Deanonimisering: je identiteit prijsgeven zonder dat je het door hebt

In dit artikel nemen we Bitcoin als lijdend voorwerp. Digitaal geld zoals Bitcoin is anoniem, maar niet privé. Je identiteit wordt nergens vastgelegd, maar iedere Bitcoin-transactie is door iedereen in te zien in het publieke grootboek (beter bekend als de blockchain). Ondanks dat je identiteit nergens op de blockchain vastgelegd is, is het toch mogelijk dat je identiteit bekend wordt. We kijken naar een aantal manieren waarop dat kan gebeuren.

Exchanges

Veel gebruikers kopen hun eerste Bitcoin op een exchange. Op veel exchanges moet je je identiteit verifiëren, en de kans is groot dat je op dat punt je persoonlijke identiteit aan je BTC-portefeuille hebt gekoppeld. Effectief is Bitcoin vanaf dat moment niet anoniemer dan een bankrekening.

Essentieel in deze context is dat de Bitcoin blockchain publiek is. Vanaf het moment dat jouw identiteit aan een BTC-adres is gekoppeld, zijn alle transacties die je uitvoert na te lopen. Je kunt dus stellen dat Bitcoin vanaf dat moment minder anoniem is dan een reguliere fiat-bankrekening. Van je bankrekening is je identiteit wellicht bekend, maar mensen kunnen niet zomaar in jouw transactiegeschiedenis neuzen.

Betalen met BTC

Op 16 augustus 2017 is er een onderzoeksrapport uitgebracht door onderzoekers van de Princeton University. De eerste zin in het verslag is duidelijk:

We show how third-party web trackers can deanonymize users of cryptocurrencies.

Er worden twee verschillende manieren beschreven waarop je je identiteit kunt prijsgeven. De meeste webshops maken gebruik van cookies en zogenaamde third party trackers. Hierin wordt informatie over een eventuele aankoop opgeslagen, met als onderliggende doel om je gedrag te kunnen analyseren. Het onderzoek toont aan dat trackers over voldoende informatie beschikken om BTC-transacties met persoonlijke informatie te verbinden.

Een tweede onderzoeksresultaat is dat het hele cluster van BTC-adressen en -transacties gevonden kan worden als de tracker twee of meer aankopen van dezelfde gebruiker kan linken aan de blockchain, ook als de gebruiker technieken gebruikt als CoinJoin. Uitzonderlijk zou dat niet zijn, aangezien veel webshops van dezelfde diensten gebruik maken.

Daar bovenop zijn dit zogenaamde passieve aanvallen. Het nadeel daarvan is dat de gegevens met terugwerkende kracht gebruikt kunnen worden, en toegepast kunnen worden op aankopen in het verleden.

Dan denk je wellicht dat je de dans ontspringt omdat je slim genoeg bent om ad blockers of andere tools te gebruiken. Helaas:

The main self-defense available to users today is to use tracking-protection tools such as Ghostery or uBlock Origin, but we note several limitations. […] even with tracking protection enabled, 25 merchants still leak sensitive information to third parties.

Big data

Er zijn bedrijven die gespecialiseerd zijn in het deanonimiseren van grote hoeveelheden gegevens. Een voorbeeld daarvan is Chainanalysis. Inmiddels maken al 6 Amerikaanse overheidsinstanties gebruik van hun diensten, waaronder de FBI, de SEC, de IRS, en de DEA.

Het is lastig te achterhalen welke technieken er worden gebruikt door dergelijke bedrijven om de anonimiteit daadwerkelijk ongedaan te maken. Vragen aan de SEC werden afgedaan met een simpel "no comment", en ook een bedrijf als Chainanalysis treedt niet in details.

We nemen aan dat er meerdere datasets worden gecombineerd. Van een exchange als Coinbase is bijvoorbeeld bekend dat ze van 13.000 gebruikers de gegevens hebben moeten overhandigen aan de IRS. Maar er worden ook hele andere technieken gebruikt. Denk aan het doorzoeken van het internet naar BTC-adressen, en de mogelijkheid om die te koppelen aan gebruikersinformatie die daarbij gevonden wordt. Of opzettelijk verbinding maken met het Bitcoin-netwerk om IP-adressen en transacties te loggen (om de zogenaamde network topology in kaart te brengen).

Veel van deze technieken zijn op zichzelf niet in staat om iemand te identificeren, maar door ze samen te gebruiken, ontstaan er verschillende grote datasets die met elkaar te combineren zijn.

Verkoop van je gegevens

Persoonsgegevens zijn geld waard. Recent nog kwam Facebook groot in het nieuws in het kader van de Facebook–Cambridge Analytica data scandal.

Op 17 april werd bekend dat Amazon patent heeft gekregen (nummer 9947033) op een zogenaamde 'streaming data marketplace'. Op dit platform zouden gegevens gerelateerd aan cryptocurrency transacties gekoppeld kunnen worden aan andere data, zoals IP-adressen.

Anders gezegd: gebruikers van het voorgestelde platform zouden in sommige gevallen kunnen betalen om - gegeven een bepaalde transactie - erachter te komen wie de ontvanger is, en wat de verzender daar voor terug verwacht.

Volgens het document is het met name waardevol dat verschillende data streams met elkaar gecombineerd kunnen worden:

One example is a data stream that publishes or includes global bitcoin transactions (or any crypto currency transaction) … The raw transaction data may have little meaning to a customer unless the customer has a way to correlate various elements of the stream with other useful data. For example, a group of electronic or internet retailers who accept bitcoin transactions may have a shipping address that may correlate with the bitcoin address.

Ten slotte

Het mag duidelijk zijn dat ondanks dat het Bitcoin-protocol anoniem is, je als Bitcoin-gebruiker zeker niet van die anonimiteit uit kunt gaan. Een belangrijk aspect van deze problematiek is dat de blockchain van Bitcoin publiek is. Als dat een probleem voor je is, dan doe je er goed aan om je te verdiepen in privacy coins. Zij doen er alles aan om alle technieken die gebaseerd zijn op het verzamelen van grote hoeveelheden gegevens onschadelijk te maken.

Wil je meer weten over deanonimisering? Of gewoon verder lezen?

Dit zijn interessante bronnen:

• An Analysis of Anonymity in the Bitcoin System [PDF]
• Bitcoin Transaction Graph Analysis [PDF]
• Deanonymisation of clients in Bitcoin P2P network [PDF]
• An Inquiry into Money Laundering Tools in the Bitcoin Ecosystem [PDF]
• Data-Driven De-Anonymization in Bitcoin [website]
• When the cookie meets the blockchain: Privacy risks of web payments via cryptocurrencies [PDF]