Sirene Online Abstracts 1994

(Sorted by authors.)

Most of the following papers are available online in gnuzipped Postscript, some also in PDF. There is also a complete list of all our publications sorted by language and subject.

Don't forget: some proceedings are published in a later year than the conference is held.

Thilo Baldin, Gerrit Bleumer, Ralf Kanne: CryptoManager - Eine intuitive Programmierschnittstelle für kryptographische Systeme; Sicherheitsschnittstellen - Konzepte, Anwendungen und Einsatzbeispiele, Proc. Workshop Security Application Programming Interfaces 94, Deutscher Universitäts Verlag, München 1994, 79-94.

Abstract: Der CryptoManager ist eine Softwarebibliothek für kryptographische Verfahren, die nach folgenden Entwurfszielen entwickelt wurde: Individuell skalierbare Sicherheit, intuitive Verwendbarkeit, Effizienz, Wartbarkeit und Erweiterbarkeit, reiches Angebot kryptographischer Mechanismen. Insbesondere sollen Kooperationen mehrerer kryptographischer Verfahren für den Anwendungsprogrammierer wie ein (integriertes) Verfahren benutzbar sein, und potentiell unbegrenzte Datenoperanden (Datenströme) sollen einfach zu verarbeiten sein. Eine stabile Implementierung liegt in THINK-Pascal für Apple Computer vor.
Die Softwarebibliothek wurde zum Teil innerhalb des EU-Projekts SEISMED (Secure Environment for Information Systems in MEDicine) entwickelt. Die erfolgreiche Integration in eine prototypische Anwendung für gesicherten Dateitransfer in einem Apple-Talk-Rechnernetz demonstriert ihre Funktionalität und Effizienz.
Die Weiterentwicklung des CryptoManager verfolgt vorrangig die Entwicklungsziele Portierbarkeit und objektorientierten Entwurf. Konkret entwickelt wird eine C++-Implementierung.

Jean-Paul Boly, Antoon Bosselaers, Ronald Cramer, Rolf Michelsen, Stig Mjølsnes, Frank Muller, Torben Pedersen, Birgit Pfitzmann, Peter de Rooij, Berry Schoenmakers, Matthias Schunter, Luc Vallée, Michael Waidner: The ESPRIT Project CAFE - High Security Digital Payment Systems; ESORICS 94 (Third European Symposium on Research in Computer Security), Brighton, LNCS 875, Springer-Verlag, Berlin 1994, 217-230.
A preliminary version was presented at: Securicom 94, Paris, 1.-3.6.1994.

Abstract: CAFE (Conditional Access for Europe) is an ongoing project in the European Community's ESPRIT program. The goal of CAFE is to develop innovative systems for conditional access, and in particular, digital payment systems. An important aspect of CAFE is high security of all parties concerned, with the least possible requirements that they are forced to trust other parties (so-called multi-party security). This should give legal certainty to everybody at all times. Moreover, both the electronic money issuer and the individual users are less dependent on the tamper-resistance of devices than in usual digital payment systems. Since CAFE aims at the market of small everyday payments that is currently dominated by cash, payments are offline, and privacy is an important issue.
The basic devices used in CAFE are so-called electronic wallets, whose outlook is quite similar to pocket calculators or PDAs (Personal Digital Assistant). Particular advantages of the electronic wallets are that PINs can be entered directly, so that fake-terminal attacks are prevented. Other features are:

The aim is to demonstrate a set of the systems developed in one or more field trials at the end of the project. Note that these will be real hardware systems, suitable for mass production. This paper concentrates on the basic techniques used in the CAFE protocols.

Joachim Biskup, Gerrit Bleumer: Reflections on Security of Database and Datatransfer Systems in Health Care; Proc. IFIP 13th World Computer Congress, Volume II: Applications and Impacts; North-Holland 1994, 549-556. Also published as Hildesheimer Informatik-Berichte 10/94 (April 1994).

Abstract: Health care is a complex and transnational task of societies. The various institutions and individuals involved are not and should not be governed by one central authority, but have legitimate and sometimes diverging interests. Balancing these interests has been subject to organizational and legal procedures traditionally. Today, institutions like hospitals and practices are no longer employers of isolated IT-systems, but they increasingly collaborate by means of a transnational network of various highly efficient database and datatransfer components, etc. Balancing all legitimate interests demands too much of organizational measures and, thus, requires direct support by the IT-systems themselves. The most important implication for the specification of such systems is that it must explicitly allow different parties to distrust different components of the system. We start from a simple specification of a "secure" system and unfold it with respect to typical requirements of health care.

Gerrit Bleumer: Security for Decentralised Health Information Systems; in: B. Barber, A.R. Bakker, S. Bengtsson (ed.): Caring for Health Information -- Safety, Security, Secrecy; Elsevier Science, Amsterdam 1994, 139-146.

Abstract: The increasing mobility of patients demands more and more large scale integrated health care information systems which provide accurate and secure information across countries' borders. Open distributed systems can support a highly decentralized community such as health care. But the market for open information and operating systems hardly provides secure products. This "missing link" is approached by the prototype SECURE Talk that provides secure transmission and archiving of files on top of an existing operating system. Its services may then be utilized by existing medical applications. This is outlined by a suitable example application.
SECURE Talk is an experimental, high speed tool which does not aim at integrating additional mechanisms into existing operating systems or information systems. However, it demonstrates at a friendly user interface the usability and performance of the mechanisms essential for open systems security: enciphering and electronic signature mechanisms.

Gerrit Bleumer: Security for Decentralised Health Information Systems; International Journal of Biomedical Computing 35/? (Feb. 1994) 139-145.

Abstract: Health care information systems must reflect at least two basic characteristics of the health care community: The increasing mobility of patients and the personnal liability of everyone giving medical treatment. Open distributed information systems bear the potential to reflect these requirements. But the market for open information systems and operating systems hardly provides secure products today. This "missing link" is approached by the prototype SECURE Talk that provides secure transmission and archiving of files on top of an existing operating system. Its services may be utilized by existing medical applications.
SECURE Talk demonstrates secure communication utilizing only standard hardware. Its message is that cryptography (and in particular asymmetric cryptography) is practical for many medical applications even if implemented in software.
All mechanisms are software implemented in order to be executable on standard hardware. One can investigate more or less decentralized forms of public key management and the performance of many different cryptographic mechanisms. That of, e.g., hybrid encryption and decryption (RSA + DES-PCBC) is about 300 kbit/s. That of signing and verifying is approximately the same using RSA with a DES hash function. The internal speed, without disk accesses etc., is about 1.1 Mbit/s. (Apple Quadra 950 (MC 68040, 33 MHz, RAM: 20 MB, 80ns. Length of RSA modulus is 512 bit.)

Ivan B. Damgård, Torben P. Pedersen, Birgit Pfitzmann: On the Existence of Statistically Hiding Bit Commitment Schemes and Fail-Stop Signatures; Crypto '93, LNCS 773, Springer-Verlag, Berlin 1994, 250-265.

Abstract: We show that the existence of a statistically hiding bit commitment scheme with non-interactive opening and public verification implies the existence of fail-stop signatures. Therefore such signatures can now be based on any one-way permutation -- the weakest assumption known to be sufficient for fail-stop signatures. We also show that genuinely practical fail-stop signatures follow from the existence of any collision-intractable hash function.
A similar idea is used to improve a commitment scheme of Naor and Yung, so that one can commit to several bits with amortized O(1) bits of communication per bit committed to.
Conversely, we show that any fail-stop signature scheme with a property we call the {\em almost unique secret key property} can be transformed into a statistically hiding bit commitment scheme. All previously known fail-stop signature schemes have this property. We even obtain an equivalence since we can modify the construction of fail-stop signatures from bit commitments such that it has this property.

Steffen Möller, Andreas Pfitzmann, Ingo Stierand: Rechnergestützte Steganographie: Wie sie funktioniert und warum folglich jede Reglementierung von Verschlüsselung unsinnig ist; Datenschutz und Datensicherung DuD 18/6 (1994) 318-326.

Abstract: Zukünftig werden Nachrichten, z.B. Sprache, Text, Bilder, zunehmend digitalisiert übertragen, da dies billiger, perfekter und flexibler ist. In solchen digitalisierten Nachrichten können, für Außenstehende nahezu unerkennbar, weitere - allerdings notwendigerweise erheblich kürzere - Nachrichten versteckt werden. Wie diese rechnergestützte Steganographie funktioniert und welche Ergebnisse wir mit einem hierfür geschriebenen Programm, nach einer Märchengestalt DigiStilz genannt, erzielt haben, wird ausführlich dargestellt.
Seit der technische Fortschritt den Einsatz von Verschlüsselung potentiell billig und einfach macht, wird diskutiert und in einigen Ländern bereits versucht, Verschlüsselung gesetzlich zu reglementieren. Andernfalls sei die Bekämpfung der internationalen Schwerkriminalität erheblich behindert. Selbst wenn wir unterstellen, daß Schwerkriminelle sich ausgerechnet diesem Verbot zu unterwerfen bereit seien: Durch die leicht einsetzbare rechnergestützte Steganographie ist für Ermittler nicht einmal das Vorliegen einer geheimen Nachricht, geschweige denn ihr Inhalt, feststellbar. Da rechnergestützte Steganographie nicht verhindert werden kann, solange der Besitz von programmierbaren Rechnern verbreitet ist, und sie für die Planung und Koordinierung von Straftaten ausreichende "versteckte" Bandbreite liefert, ist jeder Versuch einer Reglementierung von Verschlüsselung für die Strafverfolgung wirkungslos. Da für die Bürger vertrauenswürdige Verschlüsselung für die Wahrnehmung ihres Rechtes auf informationelle Selbstbestimmung unverzichtbar ist und Vertrauen in eine Schutzmaßnahme freie Kenntnis, Gestaltung und Benutzung voraussetzt, raten wir dringend von Reglementierungsversuchen ab.

Birgit Pfitzmann: Fail-Stop Signatures Without Trees; Hildesheimer Informatik-Berichte 16/94 (Juni 1994), Institut für Informatik, Universität Hildesheim.

Abstract: We construct the first fail-stop signature scheme where neither the signature length nor the length of the public key grows as a function of the number of messages that can be signed with one key. The computation needed for signing and testing is reduced similarly. This removes one of the main differences between the complexity of ordinary signature schemes and previous fail-stop signature schemes: In the latter, signatures were branches in an authentication tree, and their length is therefore logarithmic in the size of that tree. Our result also bridges the main gap between known lower and upper bounds on the complexity of fail-stop signature schemes. The construction is based on one-way accumulators.

Birgit Pfitzmann, Michael Waidner: A General Framework for Formal Notions of "Secure" System; Hildesheimer Informatik-Berichte 11/94 (April 1994), Institut für Informatik, Universität Hildesheim.

Abstract: Research about secure systems takes place in several largely unrelated communities without much mutual understanding, and without a common notion of "security". Example areas are access control and information flow control, cryptology, secure software, statistical databases, and fault tolerance and safety. We strive to unify these approaches, or at least to give them a common understanding of their relations, by presenting a general framework for the design of secure systems and showing how the main research activities of several example areas fit together in it.
Our main issue is not terminology, but the notions of security as such, and how such security can be achieved. We keep formalism to a minimum and use simple terminology from general computer science, avoiding all the jargons of the communities involved. Nevertheless, in contrast to previous approaches, our goal was to identify notions that can be defined formally (at least for those design stages that are accessible to formalization at all), and to relate them to usual formal notions about system design, e.g., "specification" and "correctness".
Particular notions we discuss are trust models, the requirement that a system does "nothing else" than what is specified, and the interplay of individual goals and a global specification. Our approach is not restricted to systems with a trusted central authority or computing base.

Michael Waidner: Das ESPRIT-Projekt "Conditional Access for Europe"; 4. GMD-SmartCard Workshop, Darmstadt, 8.-9.2.1994, Tagungsband (Hrsg. Bruno Struif). und: Multicard '94, Elektronische Kartensysteme - Anspruch und Wirklichkeit, Kongreßdokument II, 23.-25. Februar 1994, Berlin, 236-249.

Abstract: "Conditional Access for Europe" (CAFE) ist ein von der Europäischen Union im Rahmen von ESPRIT gefördertes Forschungs- und Entwicklungsprojekt. Ziel ist die Entwicklung von Autorisierungssystemen, insbesondere digitalen Zahlungssystemen. Grundlage sind kleine, tragbare Benutzergeräte, Wallets genannt, die in Größe und Erscheinungsbild Taschenrechnern oder PDAs ähneln. Wallets können untereinander und mit anderen Geräten per Infrarotkanal kommunizieren.
Hauptmerkmal von CAFE ist die hohe Sicherheit aller Beteiligter unter geringstmöglichen Anforderungen an das gegenseitige Vertrauen: Die Sicherheit vieler herkömmlicher Systeme basiert darauf, daß alle Beteiligten dem Betreiber vertrauen. Oft hängt die Sicherheit aller Beteiligter auch noch von manipulations- und ausforschungssicheren Geräten ab, etwa von Chipkarten, oder von den Besitzern der POS-Terminals. Die Benutzer können diese Geräte nicht kontrollieren, müssen aber dennoch deren Korrektheit vertrauen. In CAFE genügt es für die Integrität und Vertraulichkeit, wenn jeder Beteiligte nur solchen Geräten vertraut, die er vollständig kontrolliert und die keine Geheimnisse vor ihm haben. Hauptstütze der Sicherheit sind kryptographische Verfahren, insbesondere digitale Signaturen.
Hauptgegenstand von CAFE sind digitale offline Zahlungssysteme, die den Benutzern Unbeobachtbarkeit (Datenschutz) und Sicherheit garantieren. Unbeobachtbarkeit und Sicherheit der Benutzer gegen Geldverlust basieren allein auf Kryptographie. Die Sicherheit des Betreibers basiert ebenfalls auf Kryptographie und zusätzlich auf der Manipulations- und Ausforschungssicherheit eines Bestandteils der Wallets, der Guardians. Sollte ein Guardian wider Erwarten ausgeforscht werden, so wird dem Betreiber zumindest garantiert, daß für jeden unerlaubt ausgegebenen Betrag der Betrüger eindeutig identifiziert und damit zur Rechenschaft gezogen werden kann. Die Sicherheit eines Benutzers hängt nicht vom Guardian seines Wallets ab.
Das für einen Feldversuch 1995 vorgesehene Zahlungssystem wird die Bezahlung in mehreren Währungen (z. B. ECU und DM) erlauben und schützt die Benutzer selbst dann vor Geldverlust, wenn sie ihr Wallet verlieren.

Michael Waidner, Arnd Weber: Europäisches Industrie- und Forschungskonsortium entwickelt neuartiges Zahlungsverfahren; à la Card aktuell 5/94 (1994) 13-19 und Datenschutzberater 18/10 (1994) 4-7.

Abstract: Sichere elektronische Zahlungen sollen von einem neuartigen Zahlungsverfahren ermöglicht werden, das im Rahmen des ESPRIT Projekts "CAFE -- Conditional Access for Europe" von 13 europäischen Industrieunternehmen und Forschungsinstituten entwickelt wird. Grundlage sind kryptographische Verfahren, insbesondere sogenannte public-key-Verfahren zur digitalen Unterschrift: alle Zahlungen werden durch den Emittenten des elektronischen Geldes digital unterschrieben und sind so gegen Fälschung sicher.
Für Zahlungen erhalten die Kunden eine Prozessorchipkarte des Emittenten oder eine Art elektronischer Geldtasche. In seiner Grundversion erlaubt das Zahlungsverfahren anonyme offline Zahlungen von Kunden an beliebige Dienstleister. Die Kunden erhalten elektronisches Geld über öffentliche Ausgabeautomaten oder über private Terminals, die über den heimischen Telefonanschluß mit einem Emittenten verbunden sind.
Zahlungen können in unterschiedlichen Währungen geleistet werden. Optional kann elektronisches Geld auch zwischen Kunden transferiert werden. Möglich ist auch die Kombination mit herkömmlichen Kredit- und Debitsystemen. Ein Übergang zu einem anonymen oder auch nichtanonymen online-Betrieb ist ebenfalls möglich, etwa für höhere Werte. Darüber hinaus ist der Kunde gegen den Verlust elektronischen Geldes durch Ausfall, Verlust oder Diebstahl seiner Karte oder seiner elektronischen Geldtasche geschützt.
Das Zahlungsverfahren setzt keinen zentralen Emittenten voraus. Statt dessen ist das Verfahren für mehrere Emittenten offen, die zudem die möglichen Optionen unabhängig voneinander auswählen können.
Ein Test der entwickelten Architektur und verschiedener Optionen soll 1995 stattfinden.
Eine elektronische Geldtasche enthält elektronisches Geld und kann zusätzlich auch die Funktionen anderer Karten oder auch digitale Quittungen und ähnliches enthalten. Technisch ist sie ein Gerät ähnlich einem Taschenrechner, also mit einer kleinen LCD-Anzeige und Tastatur, das über einen eingebauten Infrarotsender und -empfänger mit anderen Geräten kommunizieren kann. Da die Kommunikation über eine Infrarotverbindung, also kontaktlos erfolgt, sind hinsichtlich Form und zusätzlicher Funktionalität beliebig unterschiedliche elektronische Geldtaschen denkbar. Das Geld des Kunden wird von seiner elektronischen Geldtasche gespeichert und verwaltet. Alle Transaktionen des Kunden werden vom Kunden selbst über seine elektronische Geldtasche initiiert. Abhebungen und, soweit vom Kunden gewünscht, auch Zahlungen sind durch PIN-Abfrage geschützt. Die elektronische Geldtasche kann der Kunde im Prinzip von einem beliebigen Hersteller beziehen und beliebig selbst prüfen oder von Dritten prüfen lassen.
Daß gespeichertes elektronisches Geld nur einmal ausgegeben werden kann, wird durch ein spezielles, in eine elektronische Geldtasche einsetzbares Sicherheitsmodul des Emittenten, den sogenannten "Guardian", erzwungen.
Die Zahlungsempfänger können zur Speicherung des erhaltenen elektronischen Geldes beliebige Speichermedien verwenden. Im Gegensatz zu elektronischen Geldtaschen benötigen POS-Terminals kein Sicherheitsmodul. Die Kommunikation mit dem Gerät des Kunden erfolgt, je nach Systemvariante, über einen Chipkartenleser oder einen Infrarotsender und -empfänger.

Back to SIRENE's Home or Pointers to the Outside World.

Birgit Pfitzmann, [email protected]
Last modified: $Date: 2000/02/28 16:01:39 $