Bitcoin-Transaktionen sind nicht so anonym, wie alle gehofft haben

Immer mehr Online-Händler bieten mittlerweile die Möglichkeit, mit der Kryptowährung Bitcoin zu bezahlen. Eines der großen Versprechen dieser Technologie ist die Anonymität: Die Transaktionen werden aufgezeichnet und öffentlich gemacht, sind aber nur mit einer elektronischen Adresse verknüpft. Was auch immer Sie also mit Ihren Bitcoins kaufen, der Kauf kann nicht speziell auf Sie zurückgeführt werden.

Das ist für manche praktisch, aber die Anonymität ist keineswegs perfekt. Sicherheitsexperten nennen es pseudonyme Privatsphäre, wie das Schreiben von Büchern unter einem Pseudonym. Sie können Ihre Privatsphäre wahren, solange das Pseudonym nicht mit Ihnen verknüpft ist. Aber sobald jemand den Link zu einem Ihrer anonymen Bücher herstellt, wird der Trick aufgedeckt. Ihre gesamte Schreibhistorie unter Ihrem Pseudonym wird öffentlich. Ebenso wird, sobald Ihre persönlichen Daten mit Ihrer Bitcoin-Adresse verknüpft sind, auch Ihre Kaufhistorie offengelegt.

Das wirft eine wichtige Frage für Leute auf, die Bitcoin für anonyme Einkäufe verwenden möchten: Wie einfach ist es, sie mit ihren Bitcoin-Transaktionen zu verknüpfen?



Heute erhalten wir dank der Arbeit von Steven Goldfeder von der Princeton University und einer Reihe von Freunden eine Antwort. Diese Leute sagen, dass die Art und Weise, wie Informationen während gewöhnlicher Einkäufe durchsickern, es einfach macht, Einzelpersonen mit den von ihnen getätigten Bitcoin-Transaktionen zu verknüpfen, selbst wenn Käufer zusätzliche Datenschutzmaßnahmen wie CoinJoin verwenden.

Die Hauptschuldigen sind Webtracker und Cookies – kleine Codeteile, die absichtlich in Websites eingebettet sind und Informationen über die Art und Weise, wie Benutzer die Website nutzen, an Dritte senden. Gängige Web-Tracker senden Informationen an Google, Facebook und andere, um die Seitennutzung, Kaufbeträge, Surfgewohnheiten usw. zu verfolgen. Einige Tracker senden sogar persönlich identifizierbare Informationen wie Ihren Namen, Ihre Adresse und Ihre E-Mail-Adresse.

Auf diese Weise gelangen Informationen über eine Transaktion ins Web, wo Regierungen, Strafverfolgungsbehörden und böswillige Benutzer sie leicht sammeln und analysieren können.

Die Frage, die Goldfeder und Co. untersuchen, ist, wie einfach es ist, diese Informationen zu verwenden, um Menschen mit ihren Bitcoin-Transaktionen zu verbinden. Dieser Prozess erfordert, dass der Lauscher die persönlich identifizierbaren Informationen einer Person kennt – beispielsweise Name und E-Mail – und diese dann mit einer bestimmten Bitcoin-Adresse verknüpft.

Das Team begann mit der Auflistung der wichtigsten Händler, die Bitcoin-Transaktionen zulassen. Sie kamen auf 130 davon, darunter Microsoft, NewEgg und Overstock.

Anschließend untersuchten sie, wie Web-Tracker während des Kaufvorgangs Informationen von jeder dieser Websites preisgeben. Wir haben festgestellt, dass mindestens 53/130 der Händler Zahlungsinformationen an insgesamt mindestens 40 Dritte weitergeben, am häufigsten von Warenkorbseiten, sagen Goldfeder und Co.

Die meisten dieser Informationsverluste sind für Werbe- und Analysezwecke beabsichtigt. Aber die Forscher sagen auch, dass einige zusätzliche Informationen gesendet werden. Wir stellen fest, dass viele Händler-Websites weitaus schwerwiegendere (und wahrscheinlich unbeabsichtigte) Informationslecks aufweisen, die Dutzenden von Trackern direkt die genaue Transaktion in der Blockchain offenbaren, sagen sie.

Das sind schlechte Nachrichten für Leute, die hoffen, ihre Bitcoin-Käufe anonym zu halten. Aber selbst wenn die genaue Transaktion verborgen bleibt, ist es immer noch möglich, den Link herzustellen, wenn das Leck den Betrag und die Zeit des Kaufs enthält.

In diesem Fall muss der Lauscher den Kaufbetrag zum aktuellen Wechselkurs in Bitcoins umwandeln und dann die Blockchain nach einer Transaktion in diesem Moment in diesem Betrag durchsuchen. Dadurch wird die Bitcoin-Adresse des Benutzers preisgegeben. Alle anderen Käufe, die unter dieser Adresse getätigt wurden, sind dann trivial nachzuverfolgen.

Es gibt ein paar zusätzliche Faktoren, die diesen Prozess schwieriger machen. Der Web-Tracker könnte die Kosten des Produkts offenlegen, aber den Versand nicht beinhalten, sodass der gesamte Bitcoin-Kauf möglicherweise nicht klar ist.

Es kann auch eine Lücke zwischen dem Zeitpunkt geben, an dem der Benutzer die Seite aufgerufen hat, von der die Informationen durchgesickert sind – zum Beispiel der Einkaufswagen an der Kasse – und dem Zeitpunkt, an dem der Kauf tatsächlich getätigt wurde. Bitcoin-Käufe sind mit einem Zeitstempel versehen, sodass es schwieriger wird, sie aufzuspüren, wenn die Zeit nicht genau bekannt ist.

Der Kaufbetrag wird normalerweise in einer lokalen Währung wie Dollar oder Pfund angegeben und dann zum Zeitpunkt des Kaufs in Bitcoin umgerechnet. Aufgrund der großen Schwankungen der Bitcoin-Wechselkurse kann es schwierig sein, den genauen Bitcoin-Wert zu ermitteln, wenn die Kaufzeit nicht genau bekannt ist.

All diese Faktoren machen es schwieriger, Einzelpersonen mit ihren Bitcoin-Transaktionen zu verknüpfen, aber es ist keineswegs unmöglich. Wir stellen fest, dass bei realistischen Werten dieser Parameter in über 60 % der Fälle eine eindeutige Verknüpfung möglich ist, sagen die Forscher.

Es gibt Möglichkeiten, Bitcoin-Transaktionen weiter zu verbergen. Einer der beliebtesten ist CoinJoin, ein Dienst, der Benutzer verbindet, die ähnliche Zahlungen leisten möchten, und ihnen dann ermöglicht, gemeinsam zu bezahlen. Dies mischt ihre Bitcoins und macht es schwieriger, sie zu identifizieren.

Aber Goldfeder und Co. weisen darauf hin, dass es einfach ist, wenn eine Person CoinJoin verwendet, um mehrere Käufe auf diese Weise zu tätigen, diese wieder zu verknüpfen: Wenn das Opfer 3 Runden von CoinJoin einsetzt und der Gegner zwei der Zahlungen des Opfers beobachtet, kann er sie verknüpfen zurück zu ihrer Brieftasche (trotz Mischen) mit 98%iger Genauigkeit.

Es gibt mehrere Möglichkeiten, wie Käufer sich mit Tools wie Ghostery, AdBlock Plus oder uBlock Origin schützen können. Diese sind nützlich, können aber manchmal Tracker übersehen und zu anderen Zeiten Käufe vollständig verhindern. Solche Verteidigungen können sehr effektiv sein, aber sie sind alles andere als perfekt, sagen Goldfeder und Co.

All dies wird eine deprimierende Nachricht für Menschen sein, die hoffen, ihre Privatsphäre online zu schützen.

Aber es wird auch Musik in den Ohren der Strafverfolgungsbehörden sein, die hoffen, schändliche Aktivitäten aufzuspüren. Wie praktisch alle Deanonymisierungsangriffe auf Kryptowährungen könnten unsere Techniken verwendet werden, um forensische Tools für die Strafverfolgung zu entwickeln, geben Goldfeder und Co. zu.

Und wie alle Deanonymisierungstechniken hat das Vor- und Nachteile.

Ref: arxiv.org/abs/1708.04748 : Wenn das Cookie auf die Blockchain trifft: Datenschutzrisiken von Webzahlungen über Kryptowährungen

verbergen