmann, Michael Waidner: Strong Loss Tolerance of Electronic Coin Systems; ACM Transactions on Computer Systems 15/2 (1997) 194-213.

Abstract: Untraceable electronic cash means prepaid digital payment systems, usually with offline payments, that protect user privacy. Such systems have recently been given considerable attention by both theory and development projects. However, in most current schemes, loss of a user device containing electronic cash implies a loss of money, just as with real cash. In comparison with credit schemes, this is considered a serious shortcoming.
This article shows how untraceable electronic cash can be made loss-tolerant, i.e., how the monetary value of the lost data can be recovered. Security against fraud and preservation of privacy are ensured; strong loss tolerance means that not even denial of recovery is possible. In particular, systems based on electronic coins are treated. We present general design principles and options and their instantiation in one concrete payment system. The measures are practical.


Birgit Pfitzmann, Michael Waidner: Kopierschutz durch asymmetrische Schlüsselkennzeichnung mit Signeten; Verläßliche IT-Systeme, GI-Fachtagung VIS '97, DuD Fachbeiträge, Vieweg, Braunschweig 1997, 17-32.

Abstract: Schlüsselkennzeichnung (Traitor Tracing) ist eine kryptographische Kopierschutztechnik für Daten, die in verschlüsselter Form an viele Empfänger verteilt werden sollen. Die 1994 von Chor, Fiat und Naor vorgestellte Grundidee besteht darin, allen Käufern zum Entschlüsseln unterschiedliche Schlüssel zu geben, so daß Raubkopierer, die ihre Schlüssel unerlaubterweise weiterverteilen, identifiziert werden können. Zwei Varianten dieses Modells sind asymmetrische Schlüsselkennzeichnung und Signete.
Im folgenden werden die Modellvarianten in einem einheitlichen Rahmen vorgestellt und eine Konstruktion für asymmetrische Signete beschrieben. Ein Vergleich der Modellvarianten ergibt, daß Schlüsselkennzeichnung das für den Einsatz in einem realen Rechtssystem deutlich bessere Konzept ist. Signete haben allerdings gewisse Effizienzvorteile, weshalb auch beschrieben wird, wie asymmetrische Schlüsselkennzeichnung aus Signeten konstruiert werden kann.


Birgit Pfitzmann, Michael Waidner: How to Break "Fraud-Detectable Key-Escrow"; Rump Session of Eurocrypt '97, Konstanz, Germany, May 13, 1997 (Slides).

Comment: The attack was independently also discovered by H. Tiersma, who gave a presentation at the same Rump Session entitled "Unbinding ElGamal - An Alternative to Key-escrow?"

Abstract: At Eurocrypt '97, Eric R. Verheul et al. [VeTi_97] introduced the notion of binding for session key recovery schemes. Binding means that a third party, without knowing the session key, can verify whether the correct session key could be recovered.
The model of Verheul et al. explicitly assumed that dishonest users can make simple modifications to messages, like deleting the key recovery information, and that the dishonest recipient's software can decrypt messages even if the key recovery information is incorrect. We break their general construction within this model, without assuming the availability of any other encryption system or any pre-established shared secrets.


Birgit Pfitzmann, Michael Waidner: How to Break Fraud-Detectable Key Recovery (ps.gz, 37 KByte, or PDF, 29 KByte); IBM Research Report RZ 2970 11/03/1997, IBM Research Division, Zürich, Oct. 1997.

Abstract: Fraud detection for software key recovery schemes means that, without knowing the session key, a third party can verify whether the correct session key could be recovered. This concept and a construction by so-called binding data was introduced by Verheul et al. at Eurocrypt '97 to provide for dishonest users that make simple modifications to messages, e.g., delete the key recovery information, and manipulate the recipient's software such that it decrypts messages even if the key recovery information is incorrect.
We show how to break their general construction within their model, in particular without using any other encryption system or any pre-established shared secrets.
We conclude that the concept of binding data does not improve the security of software key recovery but illustrates once more its fundamental problem: it does not improve an authorized third party's ability to eavesdrop on serious criminals.


Martin Reichenbach, Herbert Damker, Hannes Federrath, Kai Rannenberg: Individual Management of Personal Reachability in Mobile Communication; Proc. 13th IFIP International Conference on Information Security (IFIP/Sec '97), Chapman & Hall, London 1997, 164-174.

Abstract: This paper describes a concept for controlling personal reachability while maintaining a high degree of privacy and data protection. By easy negotiation of their communication requests users can reach others without disturbing the called partners and without compromising their own privacy. Reachability management can strengthen the called subscriber's right to self-determined communication without violating the callers' interests in protecting their personal data.


Matthias Schunter, Michael Waidner: Architecture and Design of a Secure Electronic Marketplace; Joint European Networking Conference (JENC8), Edinburgh, June 1997, 712.1-712.5.

Abstract: Backed by the European Commission, a consortium of partners from European industry, financial institutions, and academia has embarked on a research project to develop the fundamentals of secure electronic commerce. The goal of the ACTS Project SEMPER (Secure Electronic Marketplace for Europe) is to provide the first open and comprehensive solution for secure commerce over the Internet and other public information networks. SEMPER's flexible open architecture is based on a model of electronic commerce which comprehends a business scenario as a sequence of transfers and fair exchanges of "business items", which are payments, data, or rights.
This is reflected in the architecture: The exchange and transfer layer handles transfers and fair exchanges of items. The commerce layer provides methods for downloading certified commerce services and the necessary trust management. The commerce services implement the terms of business of a seller using the exchange and transfer layer services.
A prototype of this architecture implemented in the Java programming language will be trialed for sales of multimedia courseware (EUROCOM, Athens, GR), on-line consultancy and subscriptions (FOGRA, München, D) as well as mail-order retailing (Otto-Versand, Hamburg, D). It will integrate the payment systems SET (provided by IBM), Chipper (provided by KPN Research), and ecash® (provided by DigiCash). The prototype uses a distinguished user-interface for trustworthy user in- and output which enables to use SEMPER on secure hardware.


Reiner Sailer, Hannes Federrath, Anja Jerichow, Dogan Kesdogan, Andreas Pfitzmann: Allokation von Sicherheitsfunktionen in Telekommunikationsnetzen; in: G. Müller, A. Pfitzmann (Hrsg.): Mehrseitige Sicherheit in der Kommunikationstechnik, Addison-Wesley-Longman, 1997, 325-357.

Abstract: Ein Kommunikationsnetz ohne Sicherheitsfunktionen ist heute undenkbar. Sicherheit umfaßt die Erfüllung der Anforderungen Vertraulichkeit (confidentiality), Integrität (integrity) und Verfügbarkeit (availability) in einem Rechnernetz. Telekommunikationsnetze sind heutzutage ebenfalls Rechnernetze, auf denen verteilte Anwendungen implementiert sind. In solchen Netzen fallen an vielen Stellen schützenswerte Daten in erheblichem Umfang an. Neben Verbindungsdaten und Abrechnungsdaten sind dies natürlich die Inhalte der Kommunikation.

Neben der Integration von Konzepten zur Datenvermeidung ist die Sicherung der vorhandenen und notwendigen Daten erforderlich. Diese Aufgabe wird durch sog. Sicherheitsmechanismen erfüllt. Die Anordnung (Allokation) dieser Sicherheitsmechanismen entscheidet einerseits über die Wirksamkeit der Sicherheitsfunktionen, andererseits beeinflußt sie die Leistungsparameter des Netzes. Daher ist die geschickte Anordnung der Sicherheitsmechanismen eine notwendige Voraussetzung für die Akzeptanz von Sicherheit.

Dieses Papier betrachtet verschiedene Möglichkeiten der Allokation von Sicherheitsfunktionen, ohne auf ihre innere Struktur selbst einzugehen. Sie können als eine Art Black-Box betrachtet werden.


Michael Waidner: Secure Electronic Commerce; ERSADS '97, Proceedings of the 2nd European Research Seminar on Advances in Distributed Systems, Zinal, March 17-21, 1997, 47-89.

Abstract: As business is moving from face-to-face trading to electronic commerce over the Internet, crucial security issues are being raised. Essential concepts are multi-party security and dispute handling, and in many scenarios users will have very strong privacy requirements. This tutorial discusses security risks and reviews the state of the art, in particular in electronic payment systems. The architecture proposed by SEMPER is used as a framework.


Jan Zöllner, Hannes Federrath, Andreas Pfitzmann, Andreas Westfeld, Guntram Wicke, Gritta Wolf: Über die Modellierung stenographischer Systeme; Verläßliche IT-Systeme, GI-Fachtagung VIS '97, DuD Fachbeiträge, Vieweg, Braunschweig 1997, 211-223.

Abstract: Nach einer kurzen Einführung in die Steganographie und der Abgrenzung zu kryptographischen Systemen werden verschiedene Modellierungsmöglichkeiten für steganographische Systeme vorgestellt und hinsichtlich ihrer Allgemeingültigkeit diskutiert. Es wird ein allgemeines Modell für steganographische Konzelationssysteme abgeleitet. Weiterhin werden Bedingungen für sichere Steganographie formuliert.


Jan Zöllner, Hannes Federrath, Andreas Pfitzmann, Andreas Westfeld, Guntram Wicke, Gritta Wolf: Über die Modellierung stenographischer Systeme; Verläßliche IT-Systeme, GI-Fachtagung VIS '97, DuD Fachbeiträge, Vieweg, Braunschweig 1997, 211-223.

Abstract: Nach einer kurzen Einführung in die Steganographie und der Abgrenzung zu kryptographischen Systemen werden verschiedene Modellierungsmöglichkeiten für steganographische Systeme vorgestellt und hinsichtlich ihrer Allgemeingültigkeit diskutiert. Es wird ein allgemeines Modell für steganographische Konzelationssysteme abgeleitet. Weiterhin werden Bedingungen für sichere Steganographie formuliert.


Jan Zöllner, Hannes Federrath, Andreas Pfitzmann, Andreas Westfeld, Guntram Wicke, Gritta Wolf: Über die Modellierung steganographischer Systeme; GI-Fachtagung Verläßliche IT-Systeme (VIS'97), DuD Fachbeiträge, Vieweg 1997, 211-223. (Revised PDF-version.)

Abstract: Nach einer kurzen Einführung in die Steganographie und der Abgrenzung zu kryptographischen Systemen werden verschiedene Modellierungsmöglichkeiten für steganographische Systeme vorgestellt und hinsichtlich ihrer Allgemeingültigkeit diskutiert. Es wird ein allgemeines Modell für steganographische Konzelationssysteme abgeleitet. Weiterhin werden Bedingungen für sichere Steganographie formuliert.


Back to SIRENE's Home or Pointers to the Outside World.



Last modified Mon Dec 18 20:35:18 MET 2000 by Ahmad-Reza Sadeghi <sadeghi@cs.uni-sb.de>.
Last modified: $Date: 2000/12/20 20:16:32 $