Je geld én je data, alsjeblieft!

Deze Bitcoin Focus is anders dan anders. Zoals ik vorige week al zei, geen actualiteit. In juli staat jouw gratis Bitcoin Focus in het teken van privacy!

We beginnen met achtergrond: wat is financiële privacy, waarom is het belangrijk. Ook lees je wat het betekent dat we een open blockchain hebben, en hoe je simpel je privacy kan verliezen zonder maar een transactie te doen. En wat recente mooie ontwikkelingen rondom privacy!

Koop gemakkelijk en snel Bitcoin bij Bitvavo. Ga aan de slag en betaal geen handelskosten voor je eerste aankoop tot €1.000 !

Volgende week gaat het over de meest gebruikte aanvallen op privacy op de blockchain, waar door transactie-analyse je gegevens bekend worden.

Schrijf je hier gratis in en ontvang elke vrijdag Bitcoin Focus in je mailbox.

Financiële privacy

• Wat gebeurt er qua surveillance met jouw eurotransacties?
• Cypherpunks zorgen voor privacy
• Open blockchain zorgt voor data inzage
• Niet-blockchain aanvallen op jouw privacy
• Versleuteling voor bitcoinverbindingen

Wil je meer Focus? Neem een abonnement!

Financiële surveillance onder de radar

Nederlanders beginnen privacy steeds belangrijker te vinden. Waar het tot een paar jaar geleden okay was om zonder toestemming foto’s van mensen op je social media te zetten, wordt dat tegenwoordig meer gevraagd.

Er wordt steeds bewuster omgegaan met het delen van informatie. Maar financiële privacy is vaak onderbelicht. Bitcoin zorgt dat je met behoud van privacy je geld kan uitgeven, maar dan moet je wel goed opletten.

Belangenvereniging Privacy First heeft recent aangegeven dat ze meer aandacht aan dit onderwerp gaan besteden. En nu dus ook in jouw Bitcoin Focus, met uiteraard steeds links naar Bitcoin.

Voordat we het over bitcoin hebben, laten we eerst kijken wat er gebeurt voor Normale Nederlanders die euro’s uitgeven. Wat gebeurt er met de data? Wie krijgt het te zien?

• Banken hebben jouw gegevens. De meeste betalingen in Nederland zijn digitaal, wat betekent dat jouw NAW-gegevens gekoppeld zijn aan jouw betalingen. Banken willen die gegevens gebruiken om geld mee te verdienen, zo wilde ING in 2019 betaalgedrag analyseren en reclames sturen. De Autoriteit persoonsgegevens stak hier in juli 2019 een stokje voor. Ik ga er van uit dat banken het gaan blijven proberen. Verder komt er (mede vanuit banken) iDeal 2.0, een hele nieuwe opzet van iDeal. Privacy First verwacht dat er verdere verspreiding zal komen van je financiële gegevens.
• Payment Services Directive 2 (PSD2) is een richtlijn voor het delen van data tussen partijen. Het doel is om de betaalmarkt in Europa te uniformiseren. PSD2 zorgt dat er zeer gevoelige gegevens (waaronder je inkomen) terecht komen bij meer partijen.Voorstanders van PSD2 zeggen dat het “maar transactiegegevens” zijn, terwijl daar veel uit af te leiden is. Doorgeven van data gebeurt alleen met uitdrukkelijke toestemming, maar wat er na toestemming met de data gebeurt, is niet duidelijk. Ook is de vraag hoe vrijwillig PSD2 zal blijven. Lening- en hypotheekverstrekkers gebruiken dergelijke systemen al: als je een lening aanvraagt moet je toestemming geven, kijken ze op je rekening en krijg je op basis daarvan wel/niet een lening. Hoe vrijwillig is die toestemming…?
• Contant geld verdwijnt. Contant geld kan niet worden gevolgd bij elke betaling, pinbetalingen wel. Door het gemak van pinnen wordt het steeds minder gebruikt, maar contant geld heeft een groot maatschappelijk belang (ook volgens Betaalvereniging Nederland). Deutsche Bank-analist: ‘Cash geld beschermt privacy burgers’ (banken.nl).
• Banken spelen voor politieagent: vanwege witwaswetgeving moeten banken verplicht meer naar transacties kijken. De data wordt gebruikt om patronen te herkennen en ongebruikelijke transacties te herkennen. Staat er “Bitcoin” in een beschrijving van een transactie van jaren geleden? Dan kan je zo een vraag krijgen van je bank, ook al gaat het om een paar tientjes. Wil je geen verklaring geven? Dan word je rekening opgezegd!
• Het UBO-register is een database, gekoppeld aan de KvK. Volgens een wet uit 2020 moeten vennootschappen en andere juridische entiteiten worden vastgelegd in het register. UBO staat voor Ultimate Beneficial Owners, het betekent dat de begunstigden van bedrijven geregistreerd worden.Het betekent dat de privégegevens van vele mensen wordt vastgelegd, terwijl 99.99% van deze begunstigden (UBO’s) niets met witwassen of crimineel geld te maken heeft. En alleen mensen onder politiebeveiliging kunnen hun gegevens afschermen!De Europese datawaakhond oordeelde al dat het niet proportioneel is, toch bestaat de wet nog. Je leest hier meer over de achtergronden.
• Er worden zwarte lijsten bijgehouden in de financiële sector, zoals het IVR en EVR (Intern en Extern verwijzingsregister).
• Financiële instellingen, werkgevers en meer moeten verplicht gegevens delen met de overheid, dat heet met een moeilijk woord renseignering. Dat gebeurt bijvoorbeeld voor belastingheffing, en gaat soms ook naar het buitenland, bijvoorbeeld vanwege FACTA-wetgeving.
• Rond financiële partijen zijn datahandelaren actief. Ze moeten zich technisch gezien aan de AVG (privacywet) houden, maar doen dat meestal niet. De meeste mensen weten niet eens wie ze moeten aanschrijven met hun verzoeken.

Rondom het systeem zijn dus nogal wat datastromen, waar een hoop vraagtekens bij te zetten zijn. De beweging in de markt is alleen maar: meer regels die datavastlegging verplichten.

Nog een tip: Criminalisering van contant geld drijft de consument in de datafuik van de banken op FTM.

“We moeten onze privacy verdedigen”

Rondom bitcoin wordt het belang van financiële privacy beter gezien. Veel gebruikers van bitcoin, evenals ontwikkelaars, zien het belang van privacy, en handelen er actief naar om de privacy van bitcoin (betalingen te verbeteren).

Reden voor dit bewustzijn, zijn de origines van de bitcoinbeweging. Bitcoin kwam op uit de Cypherpunk-beweging. Eric Hughes schreef het manifest, waarin de ideeën goed duidelijk worden:

Privacy is necessary for an open society in the electronic age. … We cannot expect governments, corporations, or other large, faceless organizations to grant us privacy … We must defend our own privacy if we expect to have any. … Cypherpunks write code. We know that someone has to write software to defend privacy, and … we’re going to write it

Zelf je privacy verdedigen dus, door code. Dat is wat bitcoin doet, en waar jij aan mee kan helpen.

De code zorgt echter niet dat al het gebruik van bitcoin privacybehoudend is. Sterker nog, als je niet oplet is je identiteit zó gekoppeld aan je transacties.

Het is goed te beseffen dat bitcoin een open systeem is. Transacties zijn standaard publiek. Tuurlijk, er staat geen naam bij de transactie zelf, maar de transactie zelf is publiek:

De bitcoinblockchain is open en inzichtelijk, wat betekent dat?

Iedereen die een full node draait (tienduizenden mensen) hebben alle transacties op hun computer staan. (We hebben het hier niet over Lightning, dat komt later. Het gaat om échte bitcointransacties.)

Het is belangrijk te beseffen dat ook jouw transacties publiek zijn. Transacties zijn in de basis vrij simpel: er is een input- en outputkant. De outputs van oude transacties zijn de inputs van nieuwe transacties. Even uitleggen:

Als jij bitcoin koopt en in jouw wallet zet, bijvoorbeeld door bij een handelsbeurs te kopen, dan maakt de handelsbeurs een transactie naar jouw wallet. Ze nemen wat van hun oude outputs, dat worden de inputs van de transactie naar jou. Jij (of eigenlijk, jouw wallet) is de output van de transactie.

Sterk versimpeld wordt er verstuurd van en naar adressen. Jouw wallet maakt een adres (bc1l…) en daar wordt naartoe gestuurd. Als jij uitgeeft, wordt het geld “van jouw adres” gehaald en naar het volgende adres gestuurd.

Stel dat je voor het kopen van je bitcoin bij de exchange je paspoortinfo moest doorgeven, dan weet die exchange dat de bitcoin die je kreeg, bij jouw naam horen. Als jij daarna die bitcoin uitgeeft, dan kunnen er links worden gelegd.

Stel dat je die bitcoin uitgeeft aan illegale zaken. De politie ziet die transactie mogelijk, misschien omdat ze een illegale marktplaats in de gaten houden. Met één belletje naar jouw exchange is het de link zó gelegd: jij hebt die uitgave gedaan.

Er zijn veel meer zaken om op te letten, daar komen we volgende week op terug.

Makkelijk je privacy verliezen zonder maar een transactie te doen!

Volgende week gaat het over aanvallen op de blockchain laag, door transactieanalyse worden je gegevens bekend.

Hieronder een lijst met privacy-aanvallen waar de blockchain niet eens bij komt kijken, steeds met suggesties voor betere privacy:

• Publieke explorers: als jij (informatie over) bitcoinadressen doorgeeft aan publieke explorers (bijvoorbeeld mempool.space of blockchain.info), dan weten die website dat jij (jouw IP-adres) geïnteresseerd bent in dat adres, en mogelijk de eigenaar. Gebruik beter een eigen exporer, door bijvoorbeeld zelf de mempool-app te installeren op je node.
• Internetverbindingen: als je internetverbinding wordt bekeken, dan kunnen de afluisteraars doorhebben dat jij een bitcoin-node draait, of verbindingen maakt naar bepaalde wallets. Je zou Tor kunnen gebruiken, of een VPN, hoewel je in dat laatste geval het VPN-bedrijf moet vertrouwen.
• Als je de standaard software van je hardwarewallet gebruikt dan verbindt die software waarschijnlijk naar een node/site van de walletmaker en (daarmee) geef je ook informatie door over jouw transacties. Onderzoek of je Tor kan gebruiken, of andere software, zoals Wasabi.
• Oude (lichtgewicht) BIP37-wallets: oude wallets die BIP37 gebruiken hebben privacyproblemen, het maakt het bijvoorbeeld makkelijk om IP-adressen van mobiele gebruikers te koppelen aan transacties. Gebruik ze liever niet meer.
• Meelezen in communicatie: als je bijvoorbeeld een bitcoinadres naar een vriend stuurt via Gmail, dan zou Google mee kunnen lezen, zelfde geldt voor veel chat-apps. Kijk eens naar versleutelde apps?

De vijf punten hierboven zijn de meest voorkomende voorbeelden van niet-transactiegebaseerde aanvallen. Er komt nog geen blockchain aan te pas.

Verbetering: versleutelde verbindingen

De laatste weken wordt er gewerkt binnen de bitcoincommunity om verbindingen tussen bitcoinnodes te versleutelen. Het is een project op de GitHub-pagina.

Er zijn al 13 aanpassingen gedaan om dit voor elkaar te krijgen, en er staan er 12 klaar. De verbeteringen vallen allemaal onder BIP324 (BIP = Bitcoin Improvement Proposal, een verbetervoorstel).

BIP324 stelt een heel nieuw protocol voor voor de peer-to-peer verbindingen: het is versleuteld én gebruikt iets minder data.

Over encryptie is nooit echt nagedacht: de data, zoals transacties en blokken zijn (of worden) toch publiek. Dus waarom dan versleutelen?

Eerste reden is dat er uit de metadata informatie gehaald kan worden. Als iemand meeluistert op jouw verbinding, en ziet dat jij een transactie uitstuurt, dan is het meteen duidelijk dat jij iets te maken hebt met die transactie.

Ten tweede kan er worden geklooid met de data, als iemand op jouw verbinding zit, dan kan de data worden aangepast. Dat betekent trouwens niet dat er iets met transacties kan misgaan, maar vooral de communicatie tussen nodes kan zo worden verstoord. Met encryptie kan dit niet meer.

Als laatste maakt het huidige protocol (waar alles onversleuteld wordt verstuurd) het makkeljiker om mensen te censureren: als detectie makkelijk is, is ook uitzetten van een verbinding makkelijk.

De laatste weken zijn er meer discussies en wordt er actief gewerkt aan het voorstel. Mooi!

Volgende week: bescherm je transacties

Volgende week lees je hoe je je transacties beschermt tegen mensen die je data willen achterhalen. Echte blockchain-gebaseerde aanvallen dus!