CipherText behauptet, Monero-Transaktionen verfolgen zu können. Monero-Forscher bestreiten das.
Anonyme Puppe. Bild von Nezumi66 via flickr.com. Lizenz: Creative Commons / Public Domain
Monero (XMR) gilt als Goldstandard für private Krypto-Transakstionen. Die Analysten von CipherTrace stellen nun jedoch ein Werkzeug vor, das diesen Status hinterfragt. Kann man Monero-Transaktionen doch analysieren und deanonymisieren? Ist der Goldstandard schon gebrochen? Eine spanndende, aber technisch nur für Experten nachvollziehbare Diskussion beginnt.
In der Regel heißt es, Monero sei anonym. Europol und das FBI sagen, dass die Ermittlungen üblicherweise dort enden, wo Monero eintritt, Forscher behaupten, sie wüssten nicht, wie sie die Anonymität von Monero brechen können, und wenn es doch mal Berichte darüber gibt, handelt es sich um Angriffe, die längst nicht mehr funktionieren und auch nur sehr schwache Ergebnisse erbringen. Auch dass die gebräuchlichen Analysedienste wie Chainalysis kein Monero-Tracking anbiete, spricht dafür, dass die Kryptowährung so anonym ist, wie es nur möglich ist.
Dementsprechend erfreut sich Monero einer wachsenden Beliebtheit unter denen, die Anonymität mehr nötig haben als alle anderen – diejenigen, die sich vor der Staatsgewalt verbergen, sei es, weil sie Ransomware versenden, sei es, weil sie Drogen im Darknet verkaufen. Monero steht hier im Begriff, Bitcoin als Leitwährung abzulösen, sehr zur Unzufriedenheit der Strafverfolger, die sich in den letzten Jahren mehr und mehr mit Bitcoin angefreundet haben, da sich die Kryptowährung nach anfänglicher Skepsis ob ihrer hohen Transparenz als ausgesprochen praktisch für die Ermittler erwiesen hat. Eine flächendeckende Akzeptanz von Monero im Darknet droht, alle Erfolge der vergangenen Jahren zunichte zu machen.
Oder?
Vor dem Hintergrund von dem, was man über Monero weiß – oder zu wissen glaubt – behauptet eine Pressemitteilung des Analyse-Dienstleisters CipherTrace nun Unglaubliches: Das Unternehmen kündigt an, gemeinsam mit dem US-Ministerium für Innere Sicherheit (Homeland Security) ein Instrument entwickelt zu haben, das Monero-Transaktionen deanonymisieren könne.
Der CEO Dave Jevans erkennt laut Pressemitteilung zwar an, dass Monero eine der am schwierigsten zu verfolgende Kryptowährung sei. Doch nachdem die Forscher von CipherTrace ein Jahr daran gearbeitet habe, könne das Unternehmen die erste Tracking-Software für Monero veröffentlichen. Und zwar kann das Werkzeug Transaktionsströme von Monero visualisieren, um etwa Strafverfolgern zu unterstützen. „Es ist möglich, Monero-Coins zu verfolgen, die für illegale Transaktionen genutzt werden. Unser Tool hilft Krypto-Börsen, OTC Trading-Desks, Investmentfunds und Verwahrern, auszuschließen, dass sie Monero aus illegalen Quellen erhalten, und Monero mit einer potenziell fragwürdigen Herkunft zu untersuchen, um die Auflagen der Regulierung zu erfüllen.“
Das Werkzeug verspricht also, Monero so der Regulierung und Strafverfolgung zu unterwerfen, wie all die anderen Kryptowährungen. Ist damit der Goldstandard der Privatsphäre unter Kryptowährungen gebrochen?
Die Monero-Szene bezweifelt das natürlich. Für die Breaking-Monero-Videoserie hat Justin Ehrenhofer den Monero-Forscher Sarang Noether und den CipherTrace CEO eingeladen, um zu diskutieren, ob das Tracing von Monero nun möglich ist. Der CEO machte tatsächlich mit, woraus ein interessantes, jedoch technisch extrem tiefes Gespräch entstand: Ein Forscher, der versucht, Monero anonymer zu machen, diskutiert mit einem Unternehmer, der damit Geld verdient, Monero zu deanonymisieren.
Jevans erklärt im Video noch einmal, was das erste Monero-Tracking-Tool kann: Es stellt Transaktionsströme visuell dar, erlaubt es, Wahrscheinlichkeiten für Inputs und Outputs zu generieren, die Risiken von Adressen zu bewerten und entsprechende Adressen genauer zu untersuchen.
Im Gespräch wird ziemlich schnell klar, dass kaum jemand versteht, worum es geht. Selbst der CEO räumt ein, die Mathematik nicht vollständig zu verstehen. Man kann das, was er berichtet, so zusammenfassen: CipherTrace hat die gesamte verfügbare öffentliche Forschung zum Thema genommen, sie mit eigenen Analysen angereichert und mit Offchain-Daten verbunden, um dann gewisse Wahrscheinlichkeiten zu errechnen, mit der dieser und jener Input zusammen- und diese und jene Adresse zur selben Wallet gehören. Es scheint relativ hohe, komplexe Mathematik und Statistik zu sein.
Jevans räumt auch ein, dass es „nicht wie bei Bitcoin ist: Wir wissen es nicht zu 100 Prozent, aber wir können statistische Wahrscheinlichkeiten angeben, und immer, wenn wir eine Wahrscheinlichkeit von mehr als 90 Prozent haben, halten wir es für signifikant.“ Sarang antwortet darauf, dass er bezweifle, dass es möglich sei, eine konkrete Wahrscheinlichkeit zu errchnen – möglich sei lediglich die Wahrscheinlichkeit einer Wahrscheinlichkeit – worauf Jevans erwidert, er sei kein Mathematiker – was uns genauso geht.
Eine interessante Option erwähnt der CEO noch: Man könne die gesamte Transaktionshistorie scannen und auswerten. Man habe bisher geglaubt, das sei nicht möglich, weil man zuviel Rechenleistung brauche, aber sein Team habe Optimierungen gefunden.
Offen gestanden fehlt mir jedoch das technische Wissen, um diese Diskussion auch nur gefahrlos wiederzugeben. Ich vermute, es geht so gut wie jedem so, was uns zu einer merkwürdigen Erkenntnis führt: Das Vertrauen in die Privatsphäre von Monero ist das Vertrauen in wenige Forscher wie Sarang, die sich mit einer Nischentwechnologie beschäftigen, und selbst wenn wir auf deren Ehrlichkeit vertrauen, müssen wir weiterhin darauf vertrauen, dass sie die kompetentesten Forscher sind, die sich mit dem Thema beschäftigen.
Nach dem Gespräch hat Moner -bzw. Monerooutreach – eine Pressemitteilung verfasst. Wenn man Lust auf Sarkasmus hat, könnte man höhnen, Monero vergewissere damit dem Darknet, dass die Kryptowährung weiterhin anonym ist. Die Pressemitteilung hebt hervor, dass CipherTrace von der Regierung mehr als 6 Millionen Dollar erhalten habe, worunter auch mehrere Millionen sind, die mit Resultaten Ende August 2020 verbunden waren. Ohne es explizit zu sagen, deutet die Pressemitteilung damit an, dass CipherTrace unter Druck steht, Ergebnisse zu präsentieren, die womöglich gar keine sind.
Zum Thema an sich bleibt die Pressemitteilung vage. Sie zitiert Sarangs Unzufriedenheit mit den mathematischen Erklärungen des CEOs von CipherTrace, geht hier aber nicht ins Detail. Dafür jedoch erwähnt die Pressemitteilung, dass Monero bereits einen neuen Algorithmus namens Triptych entwickelt, der verspricht, die Verbindungen in der Blockchain weiter zu verschleiern.
Triptych benutzt einen neuen Algorithmus für Ringsignaturen, der von Sarang Noether und Brandon Goodell entwickelt wurde. Bei diesem wächst die Größe der Ringsignatur logarithmisch anstatt linear, was bedeutet, es wächst langsamer und kann damit rascher validiert werden, wodurch mehr Signaturen verbunden werden können, was wiederum das Anonymitäts-Set erhöht und damit die Deanonymisierung erschwert. Oder so.
Abschließend dürfte man noch die Frage stellen, ob die Analysen von CipherTrace, selbst wenn sie funktionieren, auch vor Gericht zulässig sind. Denn zum einen handelt es sich um Methoden, die anders als etwa das Wallet-Clustering bei Bitcoin oder auch die Angriffe auf CoinJoin, nicht bekannt und öffentlich diskutiert sind. Kann eine solche Analyse als Beweis vor Gericht gelten, wenn niemand ihre Validität bewertet? Woher wissen die Richter, dass sie dem Grundsatz „im Zweifel für den Angeklagten“ genüge tun?
Ferner kann man bestreiten, ob der Beweis selbst dann gültig ist, wenn seine Validität über jeden Zweifel erhaben ist. Denn ein US-Gericht hat vor kurzem entschieden, dass Gerichte Blockchain-Analysen von Bitcoin-Transaktionen verwenden dürfen, unter anderem deswegen, weil es allgemein bekannt ist, dass Bitcoin transparent ist und die Nutzung daher nicht mit dem Anspruch einhergeht, eine besondere Privatsphäre zu erreichen. Für Monero greift diese Argumentation nicht.
Christoph, Deine Bildwahl ist wieder einmal herrlich! 😀
Monero ist nicht perfekt und niemand seriöser hat dies jemals behauptet, aber man bemüht sich, der Perfektion anzunähern. Ich behaupte, man wird kein anderes Projekt finden, welches sich ständig so kritisch reflektiert wie Monero. Das geschieht nicht nur im Dev-Chat im IRC oder in den Issues auf Github, das geschieht auch im wöchentlichen „Septicism Sunday“ auf Reddit oder in der „Breaking Monero“ Serie auf Youtube, wo praktisch alle bekannten Schwachstellen behandelt wurden.
Justin hat mich damit wieder einmal beeindruckt, denn das Gespräch wurde keine 24 Stunden nach der Pressemitteilung von CipherTrace aufgesetzt, aber die „Ausbeute“ war ziemlich gering, denn der CEO hatte kaum Ahnung von seiner eigenen Technologie und wollte sich mit einem seiner Mathematiker zurückmelden. Sarang hat ihm die Frageliste direkt nach dem Gespräch noch einmal zusammengefasst aber wartet bis heute auf eine Antwort.
Praktisch alle Paper, die bei Monero Anwendung finden, durchlaufen einen Peer Review Prozess, die Implementierung dazu noch Sicherheitsaudits durch externe Firmen, es sind also nicht ganz soooo wenige Augen und zudem stützt man sich meist auf altbekannte kryptographische Verfahren. Das neueste hier auch vorgestellte Signaturschema Triptych wurde erst kürzlich prominent für einen Cryptocurrency Workshop auf dem ESORICS Kongress (European Symposium on Research in Computer Security) zugelassen:
https://deic-web.uab.cat/cbt/cbt2020/
CipherTrace’s Technologie basiert scheinbar lediglich auf einen visuellen Block Explorer, der zusätzlich durch vorhandene externe Metadaten angereichert wird.
Falls Dein Leben von der Privatsphäre abhängt, sollte man auf jeden Fall wissen, was man tut, denn es gibt bestimmte Edge Cases, in denen man seine Privatsphäre selbst unterwandert, darunter:
– E-A-E (Exchange – Alice – Exchange): Angenommen, die Exchanges sind sogar unterschiedlich, aber reguliert und somit darf man annehmen, dass sie vorhandene Daten mit Dritten teilen. Exchange 1 weiß natürlich, welchen Output Alice bekommen hat und falls dieser in einem Ring auftaucht, der zu Exchange 2 wandert, ist es mit einer Wahrscheinlichkeit von 1:11 ein Treffer oder ganz klar auszuschließender Treffer, falls der Output von E1 kleiner war als der Input bei E2.
– Zusammenfassung von Outputs: Wenn ein User täglich Auszahlungen aus einem Marktplatz vornimmt und dieser infiltriert ist, sind die jeweiligen Outputs (UTXO) bekannt und falls eine Transaktion propagiert wird, die diese Outputs jeweils in Ringen zusammenfasst (z.B. 10 Ringe zu je 11 möglichen Outputs), aber in jedem Ring genau ein bekannter Output vorhanden ist, kann man zu fast 100% Sicherheit sagen, wer diese erstellt hat.
– Sehr alte Outputs: Das Monero Wallet warnt, wenn man mehrere sehr alte Outputs zusammenfassen möchte, denn statistisch werden in Bitcoin deutlich öfter jüngere UTXO verwendet als alte und darauf basiert auch die Selektion von Mixin-Outputs bei Monero. Wenn ich zwei alte Outputs nahe beieinander zu einer Transaktion zusammenfasse, ist es sehr Wahrscheinlich, dass diese zwei die richtigen sind, auch wenn die Ring Größe jeweils aktuell 11 beträgt.
– IP Adresse der Propagierung: IP Adressen sind ein sehr starkes Metadatum und werden mittlerweile durch Dandelion++ standardmäßig geschützt, indem die Transaktion erst nur an einen Node weitergeleitet wird und erst nach einigen Hops breit. Zusätzlichen Schutz bietet Tor und I2P Support, der aber nicht standardmäßig aktiv ist.
Gegen die meisten oben genannten potenziellen Attacken hilft bereits das allgemein bekannte „Churning“, bei dem man eine Transaktion an sich selbst sendet. Ein automatisches Churning alter Outputs ähnlich wie bei Samourai die Liqudity Provider wird aktuell diskutiert, denn mit jedem Churn entfernt man seinen Output weiter von potenziell loggenden Exchanges und anderen Akteuren.
Fazit: CipherTrace hat nicht viel mehr als bereits vorhanden war, die 90% Claims sind durch nichts zu halten, aber es visualisiert die Blockchain und bei 11 möglichen Inputs kann man durchaus einige ausschließen, wenn man Zugriff auf externe Metadaten hat. Allerdings muss man bedenken, dass bereits bei einem weiteren „Hop“ 11^2, also 121 Inputs in Frage kommen und mit Triptych hoffentlich bald 64 oder 128 Decoys Einzug halten und dann bereits bei einem Hop eben 4096 bzw. 16384 Möglichkeiten bestehen, die jede Möglichkeit der Visualisierung sprengen.
„… bald 64 oder 128 Decoys Einzug halten und dann bereits bei einem Hop eben 4096 bzw. 16384 Möglichkeiten bestehen, die jede Möglichkeit der Visualisierung sprengen. “
– die bessere Wortwahl wäre vielleicht: … “ die zumindest derzeit, jede Möglichkeit der Visualisierung sprengen. “
oder ?
Naja, das wäre in etwa gleich übersichtlich wie die Anzahl der Nodes im Lightning Netzwerk und wie übersichtlich das darstellbar ist, kann man in etwa hier sehen:
https://graph.lndexplorer.com
Aber ja, ich sollte „derzeit“ verwenden, denn wer weiß, welche Entwicklungen wir in Zukunft sehen werden…
Zudem bringt es mit steigender Anzahl an Decoys immer weniger, wenn man einen Teil davon sicher ausschließen kann, etwa durch die UTXOs von befreundeten Börsen. Auch die Wahrscheinlichkeit, dass mehrere Outputs, die man „kennt“ in einer Transaktion in mehreren Ringen auftauchen wird höher und damit fällt deren Linkbarkeit. Generell kann man sagen, dass es nicht schadet, regelmäßig (in unregelmäßigen Abständen) einfach all seine UTXOs an sich selbst zu schicken, hoffentlich sehen wir eine entsprechende Automatisierung bald in der Wallet Implementierung.
In der Theorie bieten zk-Snarks wie bei Zcash ein besseres Anonymitätsset, aber leider benötigen diese ein Trusted Setup was für Monero Verfechter ein No-Go ist und zweitens sind sie nicht performant genug, um wirklich zu skalieren. Für ersteres gibt es eine Lösung, die Trustless wäre, aber die Performance ist noch um Potenzen schlechter als die derzeitigen zk-Snarks. Monero ist da aber nicht festgefahren und sollte ein entsprechend besseres Signaturschema vorhanden sein, wird man sich sicher nicht auf Ring Signaturen verbeißen und in einer der regelmäßigen Hard Forks alle sechs Monate switchen. Das Anonymitätsset bei zk-Snarks sind praktisch alle bisherigen Transaktionen – falls sie nicht bereits deanonymisiert wurden wie derzeit bei Zcash wegen optionaler Privacy fast 80% relativ eindeutig zuordenbar sind, weil die meisten den anonymen Pool nur als Mixer Ersatz nutzen und wenn angenommen 18,123 reingehen und kurze Zeit später genau die gleiche Menge abzüglich Fees wieder herauskommt, ist nichts gewonnen. Das ist auch der Grund, warum Chainalysis und Co. Zcash bereits im Portfolio haben…
@Paul Janowitz
Im Zusammenhang mit der Verschleierung von IP-Adressen würde mich interessieren, wie weit die Entwicklung und Implementierung von Kovri gediehen ist. Hast Du da einen Einblick?
Kovri ist leider auf der Skala der gescheiterten Projekt in der Geschichte Monero’s an der Spitze. Anonimal, der Entwickler hat sich leider komplett wegentwickelt und wollte irgendwann im Alleingang ein Framework schaffen, das Tor, I2P, Freenet & Co. in den Schatten stellt, was einfach übermütig war, denn in die genannten Projekte ist bereits so viel Entwicklung über die Jahre geflossen, dass man wenn überhaupt ein Team von etlichen Entwicklern benötigt hätte. Alle Rufe, er soll sich auf das wesentliche konzentrieren verliefen leider im Sande, irgendwann wurde ihm das weitere Funding gestrichen, da er keinerlei Zwischenergebnisse gemäß der vereinbarten Milestones vorzeigen konnte.
Aber man hat anonimal nicht lange nachgetrauert und ein paar (unbezahlte) Developer aus der Community haben sich zusammengerafft und innerhalb weniger Tage I2Pzero auf die Beine gestellt, da es sich herausgestellt hat, dass man mittlerweile Java Builds ohne die Bug-/Security- anfällige Java Runtime bauen kann und man hat sich mit den ursprünglichen I2P Java Devs wieder vereinigt, das Resultat ist hier, ein maximal abgespeckter I2P Client (nicht nur für Monero):
https://github.com/i2p-zero/i2p-zero
In der CLI bereits nutzbar, in der GUI leider noch nicht ohne manuelle Konfiguration, aber ist in Arbeit. Dandelion++ war zwischenzeitlich wichtiger, um allen Nutzern die Verschleierung der IP-Adresse ohne Drittnetzwerke, die in vielen Regionen der Welt blockiert sind oder der Zugang erschwert wird, zu ermöglichen.
Weil es so schön hier reinpasst… Daniel Kim, der bereits mit dem Vortrag „Monero means Money“ in die US Kino Charts gekommen ist, während des Lockdowns mit ein paar kleinen Tricks, hat ein aktuelles Update gemacht. Da geht es nicht nur um Monero, sondern eher um die Geldpolitik, insbesondere in der aktuellen Pandemie:
https://youtu.be/aC9Uu5BUxII
Lustig, die Steuerbehörde (IRS) der USA hat gerade einen Auftrag über 500k USD ausgeschrieben, Monero zu tracken. Mit dem Vorwand von Ransomware, will man etwa die Lösegelder besteuern?
https://beta.sam.gov/opp/3b7875d5236b47f6a77f64c19251af60/view?index=opp
Entweder sie wissen nix von CipherTrace und arbeiten nicht mit dem DHS zusammen oder deren Tool ist unbrauchbar… Interessanterweise wird von den „Privacy Coins“ nur Monero genannt, allerdings in einem Zug mit Bitcoins Lightning Network.
Sorry für den Monolog, aber das Gutachten mit der rechtlichen Einschätzung durch eine renommierte internationale Kanzlei von „Privacy Coins“ ist fertig und öffentlich verfügbar:
https://www.perkinscoie.com/en/news-insights/anti-money-laundering-regulation-of-privacy-enabling-cryptocurrencies.html
Natürlich muss man dazu sagen, dass dieses Gutachten maßgeblich von Tari Labs finanziert wurde, deren angestrebtes Geschäftsmodell mit Monero steht oder fällt und eine Kanzlei wird immer versuchen, das Recht im Sinne seiner Mandanten auszulegen. Aber man muss auch sagen, dass es sich hierbei um eine renommierte Kanzlei handelt, die einen Ruf zu verlieren hat, sollte sie sich zu weit aus dem Fenster lehnen.
Gutachten im Auftrag der FATF oder anderen staatlichen Stellen kommen natürlich zu einem ganz anderen Ergebnis, wobei mich immer wieder verwundert, dass man die vollständige Überwachung der Finanzströme für selbstverständlich hält, obwohl diese erst seit Einführung elektronischer Zahlungsmöglichkeiten vor wenigen Jahrzehnten überhaupt möglich ist. Die Welt davor muss ein unglaublich schrecklicher Ort gewesen sein, als die Leute ausschließlich mit ihrem anonymen Bargeld hantiert haben!