Anonymität ohne Geldwäsche

Auch die Europäische Zentralbank (EZB) denkt über eine digitale Währung nach. Zwar hat die Institution noch keine Absichtserklärung abgegeben, dass es einen digitalen Euro geben soll.  Allerdings entwicklt sie verschiedene Konzepte, etwa, wie man mit der Anonymität und Privatsphäre umgehen kann.

Wird die Zentralbank einen digitalen Euro herausgeben, oder wird sie es nicht? Das eindeutigste, was man zu dieser Frage sagen kann, ist, dass sich alle einig sein, sie nicht beantworten zu können. EZB-Präsidentin Christine Lagarde meint, die EZB werde “weiterhin die Kosten und Vorteile einer von einer Zentralbank herausgegebenen digitalen Währung erörtern”; die EZB solle dabei “den anderen einen Schritt voraus sein.” Festlegen will sie sich aber noch nicht. Auch die Autoren eines Forschungspapiers der Zentralbank, die Konzepte zur Anonymit einer digitalen Währung erörtern, stellen in der Einleitung klar: “Die Arbeit bezieht sich nicht auf eine praktische Implementierung und impliziert keinerlei Entscheidungen, eine digitale Währung einzuführen.”

Die EZB denkt also nach, erörtert, erforscht und berät sich. Dabei hat die Institution auch eine Forschungsgruppe ins Leben gerufen, die sich mit verschiedenen Herausforderungen rund um die Einführunger einer von einer Zentralbank herausgegebenen digitalen Währung beschäftigt. Eine dieser Herausforderungen ist der Datenschutz, dem sich das im Dezember 2019 erschienene Paper der Zentralbank widmet.

Eine relativ konkrete Architektur

Zunächst fällt in dem Paper auf, dass die digitale Währung, die es womöglich geben wird, zumindest konzeptionell schon sehr weit fortgeschritten ist. Die Autoren beschreiben eine sehr konkrete Architektur. Angesichts der Unentschlossenheit der EZB, ob sie eine digitale Währung einführt oder nicht, ist das erstaunlich.

Die Forscher gehen erstens davon aus, dass die von der Zentralbank herausgegebene Währung “bargeldartige Eigenschaften” haben sollte: “Es gibt einen starken Fokus auf dier Privatsphäre der User bei Transaktionen mit geringem Wert”, und Transaktionen sollen keine Einzugsberechtigung übermitteln, sondern unmittelbar sein. Zweitens sollen User nicht direkt Zugang zum System haben, sondern über Mittelsmänner an Bord kommen. Diese Mittelsmänner halten drittens Konten bei der Zentralbank und geben ihre Guthaben an die User weiter. Viertens soll es eine Institution geben, die darauf achtet, dass Maßnahmen gegen Geldwäsche eingehalten werden.

Die Software-Entwickler der EZB haben bereits einen Proof-of-Konzept für dieses System gebildet. Ein Proof-of-Konzept ist so etwas wie ein rohes Modell, das nicht dafür bestimmt ist, tatsächlich eingesetzt zu werden, sondern lediglich dazu dient, herauszufinden, ob ein System möglich ist. Dafür haben sie die Corda-Plattform benutzt. Dies ist ein Produkt von R3, einem amerikanischen Unternehmen, das seit etwa 2014 versucht, die “Blockchain für die Banken” zu bauen, und dabei zwar viele Partner, aber bisher nur wenige Anwendungen gefunden hat.

In dem als Proof-of-Konzept aufgebauten System gibt es vier Parteien: Zwei Zwischenmänner, eine Zentralbank sowie eine Institution, die Geldwäsche verhindern soll. Jede Partei bildet einen Knoten im Netzwerk. Wie Bitcoin verwendet Corda ein UTXO-Modell, bei dem die “noch nicht ausgebenen Outputs” einer Transaktion zum Input der Folgetransaktion werden. Man kann dieses Modell am besten damit umschreiben, dass ein UTXO wie eine Münze oder ein Geldschein ist. Wie ein Bitcoin-Knoten prüfen die Intermediäre, ob ein Output, der in eine Transaktion geht, gültig ist, indem sie ihn rückwärts bis zur ursprünglichen Ausgabe validieren.

Dabei hilft ihnen jedoch ein “nicht-validierenden Notar”. Dieser Knoten erlaubt es Intermediären, die Validität eines States – also eines nicht ausgegebenen Outputs – zu prüfen, indem er alle gegenwärtig gültigen UTXO speichert. Das Paper beschreibt die Rolle des Notar-Knotens nicht ganz eindeutig. Man könnte vermuten, dass die Intermediäre vielleicht nicht wie bei einer Blockhain alle Transaktionen prüfen können, sondern nur diejenigen, die ihre User besitzen. Ein Notar-Knoten könnte ihnen dabei helfen, auch Transaktionen von anderen – oder eingehende Transaktionen – zu validieren.

Gutscheine für Anonymität

An dieser Stelle bringen die EZB-Forscher einen für die Privatsphäre interessanten Einwurf: Die Notar-Knoten “haben keinen Zugriff auf Daten wie den Wert einer Transaktion, die Adressen der User oder die Historie eines Status.” Wie genau dies funktioniert, ist wohl ohne Kenntnis der Corda-Architektur schwer zu sagen. Ohne weitergehende Technologien wie Zero-Knowledge-Proofs oder Ringsignaturen dürfte es kaum möglich sein, dass ein Notar-Knoten das UTXO-Set validiert, ohne Transaktions-Inhalte zu kennen.

Die für das Paper wichtigste Frage ist aber: Wie kann der Anti-Geldwäsche-Knoten die Regeln durchsetzen, ohne dass er die Transaktionsdaten der User kennt? Das klingt nach der Quadratur des Kreises: Einerseits soll die digitale Währung privat sein, analog zu Bargeld, aber andererseits soll es möglich sein, Geldwäsche zu verhindern. Die beiden Ziele scheinen sich massiv zu widersprechen.

Um den Widerspruch aufzulösen, haben die Forscher ein neues Konzept entwickelt: Die “Anonymitäts-Gutscheine.” Der AML-Knoten “gibt diese zusätzlichen, zeitlich begrenzten States an jeden User in regelmäßigen Intervallen aus. Wenn ein User nun die Währung überweisen möchte, ohne Informationen an den Anti-Geldwäsche-Knoten zu geben, müssen sie diese Gutscheine ausgeben.” Jeder User hat also eine bestammte Anzahl dieser Gutscheine in seiner Wallet, so dass er einen gewissen Betrag in einem bestimmten Zeitintervall anonym ausgeben kann.

Bei Transaktionen, die diesen Betrag überschreiten, geht eine Nachricht an die Anti-Geldwäsche-Knoten heraus. Diese fordern dann vom Mittelsmann bestimmte Informationen, eventuell noch weitere Bestätigungen durch die User, und geben die Transaktion danach frei oder verweigern sie.

Das Konzept ist an sich interessant. Es ist auf eine gewisse Weise privater als Bitcoin, weil man kleine Transaktionen wohl nicht nachverfolgen kann, aber gleichzeitig natürlich weniger autonom und bei größeren Beträgen weniger privat. Man könnte sogar sagen, dass die von China geplante digitale Währung stärker die Ideologie von Kryptowährungen vertritt als die Konzepte der EZB. Denn beim digitalen Yuan soll es bei kleinen Beträgen möglich sein, dass User ohne Mittelsmann, also nur mit einer App, Geld empfangen und versenden.

Offene Fragen: Die EZB könnte viel von Kryptowährungen lernen

Bei all dem bleiben natürlich noch einige Fragen offen. Zwar konnte der Proof of Concept zeigen, dass ein solches System mit der Corda-Plattform aufgebaut werden kann. Doch noch sind nicht alle Herausforderungen bewältigt.

So beklagen die Autoren etwa, dass die Privatsphäre bei Corda unzureichend ist. Die Intermediäre müssen die vergangenen Transaktionen betrachten, um zu validieren, ob eine Transaktion gültig ist, bis zurück zur ursprünglichen Ausgabe durch die EZB. Dadurch können sie einen Graph bilden und Details zu vergangenen Transaktionen erkennen, selbst dann, wenn diese nicht in der aktuellen Transaktion involviert sind.

Es handelt sich also um dieselben Probleme, wie man sie bei Bitcoin kennt: Dass Blockchain-Analysen eine relativ weitreichende Rekonstruktion von Transaktionsströmen und Wallets erlauben. Bei Bitcoin wird dieses Problem dadurch relativiert, dass die User pseudonym sind, eigene Knoten betreiben können und keine Mittelsmänner brauchen, um eine Wallets zu eröffnen. Sobald man hier verschiedene Wallets benutzt und darauf achtet, dass die Coins nicht mit dem eigenen Namen verbunden sind, erreicht man einen relativ weiten Grad an Privatsphäre. Wenn man allerdings ein System der Mittelsmänner und der identifizierten User mit einer halböffentlichen Kette von Transaktionen verbindet, droht dies, jegliche finanzielle Privatsphäre zu beerdigen, selbst wenn dies gar nicht beabsichtigt war.

Daher schlagen die Autoren vor, die digitale Zentralbanks-Währung durch zusätzliche Privatheits-Technologien zu bereichern. Sie nennen rotierenden oder wechselnde öffentliche Schlüssel, was ein System ist, das bei allen Bitcoin-Wallets schon lange Standards ist. Dass Corda dies offensichtlich bisher versäumt, zeigt im Grunde, wie weit diese Technologie hinterherhinkt. Die Autoren schlagen ferner Zero-Knowledge-Proofs vor, die bereits bei vielen Kryptowährungen im Einsatz sind, etwa bei Zcash, Monero oder dem Tornado-Mixer bei Ethereum. Man könnte zudem die Ringsignaturen von Monero hinzufügen, oder einfache dezentrale Mixing-Verfahren wie CashShuffle bei Bitcin Cash.

Während bei vielen Kryptowährungen ein Zuviel an Privatsphäre berechtigte Bedenken auslöst, Geldwäsche und Kriminalität zu befördern, könnte eine EZB-Blockhain, bei der es Mittelsmänner und Anti-Geldwäsche-Knoten gibt, sämtliche Privacy-Technologien einsetzen, die das Ökosystem hergibt. Wenn Identität im Spiel ist, kann es kein Zuviel an Anonymität mehr geben.