En ospårbar valuta? Bitcoin Privacy Concerns

En översikt över blockkedjan

Bitcoin är inte anonymt. Som vi förklarar nedan är det pseudonymt – en viktig skillnad. Det är också en decentraliserad, peer-to-peer digital valuta som inte har någon tredje part som är inblandad för att verifiera en transaktion mellan en köpare och en säljare (t.ex. en kreditkortsutgivare, en handlare eller en bank). Eftersom det inte finns någon tredje part måste det finnas ett annat sätt att verifiera en transaktion mellan två användare och undvika problemet med ”dubbelspendering” (dvs. ett sätt att se till att en användare inte spenderar bitcoin som han eller hon tidigare har överfört).

Det är här som blockkedjan, den verkligt revolutionerande aspekten av kryptovalutor som bitcoin, kommer in i bilden. En blockkedja är en offentlig, distribuerad huvudbok, där varje transaktion registreras. Till skillnad från traditionella betalningssystem där huvudboken upprätthålls av en enda tredje part, är en blockkedje- huvudbok distribuerad över en grupp datorer (tusentals), var och en med sin egen kopia av blockkedjetransaktionerna.

Varje block av transaktioner i en blockkedja bekräftas av användare i peer-to-peer-nätverket, så kallade ”gruvarbetare”, som tävlar om att lösa ett komplext beräkningsproblem. Den första framgångsrika gruvarbetaren som bekräftar transaktionen sänder den till nätverket, som sedan kontrollerar resultaten. När de har kontrollerats läggs de nya transaktionerna till som ett nytt block i blockkedjan. När det gäller bitcoin får den gruvarbetare som först lyckades verifiera transaktionen en belöning av nätverket i form av nyskapade bitcoins. I juli 2016 minskades belöningen från 25 till 12,5 bitcoins, och det förväntas att belöningen kommer att minskas ytterligare till 6,25 bitcoins år 2021.

Anonymitet vs. pseudonymitet

Eftersom bitcoins blockkedja är en permanent offentlig registrering av alla transaktioner som är tillgängliga för vem som helst när som helst, är den inte anonym. Istället är transaktionerna i blockkedjan krypterade med offentlig nyckelkryptografi som döljer de verkliga identiteterna hos de individer som ligger bakom transaktionerna. Detta gör bitcoin pseudonymt. Vid varje bitcoin-transaktion tilldelas varje användare två digitala nycklar: (1) en offentlig nyckel eller adress – adressen är egentligen en hash som härleds från den offentliga nyckeln, men i den här artikeln använder vi dessa termer synonymt – som alla kan se och som publiceras på bitcoin-blockkedjan, och (2) en privat nyckel, som endast är känd av användaren och som är användarens ”signatur”.

Den privata nyckeln används av andra för att verifiera att transaktionen faktiskt undertecknades av den användaren. Bitcoin-blockkedjan visar endast att en transaktion har ägt rum mellan två offentliga nycklar (en identifierare bestående av 34 slumpmässiga alfanumeriska tecken) och anger tid och belopp för transaktionen.

Spårning av Bitcoins tillbaka till individer

Kryptering kan ge intrycket av att dessa transaktioner är synliga men inte går att koppla till specifika individer. Bitcoins är dock inte så omöjliga att spåra som kryptering kan antyda. Att knyta en krypterad transaktion till en faktisk individ är möjligt – det är inte en avlägsen risk. Det finns flera sätt som detta kan inträffa.

Användare som förlitar sig på en börs för handel med bitcoin (t.ex. Bitfinex, Binance eller Kraken) för att växla valuta mot bitcoin måste lämna ut sin personliga information till den börsen för att skapa ett konto. Den information som börsen samlar in varierar, men omfattar normalt åtminstone användarens för- och efternamn och eventuellt ett telefonnummer. Börsen kan också samla in en användares IP-adress. Om dessa utbyten skulle drabbas av ett brott mot datasäkerheten skulle en användares personliga information kunna exponeras. Dessutom erbjuder vissa centraliserade börser att hantera användarnas bitcoinfonder och användarnas privata nycklar för deras räkning.

Det finns också leverantörer av plånbokstjänster online som hanterar användarnas plånböcker för deras räkning. En plånbok är ett program som lagrar en samling av en användares offentliga och privata nyckelpar. Lagringen av privata nycklar gör dessa centraliserade börser, och leverantörer av plånbokstjänster online, till utmärkta måltavlor för brottslingar eftersom, som diskuterats ovan, vem som helst som har tillgång till en användares privata nyckel kommer att kunna skapa en giltig bitcoin-transaktion. En hackare som får tillgång till en användares privata nyckel kan skicka alla användarens bitcoins till sig själv, eller till en valfri mellanhand.

Det har förekommit flera uppmärksammade intrång i börser tidigare, bland annat hackningen i februari 2014 av Mt. Gox, som en gång var världens största bitcoinbörs. Attacken mot Mt. Gox resulterade i en förlust av 850 000 bitcoins som då värderades till 450 miljoner dollar. Hackare som får kontroll över en användares börs eller plånbokskonto online får alltså inte bara tillgång till en användares personuppgifter och transaktionshistorik utan även till en användares bitcoinfonder.

Börserna är också i allt högre grad föremål för regleringskrav som skulle kunna leda till att statliga enheter får tillgång till en användares personuppgifter. Värderingen av bitcoin sjönk nyligen när den amerikanska Securities and Exchange Commission publicerade ett uttalande som varnade för att onlineplattformar som handlar med digitala tillgångar som uppfyller definitionen av ”värdepapper” skulle betraktas som börser enligt värdepapperslagarna och behöva registrera sig hos SEC eller visa undantag från registrering. Även om SEC hittills inte har vidtagit några åtgärder innebär detta att kryptovalutabörser kan komma att omfattas av de stränga värdepappersbestämmelser som gäller för nationella värdepappersbörser.

Samma sak gäller för Sydkorea som tidigare i år tillkännagav en ökad reglering av bitcoin. Enligt den nya sydkoreanska regleringen kommer användare endast att kunna sätta in pengar i sina börsväskor om det namn som används på börsen stämmer överens med namnet på användarens bankkonto. Börserna omfattas också redan av vissa rättsliga krav, t.ex. att svara på stämningsansökningar, vilket kan kräva att de delar med sig av personlig information till statliga myndigheter om det krävs enligt lag. Den amerikanska börsen Coinbase fick till exempel nyligen ett domstolsbeslut om att överlämna information om cirka 14 000 av sina kunder till skattemyndigheten (Internal Revenue Service). En kort genomgång av flera börsers integritetspolicy på nätet visar att börserna kommer att dela med sig av en användares information i den mån det behövs för att uppfylla sina rättsliga och regulatoriska skyldigheter.

Blockkedjeanalys

Det är också möjligt att identifiera användare helt enkelt genom att analysera transaktioner på blockkedjan. Företag som Elliptic och Chainanalysis har byggt upp verksamheter baserade på blockchain forensics. Dessa företag använder analys på bitcoin-blockkedjan för att koppla bitcoin-adresser till webbenheter och hjälpa sina kunder att bedöma risken för olaglig verksamhet. Bland deras kunder finns börser men även statliga enheter. Faktum är att det blev offentligt förra året att IRS använder Chainanalysis mjukvara för att spåra potentiella skattesmitare.

Flera studier har också visat att det är möjligt att använda nätverksanalys och andra metoder för att observera och potentiellt binda tillbaka blockkedjetransaktioner till vissa webbplatser och individer. Specifikt visade en studie från 2013 av forskare vid University of California, San Diego och George Mason University att det var möjligt att märka bitcoinadresser som tillhörde samma användare genom att använda klusteranalys av bitcoinadresser. Ett litet antal privata transaktioner med olika tjänster användes för att identifiera större institutioner (t.ex. börser eller stora webbplatser).

Därifrån kunde forskarna få information om bitcoin-nätverkets struktur, vart transaktionsmedel tar vägen och vilka organisationer som är parter i det. En annan studie av forskare vid ETH Zürich och NEC Laboratories Europe som tittade på bitcoin-transaktioner i ett litet universitetsurval visade att man med hjälp av beteendebaserade klustertekniker i en typisk universitetsmiljö kunde avslöja profiler för upp till 40 procent av användarna.

Hur bitcoinanvändare kan förbättra sin integritet

Trots dessa integritetsproblem behöver bitcoin-användare inte misströsta – det finns sätt att förbättra sin integritet på bitcoin-blockkedjan. För det första kan en bitcoinanvändare använda en ny bitcoinadress för varje transaktion och får därmed en ny offentlig nyckel för varje transaktion, vilket gör det svårare att spåra en specifik individs transaktioner till samma adress. Detta är faktiskt det tillvägagångssätt som Satoshi Nakamoto, bitcoins pseudonyma (och fortfarande okända) grundare, tänkte sig. Han rekommenderade i det dokument där bitcoin först introducerades att man skulle använda ”ett nytt nyckelpar … för varje transaktion för att förhindra att de kopplas till en gemensam ägare”.

För det andra kan en bitcoinanvändare vidta några ytterligare försiktighetsåtgärder för att minimera risken för spårbarhet på tredjepartsbörser. Användaren kan använda den anonyma webbläsaren Tor för att komma åt börsen och skapa ett konto utan att inkludera någon verklig personlig information; användarens IP-adress och personliga information skulle inte exponeras.

För det tredje skulle användaren kunna undvika att lagra bitcoins i tredjeparts plånböcker online, och endast använda offline desktop plånböcker; det minskar exponeringen för hacker på börser. För det fjärde kopplar bitcoinblandningsalgoritmer, som CoinJoin, samman användare och låter dem betala tillsammans så att bitcoins blandas. Detta gör det svårare att identifiera en viss användare eftersom endast en grupp transaktioner publiceras på blockkedjan (även om studier och forskning har visat att även CoinJoin uppvisar svagheter och skulle kunna göra det möjligt att länka tillbaka till en viss individ).

Moneroalternativet

Dessa integritetsfrågor har inte gått obemärkt förbi, och alternativa kryptovalutor med ökat fokus på integritetsfrågor har dykt upp. Monero är det mest framträdande av dessa alternativ. Till skillnad från bitcoin-blockkedjan, som som vi har noterat bygger på en kryptografi med två nycklar (offentlig och privat nyckel), bygger Monero-blockkedjan på unika engångsnycklar och ringsignaturer. Med tekniken för ringsignaturer sammanförs den faktiska undertecknaren med en grupp möjliga undertecknare, vilket bildar en ”ring”.

Detta skapar en distinkt signatur som kan auktorisera en transaktion. När en enskild person initierar en Monero-transaktion kan kontrollanten fastställa att en transaktion kom från en grupp, men kan inte fastställa identiteten hos den initiativtagare vars privata nyckel användes för att skapa signaturen. Som ett resultat av detta identifierar Monero-blockkedjan inte en specifik avsändare, och mottagarnas adresser och transaktionsbeloppen är dolda. Monero har blivit den kryptovaluta som är det bästa valet för integritetsfokuserade användare.

Och även om bitcoin är en decentraliserad och oreglerad betalningsmetod bör användarna förstå att detta inte innebär att deras bitcointransaktioner är anonyma och dolda från granskning. Blockkedjans offentliga karaktär i kombination med det ökande hotet om statlig reglering kan leda till att användare som ägnar sig åt transaktioner med valutan identifieras.