Een onvindbare valuta? Bitcoin Privacy Concerns

Een overzicht van de Blockchain

Bitcoin is niet anoniem. Zoals we hieronder uitleggen, is hij pseudoniem – een belangrijk onderscheid. Het is ook een gedecentraliseerde, peer-to-peer digitale munt, zonder tussenpersoon (bijvoorbeeld een creditcardverstrekker, handelsverwerker of bank) die betrokken is bij het verifiëren van een transactie tussen een koper en verkoper. Omdat er geen derde partij is, moet er een andere manier zijn om een transactie tussen twee gebruikers te verifiëren en het “double-spending”-probleem te vermijden (d.w.z. een manier om ervoor te zorgen dat een gebruiker geen bitcoin uitgeeft die hij eerder heeft overgemaakt).

Dit is waar de blockchain, het echt revolutionaire aspect van cryptocurrencies zoals bitcoin, in het spel komt. Een blockchain is een openbaar, gedistribueerd grootboek, waarin elke transactie wordt vastgelegd. In tegenstelling tot traditionele betalingssystemen waarin het grootboek wordt bijgehouden door een enkele derde partij, wordt een blockchain-grootboek gedistribueerd over een groep computers (duizenden), elk met zijn eigen kopie van de blockchain-transacties.

Elk blok transacties in een blockchain wordt bevestigd door gebruikers in het peer-to-peer netwerk, genaamd “miners,” die concurreren om een complex rekenkundig probleem op te lossen. De eerste succesvolle miner die de transactie valideert, zendt het uit naar het netwerk, dat vervolgens de resultaten controleert. Eenmaal gecontroleerd, worden de nieuwe transacties als een nieuw blok aan de blockchain toegevoegd. In het geval van bitcoin wordt de miner die als eerste deze transactie succesvol heeft geverifieerd, door het netwerk beloond met nieuw gecreëerde bitcoins. Vanaf juli 2016 is de beloning verlaagd van 25 naar 12,5 bitcoins, en de verwachting is dat de beloning in 2021 verder wordt verlaagd naar 6,25 bitcoins.

Anonimiteit vs. Pseudonimiteit

Omdat de bitcoin-blockchain een permanent openbaar record is van alle transacties die voor iedereen op elk moment toegankelijk zijn, is het niet anoniem. In plaats daarvan worden de transacties in de blockchain versleuteld met openbare-sleutel cryptografie die de echte identiteit van de individuen achter de transacties maskeert. Dit maakt bitcoin pseudoniem. Bij elke bitcoin-transactie krijgt elke gebruiker twee digitale sleutels toegewezen: (1) een publieke sleutel of adres – het adres is eigenlijk een hash afgeleid van de publieke sleutel, maar voor de doeleinden van dit artikel gebruiken we deze termen door elkaar – die iedereen kan zien en wordt gepubliceerd op de bitcoin blockchain, en (2) een private sleutel, die alleen bekend is bij de gebruiker en de “handtekening” van de gebruiker is.

De privésleutel wordt door anderen gebruikt om te verifiëren dat de transactie ook daadwerkelijk door die gebruiker is ondertekend. De bitcoin blockchain zal alleen laten zien dat er een transactie heeft plaatsgevonden tussen twee publieke sleutels (een identificatiecode van 34 willekeurige alfanumerieke tekens), met vermelding van de tijd en het bedrag van de transactie.

Tracing Bitcoins Back to Individuals

Encryptie zou de indruk kunnen wekken dat deze transacties wel te bekijken zijn, maar niet te herleiden zijn naar specifieke individuen. Bitcoin is echter niet zo onvindbaar als versleuteling doet vermoeden. Het koppelen van een versleutelde transactie aan een echt individu is mogelijk – het is geen ver risico. Er zijn verschillende manieren waarop dit zou kunnen gebeuren.

Gebruikers die vertrouwen op een bitcoin-handelsbeurs (zoals Bitfinex, Binance of Kraken) om valuta voor bitcoin te ruilen, moeten hun persoonlijke informatie aan die beurs prijsgeven om een account aan te maken. De informatie die door de beurs wordt verzameld varieert, maar omvat normaal gesproken ten minste de voor- en achternaam van een gebruiker, en mogelijk een telefoonnummer. De beurs kan ook het IP-adres van een gebruiker verzamelen. Bij een inbreuk op de beveiliging van deze uitwisselingen kan de persoonlijke informatie van een gebruiker openbaar worden gemaakt. Bovendien bieden sommige gecentraliseerde beurzen aan om de bitcoinfondsen en privésleutels van gebruikers namens hen te beheren.

Er zijn ook online portemonneeserviceproviders die de portemonnees van gebruikers namens hen beheren. Een portemonnee is een softwareprogramma dat een verzameling van de publieke en private sleutelparen van een gebruiker opslaat. De opslag van private sleutels maakt deze gecentraliseerde beurzen, en online wallet service providers, uitstekende doelwitten voor criminelen, omdat, zoals hierboven besproken, iedereen met toegang tot de private sleutel van een gebruiker in staat zal zijn om een geldige bitcoin transactie te creëren. Een hacker die toegang heeft tot de privésleutel van een gebruiker kan alle bitcoins van die gebruiker naar hem of haarzelf sturen, of naar een tussenpersoon van zijn of haar keuze.

Er zijn in het verleden verschillende high-profile inbraken op beurzen geweest, waaronder de hack van februari 2014 van Mt. Gox, ooit ’s werelds grootste bitcoinbeurs. De Mt. Gox-aanval resulteerde in een verlies van 850.000 bitcoins, toen gewaardeerd op 450 miljoen dollar. Hackers die de controle krijgen over de exchange- of online wallet-account van een gebruiker, krijgen dus niet alleen toegang tot de persoonlijke informatie en transactiegeschiedenis van een gebruiker, maar ook tot de bitcoinfondsen van een gebruiker.

Exchanges zijn ook in toenemende mate onderworpen aan wettelijke vereisten die ertoe kunnen leiden dat overheidsinstanties toegang krijgen tot de persoonlijke informatie van een gebruiker. De Bitcoin-waardering kelderde onlangs toen de Amerikaanse Securities and Exchange Commission een verklaring vrijgaf waarin werd gewaarschuwd dat online platforms die digitale activa verhandelen die voldoen aan de definitie van “effecten”, zouden worden beschouwd als uitwisselingen volgens de effectenwetgeving en zich moeten registreren bij de SEC of vrijstelling van registratie moeten tonen. Hoewel de SEC tot nu toe geen actie heeft ondernomen, betekent dit dat cryptocurrency-uitwisselingen kunnen worden onderworpen aan de strenge effectenregelgeving die van toepassing is op nationale effectenbeurzen.

Op vergelijkbare wijze kondigde Zuid-Korea eerder dit jaar een strengere regulering van bitcoin aan. Onder de nieuwe Zuid-Koreaanse regelgeving zullen gebruikers alleen in staat zijn om te storten in hun exchange-portemonnees als de naam die wordt gebruikt op de exchange overeenkomt met de naam op de bankrekening van de gebruiker. Beurzen zijn ook al onderworpen aan bepaalde wettelijke vereisten, zoals het reageren op dagvaardingen, waardoor ze persoonlijke informatie zouden kunnen moeten delen met overheidsinstanties als de wet dit vereist. Zo werd de in de VS gevestigde beurs Coinbase onlangs door een rechtbank bevolen om informatie over ongeveer 14.000 van haar klanten aan de Internal Revenue Service te overhandigen. Een korte beoordeling van het online privacybeleid van verschillende beurzen geeft aan dat beurzen de informatie van een gebruiker zullen delen als dat nodig is om te voldoen aan hun wettelijke en regelgevende verplichtingen.

Blockchain Analytics

Het is ook mogelijk om gebruikers te identificeren door simpelweg transacties op de blockchain te analyseren. Bedrijven als Elliptic en Chainanalysis hebben bedrijven gebouwd op basis van blockchain forensics. Deze bedrijven gebruiken analytics op de bitcoin blockchain om bitcoinadressen te koppelen aan webentiteiten en hun klanten te helpen het risico van illegale activiteiten in te schatten. Tot hun klanten behoren beurzen, maar ook overheidsinstanties. Vorig jaar werd zelfs bekend dat de IRS de software van Chainanalysis gebruikt om potentiële belastingontduikers op te sporen.

Verschillende studies hebben ook aangetoond dat het mogelijk is om netwerkanalyse en andere methoden te gebruiken om blockchain-transacties te observeren en mogelijk terug te koppelen naar bepaalde websites en individuen. Specifiek, een studie uit 2013 door onderzoekers van de Universiteit van Californië, San Diego en George Mason University toonde aan dat het mogelijk was om bitcoinadressen die aan dezelfde gebruiker toebehoorden te taggen door gebruik te maken van clusteringanalyse van bitcoinadressen. Een klein aantal privétransacties met verschillende diensten werd gebruikt om grote instellingen (zoals beurzen of grote websites) te identificeren.

Van daaruit konden de onderzoekers informatie krijgen over de structuur van het bitcoin-netwerk, waar de transactiefondsen naartoe gaan en welke organisaties daarbij betrokken zijn. Een andere studie van onderzoekers aan de ETH Zürich en NEC Laboratories Europe die naar bitcoin-transacties in een kleine universiteitssteekproef keken, ontdekte dat het gebruik van op gedrag gebaseerde clusteringstechnieken in een typische universiteitsomgeving de profielen van maximaal 40 procent van de gebruikers kon onthullen.

Hoe Bitcoin-gebruikers hun privacy kunnen verbeteren

Ondanks deze privacykwesties hoeven bitcoin-gebruikers niet te wanhopen – er zijn manieren om iemands privacy op de bitcoin-blockchain te verbeteren. Ten eerste kan een bitcoin-gebruiker voor elke transactie een nieuw bitcoin-adres gebruiken en zal dus voor elke transactie een nieuwe openbare sleutel ontvangen, waardoor het moeilijker wordt om de transacties van één specifiek individu naar hetzelfde adres te traceren. Dit is eigenlijk de aanpak die Satoshi Nakamoto, de pseudonieme (en nog steeds onbekende) oprichter van bitcoin, voor ogen had, die in het document dat voor het eerst bitcoinus introduceerde, aanbeval “een nieuw sleutelpaar … voor elke transactie om te voorkomen dat ze aan een gemeenschappelijke eigenaar worden gekoppeld.”

Ten tweede kan een bitcoingebruiker enkele extra voorzorgsmaatregelen nemen om het risico van traceerbaarheid op beurzen van derden te minimaliseren. De gebruiker zou de anonieme Tor-browser kunnen gebruiken om toegang te krijgen tot de uitwisseling en een account aan te maken zonder echte persoonlijke informatie op te nemen; het IP-adres en de persoonlijke informatie van de gebruiker zouden niet worden blootgesteld.

Ten derde zou de gebruiker kunnen vermijden bitcoins op te slaan in online portemonnees van derde partijen, en alleen offline desktop portemonnees kunnen gebruiken; dat vermindert de blootstelling aan beurshacks. Ten vierde verbinden bitcoin-mengalgoritmen, zoals CoinJoin, gebruikers met elkaar en laten ze samen betalen, zodat de bitcoins gemengd zijn. Dit maakt het moeilijker om een bepaalde gebruiker te identificeren, omdat alleen een groep transacties op de blockchain wordt gepubliceerd (hoewel studies en onderzoek hebben aangetoond dat zelfs CoinJoin zwakke punten vertoont en het mogelijk zou kunnen maken om terug te koppelen naar een bepaald individu).

Het Monero-alternatief

Deze privacyproblemen zijn niet onopgemerkt gebleven en alternatieve cryptocurrencies met een verhoogde privacyfocus zijn opgedoken. Monero is het meest prominente van deze alternatieven. In tegenstelling tot de bitcoin blockchain, die, zoals we hebben opgemerkt, is gebaseerd op een tweesleutel (publieke en privésleutel) cryptografie, is de Monero blockchain gebaseerd op unieke eenmalige sleutels en ringhandtekeningen. Met ringondertekeningstechnologie wordt de feitelijke ondertekenaar samengevoegd met een groep mogelijke ondertekenaars, die een “ring” vormen.

Dit creëert een onderscheidende handtekening die een transactie kan autoriseren. Wanneer een individu een Monero-transactie initieert, kan de verificateur vaststellen dat een transactie afkomstig is van een groep, maar is hij niet in staat om de identiteit te bepalen van de initiator wiens privésleutel werd gebruikt om de handtekening te produceren. Als gevolg daarvan identificeert de Monero blockchain geen specifieke verzender, en de adressen van de ontvangers en de transactiebedragen zijn verborgen. Monero is de cryptocurrency bij uitstek geworden voor privacygerichte gebruikers.

Hoewel bitcoin een gedecentraliseerde en ongereguleerde betaalmethode is, moeten gebruikers begrijpen dat dit niet betekent dat hun bitcoin-transacties anoniem zijn en verborgen zijn voor nauwkeurig onderzoek. Het openbare karakter van de blockchain in combinatie met de toenemende dreiging van overheidsregulering kan leiden tot de identificatie van gebruikers die betrokken zijn bij transacties van de valuta.