Loading AI tools
מוויקיפדיה, האנציקלופדיה החופשית
בקריפטוגרפיה ואבטחת מידע, חֲתִימָה עִוֶּרֶת (באנגלית: Blind Signature) היא צורת חתימה דיגיטלית שבה תוכן המסר החתום מוסתר מפני החותם בזמן החתימה עליו. החתימה העיוורת ניתנת לאימות באופן פומבי מול המסר הגלוי באותו אופן שבו מבוצע אימות חתימה דיגיטלית רגילה למרות שהחותם לא היה מודע לתוכן המסר בעת החתימה. חתימה עיוורת שימושית במגוון תחומים בהם דרושה אנונימיות כמו הצבעה ממוחשבת או מסחר במטבע דיגיטלי.
רעיון החתימה העיוורת הועלה לראשונה ב-1983 על ידי דויד צ'אום[1] שנחשב לאחד מחלוצי המטבע הדיגיטלי. הוא הדגים לראשונה את החתימה העיוורת באמצעות אנלוגיה למעטפת הצבעה עם נייר פחם. המצביע מכניס פתק הצבעה שאליו מוצמד נייר פחם לתוך מעטפה עליה מודפסים פרטיו האישיים, הגורם המאשר בודק את פרטי המצביע המופיעים על גבי המעטפה וחותם עליה בחתימתו. חתימת הגורם המאשר עוברת לפתק ההצבעה באמצעות נייר הפחם. כעת המצביע יכול להוציא את פתק ההצבעה החתום ולשלוח אותו בדואר לקלפי במעטפה לא מזוהה. בכל שלב ניתן לבדוק את תקפות ההצבעה על ידי בדיקת החתימה שעל הפתק. למרות שהגורם שמודע לזהות בעל פתק ההצבעה אינו יודע למי הצביע כי הפתק הוסתר בתוך מעטפה אטומה.
באותה מידה יכולה חתימה עיוורת לשמש כלי עזר לתשלום מזומנים דיגיטליים ללא אפשרות מעקב. כלומר החתימה באופן זה מונעת מהבנק ליצור זיקה בין הכסף החתום לבין עסקה שנעשתה איתו מאוחר יותר, או בין גרסה מוסתרת של המטבע לבין גרסה גלויה שלו. דבר שיכול לעזור בשמירה על אנונימיות המשלם בדומה לשימוש במזומנים בשיטה המסורתית, תוך מניעה של בזבוז כפול.
אפשר להכין חתימה עיוורת באמצעות כל שיטת הצפנה אסימטרית הומומורפית חלקית כמו RSA, אל-גמאל, הצפנת פליאיי או אוקמוטו-אושיאמה. באופן פורמלי חתימה עיוורת היא פרוטוקול קריפטוגרפי בין שתי ישויות אליס ובוב. אליס מעוניינת להחתים את בוב על מסר כלשהו שהיא הכינה. בגמר הפרוטוקול אליס השיגה את חתימתו של בוב על המסר מבלי שיגלה דבר בנוגע למסר עליו חתם. וכן כל אחד מסוגל לוודא שאכן החתימה של בוב על המסר תקפה מבלי הצורך לדעת מיהו בעל המסר. במידה מסוימת יש קשר בין פרוטוקול זה לפרוטוקול הוכחה באפס ידיעה, שבו המוכיח מצליח לשכנע את המוודא בדבר אמיתות טענה מסוימת מבלי לחשוף בפניו את הטענה עצמה. למעשה דויד צ'אום, עמוס פיאט ומוני נאור פיתחו פרוטוקול למטבע דיגיטלי[2] המסתמך על אפס ידיעה שמאפשר לאליס לשמור על האנונימיות שלה כל עוד היא אינה מרמה. העונש במקרה של הונאה הוא חשיפת זהותה.
חתימה דיגיטלית היא תוצר של הצפנת מפתח ציבורי או הצפנה א-סימטרית שבה המערכת מפוצלת לשני חלקים נפרדים, שלב ההצפנה המקביל לשלב החתימה ושלב הפענוח המקביל לשלב אימות החתימה. כל אחד יכול לאמת חתימה המצורפת למסמך כלשהו באמצעות המפתח הציבורי של החותם אך רק החותם שמחזיק במפתח הפרטי יכול לחתום חתימה תקפה בשמו ובהגדרה אין אפשרות (או קשה מאוד) לנחש מהו מפתח החתימה הפרטי בידיעת מפתח האימות הציבורי. חתימה דיגיטלית כוללת פונקציית חתימה ופונקציית אימות כך שהתוצאה של על המסר היא הוכחה לתקפותה. השיטה המפורסמת ביותר לחתימה דיגיטלית היא שיטת RSA המבוססת על העובדה שמצד אחד קל לבצע העלאה בחזקה ומצד שני קשה לפרק לגורמים מספרים שלמים. אליס בוחרת שני מספרים ראשוניים גדולים ו- ומחשבת את . כמו כן היא מגרילה מספר שלם שהוא זר ל-, מחשבת את המפתח הסודי כך שמתקיים . כאשר הוא פונקציית אוילר של שהיא במקרה זה . את ואת היא מפרסמת לכל דורש ואילו את ואת ו- היא שומרת בסוד. כדי לחתום על המסר היא מחשבת את אותו היא שולחת לבוב יחד עם המסר . כדי לאמת את החתימה בוב מחשב את ורק אם מתקיים הוא מקבל את החתימה. זה נכון בשל הזהות הבאה:
כי לפי אוילר עבור כל ולכן גם . היות שאף אחד חוץ מאליס אינו יודע מהם או כיוון שהם מעולם לא פורסמו ולא ניתן לחשב אותם מתוך ו- מבלי לדעת מהם הגורמים הראשוניים, זהו מאפיין יסודי של הצפנה אסימטרית, לכן בוב יכול לקבל את החתימה כאותנטית. כמובן שהשיטה המתוארת נועדה רק להדגים את הקונספט של חתימה דיגיטלית, אין לראות בה בשום אופן שיטה מעשית לחתימה דיגיטלית. בפועל מיישמים חתימה דיגיטלית באופן אחר לגמרי כדי למנוע התקפות קריפטוגרפיות ידועות. אפשר לבסס חתימה דיגיטלית על מערכות הצפנת מפתח ציבורי אחרות כמו חתימה דיגיטלית של רבין המבוססת על הצפנת רבין או DSA המבוססת על הצפנת אל-גמאל.
אפשר להרחיב כמעט כל פרוטוקול חתימה דיגיטלית לחתימה דיגיטלית עיוורת. הטכניקה הראשונה שפורסמה הייתה של דויד צ'אום, שהתאים את חתימת RSA ב-1992 פרסם אוקמוטו גרסת חתימה עיוורת המבוססת על חתימת שנור[3].
מאפיין רצוי בהצבעה דיגיטלית הוא שאימות זהות המצביע יהיה מופרד מאימות ההצבעה עצמה. חתימה דיגיטלית רגילה יוצרת זיקה בין המצביע לפתק ההצבעה ולכן אנונימיות המצביע נפגעת. מצד שני בהצבעה מקוונת גובר הסיכון להצבעה כפולה או התחזות והונאה. פרוטוקול הצבעה אנונימי מפריד בין תהליך אימות המצביע לבין תהליך אימות ההצבעה באופן כזה שהגורם המאשר את זהות המצביע אינו מסוגל לשייך או ליצור זיקה בינו לבין פתק ההצבעה שלו ומצד שני המצביע אינו יכול להצביע פעמיים או להתחזות למצביע אחר. באופן כללי פרוטוקול הצבעה עם חתימה עיוורת מכיל את המאפיינים הבאים. נניח שהמצביע הוא בוב והגורם הרשמי המאשר את ההצבעה היא אליס.
אם מתרגמים את המושגים הללו לשפה קריפטוגרפית אז שלוש הדרישות הראשונות מקבילות לתהליך אימות קריפטוגרפי עם חתימה דיגיטלית קונבנציונלית. חתימת אליס היא ופונקציית האימות הציבורית שלה היא כך שמתקיים . שתי הדרישות האחרונות אומרות שהבוחר בוב צריך להצפין את פתק ההצבעה שלו באמצעות פונקציית הצפנה כזו כך שפתק ההצבעה ניתן יהיה לאימות גם במצבו הגלוי (לאחר פענוח). לשם המחשה נניח שפתק ההצבעה של בוב מסומן באות , פונקציית ההצפנה שלו היא ופונקציית הפענוח שלו היא אז צריך שיתקיים . אפקטיבית, פעולת הפענוח של בוב מסירה את ההצפנה שלו על הפתק מבלי לפגוע בתקפות החתימה. קיימות מספר פונקציות הצפנה שמקיימות את הדרישה האמורה, אפשר למשל להשתמש ב-RSA, אך יש להיזהר ממלכודות, בדרך כלל משתמשים בהצפנת פליאיי. תהליך ההצבעה יבוצע כדלהלן:
היות שפונקציית האימות של אליס ציבורית כל אחד יכול לחשב את ולוודא את אמינותו של פתק ההצבעה אך אף אחד לא יידע לשייך אותו לבוב כיוון שבוב שלח את הפתק באופן אנונימי. כדי למנוע הצבעה כפולה, חברי ועדת הקלפי צריכים לוודא שפתקי ההצבעה מכילים מרכיב אקראי שאליו מוצמדת ההצבעה כך שכל הצבעה עם תהיה שונה. בדרך זו אפשר להבטיח ספירה אמינה של הקולות ולזהות כפילויות. התרשים מצד שמאל ממחיש מערכת הצבעה דיגיטלית טיפוסית.
בניגוד לרכישה באמצעות כרטיס אשראי או המחאה בנקאית, המאפיין המרכזי בכסף מזומן הוא שכאשר הלקוח מושך מזומנים מהבנק, הבנק אינו יודע איפה הלקוח מתכוון לבזבז אותם וכן כאשר הלקוח מבצע רכישה, הסוחר אינו יודע מי הוא הקונה. כך הכסף החליף ידיים מבלי שניתן יהיה להתחקות אחר הרוכש. אפשר לדמות מאפיין זה של רכישה במזומן גם בכסף דיגיטלי. לצורך המחשה נניח שאליס מייצרת מטבע דיגיטלי . היא מחשבת את פונקציית הגיבוב של המטבע ואז מצפינה אותה באמצעות פונקציית ההצפנה שלה עם המפתח הסודי . את התוצאה היא שולחת לבנק ומבקשת את אישורו. הבנק מזהה את הלקוחה באמצעי זיהוי רגילים ואז חותם על הגיבוב של המטבע באמצעות פונקציית החתימה שלו , מחזיר לה את החתימה ומנכה את הסכום המתאים מחשבונה. כעת אליס מסירה את ההצפנה שלה מהמטבע על ידי חישוב ומתקבל , כמו כן היא מוודא שמתקיים כדי למנוע רמאות מצד גורם שלישי. כעת כדי לבזבז את המטבע היא משלמת עבור סחורה כלשהי עם ועם . הסוחר מוודא שהמטבע אותנטי ואושר על ידי הבנק על ידי בדיקה שמתקיים כנדרש. פונקציית הגיבוב נחוצה כאן כדי למנוע מאליס מלרמות את הסוחר, כי ללא פונקציית הגיבוב אליס יכולה לבחור ערך אקראי כלשהו ולמסור לו את () כמטבע לגיטימי. כעת הסוחר שולח את המטבע ואת החתימה לבנק שמוודא שהמטבע תקף ואם כן הבנק מזכה את חשבונו של הסוחר בהתאם. כמו כן הבנק צריך לאחסן את במקום כלשהו כמטבע שבוזבז כך שאליס לא תבזבז אותו שוב.
אפשר להדגים מטבע דיגיטלי עם פונקציית ההצפנה RSA. המטבע בשווי דולר אחד יהיה מהצורה כאשר הוא מודולוס RSA של הבנק, היא פונקציית גיבוב ו- הוא ערך אקראי שנבחר על ידה. ביתר פירוט, פרוטוקול להנפקה ובזבוז של מטבע אחד מתנהל כדלהלן:
יהיו ו-. מפתח האימות הציבורי של חתימת הבנק יהיה ואילו מפתח החתימה הפרטי הוא . להכנת המטבע
כאשר הבנק חתם על הוא לא ראה אותו כיוון שהיה מוסתר בכפל ב- לכן כאשר הסוחר מפקיד את המטבע, הבנק לא יודע שהמטבע התקבל מאליס.
בשיטה המתוארת לעיל נשמרת האנונימיות של אליס בזמן הרכישה וכן הבנק מסוגל למנוע בזבוז כפול אך החיסרון שלה הוא שהיא לא מענישה את הרמאי במקרה של ניסיון לבצע בזבוז כפול. הדרך היחידה למנוע מאליס מלנסות לבזבז את המטבע שוב היא שהסוחר יוודא מול הבנק את תקפות המטבע בזמן הרכישה און ליין, מצב שלא תמיד אפשרי. לכן הציעו דויד צ'אום, עמוס פיאט ומוני נאור רעיון להשתמש בהוכחה באפס ידיעה כדי לבנות פרוטוקול מטבע דיגיטלי שייחודו הוא בכך שעונשה של אליס במקרה של ניסיון לבצע בזבוז כפול הוא חשיפת זהותה. הפרוטוקול שלהם תאורטי ומסתמך על הרעיון של Cut-and-Choose, שבו שני משתתפים מבטיחים הוגנות על ידי אינטראקציה.
כמו בשיטה המתוארת לעיל הבנק בוחר תחילה מודולוס ופרמטר ביטחון שמגדיר את ההסתברות לתפוס מבזבז כפול. גדול פירושו שקשה יותר לרמות וההסתברות שהרמאי יתגלה מתקרבת ל-1 די מהר ככל ש- גדל. נניח שמספר החשבון של אליס הוא עם מונה כלשהו , כך שהבנק ואליס יודעים מהם. נניח שנתונות שתי פונקציות חד-כיווניות חסינות התנגשויות ו- שמפיקות פלט באורך קבוע (אפשר להשתמש ב-SHA-2 למשל). המטבע של אליס יהיה אחד מ- הרביעיות של מספרים שלמים מודולו שהיא בוחרת באופן אקראי. רביעיות אלה נקראות "מועמדים". כדי להחתים את הבנק על המטבע היא מבצעת כדלהלן:
עבור קבוע כלשהו, אם פחות מ- מתוך המועמדים המוסתרים אינו במבנה הנכון (יש לזכור שהבנק יודע מהו ), אז אליס תיתפס כמי שניסתה לרמות בהסתברות של .
כעת בידי אליס מטבע דיגיטלי אותו היא יכולה לבזבז כדלהלן:
האנונימיות של אליס באינטראקציה שלה עם הסוחר נשמרת. המידע המזהה היחידי שהיא מסרה הוא מספר החשבון שלה כשהוא ממוסך עם ערך אקראי לכן הסוחר אינו יכול לעשות בו כל שימוש. הערכים נחוצים כך שגם אם יתגלה שהחד-כיווניות של הפונקציה חלשה מהצפוי ומישהו הצליח לפצח אותה הוא יישאר עם מספר עצום של זוגות אפשריים וכן שהפונקציה ממפה לערכים . כך שגם אם הסוחר מצליח להפוך את הוא לא יצליח לחלץ מידע מועיל לגבי זהות אליס. אם אליס תנסה לבזבז את המטבע שוב, יקרה דבר מעניין, הבנק ישווה את תעתיק השיחה מהרכישה החדשה עם התעתיק השמור מהרכישה הקודמת ובגלל שהאתגר אקראי יש סבירות גבוהה שיכול להיות אינדקס כלשהו כך שסיבית האתגר ה- הייתה 1 בעותק הראשון ו-0 בעותק השני כי שניהם אקראיים. לכן לא רק שהבנק יודע כעת שנעשה ניסיון לבזבוז כפול, אם הוא יבצע XOR של שני תעתיקי השיחות שבידו הוא יקבל את , שבעצם חושף את מספר חשבונה של אליס ואת זהותה.
הבעיה בשיטה זו היא שבעוד שהבנק מסוגל לגלות אם אליס ניסתה להונות אותו, הוא עצמו יכול להמציא תעתיק שיחה בדוי כדי להפליל אותה, לכן מעצם טענה זו הבנק לא יוכל לשכנע אף אחד אחר שאליס אכן רמאית (זוהי תכונה מהותית בהוכחה באפס ידיעה). אפשר לתקן את הבעיה על ידי הוספת חתימה דיגיטלית של אליס כדי להגן עליה מפני רמאות מצד הבנק. כאשר אליס בוחרת את המועמדים היא מגרילה זוגות נוספים של ערכים משרשרת אותם ביחד , חותמת על התוצאה ושולחת הכול לבנק. בנוסף כאשר היא מחשבת את היא מחליפה את בביטוי . ואז אם הבנק יכול לספק זוגות נכונים בידו ההוכחה שאליס ניסתה לרמות. אך התועלת כאן היא שהבנק אינו יכול לשנות את הערכים בגלל החתימה של אליס עליהם. גם אם נניח שהבנק מסוגל לפצח את כל מה שאליס צריכה לעשות זה לחשוף את הזוג המתאים שברשותה כדי להוכיח שנעשה ניסיון לרמותה.
אפשר להרחיב את השיטה להמחאה בנקאית דיגיטלית שאינה ניתנת למעקב או התחקות אחר הרוכש. אליס יכולה לבקש מהבנק "פנקס" המחאות שבכל אחד מהם היא יכולה לבזבז עד הסכום הנקוב בו והבנק ינכה מחשבונה בהתאם את הסכום שבזבזה, אך הבנק לא יידע היכן היא השתמשה בהמחאה או באיזה סכום. השיטה המתוארת עובדת מבחינה תאורטית אך אינה פרקטית בגלל המחיר הכבד שהצדדים צריכים לשלם מבחינה חישובית כדי להגיע לתוצאה המיוחלת. בשיטות חדשות מנסים להגיע לרמת ביטחון דומה ללא הצורך בתקורה הגבוהה של פרוטוקול Cut-and-Choose.
חתימה דיגיטלית DSA וכן חתימה דיגיטלית של שנור מבוססים על הצפנת אל-גמאל שהיא מערכת מפתח ציבורי המבוססת על בעיית הלוגריתם הבדיד. פונקציית החתימה של שנור בגרסה הלא עיוורת פשוטה יותר מ-DSA והיא פועלת באופן כללי כדלהלן: בהינתן המפתח הציבורי כאשר הם פרמטרים ציבוריים המשותפים לכל המשתמשים. ו- הם מספרים ראשוניים מתארים תת-חבורה של מסדר עם היוצר כאשר . המפתח הציבורי הוא ואילו המפתח הפרטי הוא . אם היא פונקציית גיבוב מוסכמת המפיקה פלט בטווח , אז תהליך החתימה על המסר מתבצע כך. החותם מגריל שלם אקראי בטווח ומחשב את כדלהלן:
הסמל "" מייצג שרשור. לאימות החתימה באמצעות המפתח הציבורי של החותם בודקים שמתקיים:
כדי להפוך את החתימה המתוארת לחתימה עיוורת (נניח אליס מעוניינת להחתים את הבנק על המטבע ), מבצעים את הפרוטוקול של אוקמוטו המבוסס על שנור[4] כדלהלן:
חתימת שנור היא שילוב של פרוטוקול אימות של שנור יחד עם רעיון של עמוס פיאט ועדי שמיר[5]. פונקציית הגיבוב לצורך חתימת שנור לא חייבת להיות חסינת התנגשויות, מחקרים[6] מראים שבניגוד ל-DSA אפשר להסתפק בחתימת שנור בפונקציית גיבוב חלשה כמו SHA-1 וכן אפשר להסתפק בערך גיבוב קצר יותר בכעשרים וחמש אחוז.
הביטחון של חתימת שנור ניתן להוכחה במסגרת מודל אורקל אקראי תחת ההשערה שבעיית הלוגריתם הבדיד קשה. ב-2012 בוצע מחקר[7] באשר לביטחון המדויק של חתימת שנור והטענה היא שלפי למת הפיצול קיים איבוד זמן בפקטור של כאשר הוא מספר השאילתות לאורקל האקראי. במילים אחרות אם קיים זייפן שיכול לזייף חתימת שנור בהסתברות אז אפשר יהיה לחשב את הלוגריתם הבדיד בהסתברות קבועה על ידי חזרה לאחור פעמים, תחת הנחות נוספות אפשר להגיע לרדוקציה של לכל היותר בשיעור ההצלחה-זמן.
קיימות מספר שיטות חתימה עיוורת חדשות יעילות ובטוחות יותר, בהן אפשר לציין את Camenisch-Lysyanskaya[8] שייחודה בכך שניתן לחלץ חתימה על קבוצה של מסרים בבת אחת, ולהוכיח תקפות על כל אחד מהם בנפרד. הרעיון שימושי גם למטבע דיגיטלי תוך שמירה על אנונימיות המשתמש. כמו כן קיימת שיטת חתימה עיוורת המסתמכת על תחום חדש בקריפטוגרפיה הקרוי מיפוי ביליניארי[9]. בנוסף קיימת מחלקה של חתימה עיוורת שכאמור מענישה את הלקוח שמנסה לבזבז פעמיים בחשיפת זהותו. שיטה אחת כזו היא חתימה עיוורת של סטפן ברנדס[10] שהוטמעה בטכנולוגיית אימות חדשה מבית מיקרוסופט הנקראת U-Prove. הרעיון של ברנד בעצם לוקח את החיסרון הידוע של חתימת DSA שבה אסור להשתמש במפתח הארעי יותר מפעם אחת לחתימה על שני מסמכים שונים והופך אותו ליתרון, בזה שהוא משתמש בו כדי לחשוף את זהות המשתמש במקרה של בזבוז כפול.
הבנק בוחר באקראי שלושה יוצרים של החבורה מסדר ראשוני, שלם אקראי וכן שתי פונקציות גיבוב כאשר משמשת ליצירה ואימות חתימת הבנק ואילו משמשת לצורך האתגר בפרוטוקול התשלום. הערכים הציבוריים המשותפים לכל הלקוחות הם וכן הראשוניים ו- כאשר היא תת-קבוצה של וכן היוצרים ופונקציות הגיבוב. המפתח הסודי של הבנק הוא . כרגיל ההנחה היא שהבנק מנהל מסד נתונים המכיל פרטים מזהים של כל הלקוחות וכל הסוחרים ובנפרד מסד נתונים המכיל מעקב אחרי כל המשיכות וההפקדות. מטבע דיגיטלי יכיל זוג הערכים שבהמשך יוסבר איך מחשבים אותם והחתימה של הבנק עליהם כך שמתקיים
ההוכחה שהמטבע שייך ללקוח היא אם הוא יכול להוכיח שידוע לו הייצוג הלוגריתמי של ו- ביחס ליוצרים ו-. בתהליך פתיחת חשבון הלקוח מזהה עצמו מול הבנק באמצעי זיהוי רגילים, מייצר ערך אקראי ומחשב את אם הוא משדר את לבנק ושומר בסוד את . הבנק מחשב ומחזיר ללקוח את .
המשיכה מתבצעת בשלושה מהלכים, לאחר שהלקוח זיהה עצמו מול הבנק בדרכים רגילות:
הלקוח מקבל את חתימת הבנק רק אם מתקיים וכן . אם כן הוא מחשב את מודולו . בפרוטוקול זה מספר המטבעות לעולם לא יעבור את מספר המשיכות לכן הלקוח לא יכול לייצר לעצמו מטבעות במיוחד לאור העובדה שכדי להצליח בכך הוא חייב לדעת את הייצוג של המטבע ביחס ליוצרים שזו בעיה קשה הנגזרת מבעיית הלוגריתם הבדיד. וההוכחה דומה להוכחה של פרוטוקול האימות של שנור. תכונה מעניינת נוספת היא שהפרוטוקול נחשב לחתימה עיוורת חלקית כי הלקוח יכול להסתיר את המעטפת החיצונית של המטבע אבל לא את המבנה הפנימי שלו.
כאשר רוצה לבזבז את המטבע אצל הוא מבצע כדלהלן:
הסוחר מקבל את המטבע כלגיטימי רק אם שני הדברים הבאים מתקיימים: החתימה של הבנק תקפה וכן שמתקיים . אם הלקוח יודע את פרטי הסוחר מראש אפשר לצמצם את פרוטוקול התשלום למהלך אחד שכן הוא יכול לחשב את לבדו. ברור שנכונות חשובה לסוחר ולא ללקוח כי תקפותו תקבע אם הבנק יכבד את העסקה ויזכה את הסוחר בהתאם.
הסוחר יכול לאחר מכן לשלוח לבנק את תעתיק העסקה הכולל את וכן התאריך הכלול בה. הבנק לא יכבד את העסקה אם , אחרת הוא מחשב את בעזרת זהותו של הסוחר הרשומה במסד הנתונים של הבנק ותעתיק העסקה. ומוודא שמתקיים וכן שהחתימה שלו על המטבע תקפה ואם הבדיקות עלו בהצלחה הוא מפקיד את המטבע בחשבונו של הסוחר. אם המטבע כבר רשומה במאגרי הבנק משמע אחד מהשניים או ש- מנסה להפקיד את אותה מטבע פעמיים או שנעשה ניסיון לבזבוז כפול מצד . קל לזהות את המקרה שהסוחר מנסה להפקיד את אותה מטבע פעמיים כי תעתיק העסקה זהה לחלוטין. במקרה שתעתיק העסקה שונה הבנק יכול לחשוף את זהות כי בידיו כעת מהעסקה החדשה וכן מעסקה קודמת. הוא יכול לחשב את . התוצאה היא למעשה מספר החשבון של הלקוח שניסה לבזבז את המטבע פעמיים והוא מהווה הוכחה לכך.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.