Where is Wally is een bekend spel waarbij een specifiek personage – genaamd Wally – gezocht dient te worden in een tekening met veel details en andere personages. Hoe kan Paula (de prover ofwel de bewijzer) aan Victor (de verifier ofwel de verifieerder) bewijzen dat ze weet waar Wally is, zonder details over zijn positie in de figuur weer te geven? Paula kan een ondoorzichtige plaat nemen die zowel in de hoogte als in de breedte dubbel zo groot is als de figuur waarin Wally verborgen is. In het midden van de plaat is een gaatje ter grootte van Wally. Door de plaat zo te positioneren dat het gaatje enkel Wally toont, bewijst Paula aan Victor dat ze Wally gelokaliseerd heeft, zonder informatie over Wally’s locatie prijs te geven.

Dit is een voorbeeld van een zero-knowledge proof, of kortweg ZKP, wat een partij toelaat een bewering aan een andere partij te bewijzen zonder verder details over die bewering prijs te geven. Strikt genomen is het Wally-voorbeeld niet helemaal zero-knowledge, gezien ook informatie over de lichaamshouding en gezichtsexpressie van Wally prijsgegeven worden, wat kan helpen om hem te vinden.

Een ander voorbeeld, waarvoor een proof of concept gebouwd werd, bewijst aan het publiek dat het DNA van een presidentskandidaat niet voorkomt in een forensische DNA-database. De politie voert publiek beschikbare code uit op inputs die verborgen blijven voor het publiek: de DNA-database en het DNA-profiel van de presidentskandidaat. De output is “geen match”, “gedeeltelijke match” of “volledige match”. Het publiek – althans de cryptografen onder hen – is ervan overtuigd dat het resultaat de correcte uitvoering is van de code op de confidentiële inputs. De bewering die hier bewezen wordt m.b.v. een ZKP heeft betrekking tot de integriteit van berekeningen op confidentiële data.

Anonieme credentials, die in een vorig artikel besproken werden, laten daarentegen burgers toe om  eigenschappen over henzelf selectief te bewijzen, zoals meerderjarigheid, nationaliteit of bezit van een geldig rijbewijs. Anonieme credentials maken intensief gebruik van ZKPs. Ook ZKP’s op zich kunnen, zoals we verder in dit artikel zullen zien, aangewend worden voor selectieve prijsgave van persoonsgegevens.

Samengevat stellen ZKPs een partij, de prover, in staat om zonder een vertrouwde tussenpartij, aan een andere partij, de verifier, beweringen te bewijzen. Deze beweringen kunnen betrekking hebben op berekeningen op confidentiële data, maar ook op eigenschappen (attributen) van een burger (of zelfs een dier of object).

Formeel worden drie criteria gedefinieerd waar een ZKP aan moet voldoen:

1. 1. Volledigheid (completeness). Als de bewering waar is, dan zal een verifier hiervan overtuigd worden.
   2. Degelijkheid (soundness). Als de bewering onwaar is, dan kan de prover de verifier in de praktijk niet ten onrechte overtuigen van het tegendeel.
   3. Nulkennis (Zero-knowledge). Als de bewering waar is, dan leert de verifier niets meer dan die bewering.

Dit artikel bespreekt twee belangrijke use cases voor ZKPs: het verbeteren van schaalbaarheid en privacy van blockchaintoepassingen, en privacy-vriendelijk identiteitsbeheer van burgers.

Blockchain

In de literatuur werden reeds heel wat potentiële use cases gedefinieerd voor ZKPs, hoewel vandaag maar een beperkt aantal zich ook in de praktijk gerealiseerd heeft. Eén van de grote toepassingsdomeinen is Blockchain en virtuele munten (cryptocurrencies).

ZKPs worden er gebruikt om de privacy van transacties te verbeteren. In Bitcoin en enkele andere virtuele munten zijn voor elke transactie zowel het adres (het rekeningnummer) van de zender, het adres van de ontvanger, en het getransfereerd bedrag voor iedereen zichtbaar; alles wordt op de blockchain gepubliceerd. Dit is verre van ideaal vanuit privacy-perspectief.

De virtuele munt Zcash geeft gebruikers de mogelijkheid om m.b.v. ZKPs die drie zaken te verbergen. Daarvoor gebruikt het zk-SNARKs (Zero-Knowledge Succinct Non-Interactive Arguments of Knowledge), die in 2012 ontwikkeld werden en voor het eerst toegepast werden in Zcash. De S in zk-SNARKs staat voor ‘succint’, oftewel ‘beknopt’. ZKPs in Zcash kunnen ‘binnen enkele milliseconden worden geverifieerd en zijn slechts een paar honderd bytes lang’.

Naast privacy worden ZKP ook gebruikt om de schaalbaarheid van blockchains te verhogen. De beperkte capaciteit van blockchains stimuleerde de community om intensief op zoek te gaan naar manieren om beter te schalen, zonder aan veiligheid of snelheid in te boeten. Betere schaalbaarheid betekent dat een transactie minder resources vereist en dus dat de transactiekosten verlagen. Een van de meest veelbelovende aanpakken zijn zk-rollups, die op de Ethereum blockchain gebruikt worden door onder meer Starknet, ZKsync en Polygon. In plaats van elke transactie afzonderlijk op de blockchain te plaatsen, worden ze off-chain gebundeld, uitgevoerd, en wordt enkel het resultaat, samen met een ZKP van correcte uitvoering, op de blockchain geplaatst. Er worden daarbij minder bytes naar de blockchain geschreven, en het verifiëren van het ZKP gaat sneller dan het verifiëren van alle individuele transacties. Er is dus zowel minder opslag als rekenkracht vereist.

Daarnaast wordt gewerkt aan ZKP om te bewijzen dat een smart contract (code) correct uitgevoerd werd. Ook hier is de reden schaalbaarheid; telkens wanneer een functie van een smart contract (code op de blockchain) vandaag aangeroepen wordt, voert elke blockchain node exact dezelfde code uit. Het idee is dat één node het smart contract uitvoert en de correcte uitvoering bewijst. De andere nodes verifiëren het bewijs. Indien dit efficiënter kan dan het uitvoeren van een smart contract, verhogen we de schaalbaarheid.

Identiteitsbeheer

Met behulp van anonieme credentials – die beroep doen op ZKPs – kan een burger selectief eigenschappen over haarzelf prijsgeven, bijvoorbeeld meerderjarigheid. De realiteit is helaas dat anonieme credentials door geen enkel land of regio op grote schaal geadopteerd werden in identiteitsdocumenten. Recenter onderzoek verlegt daarom de focus: op basis van een bestaand identiteitsdocument wordt een ZKP gegenereerd. Recent academisch werkt focuste op het Amerikaanse paspoort en rijbewijs.

De VUB publiceerde eerder dit jaar onderzoek dat zich richtte op de Belgische identiteitskaart. Het onderzoek gebeurde in het kader van het door Innoviris gefinancierde SDM project. Het is een veelbelovend werk dat weliswaar nog een aantal uitdagingen voor de boeg heeft. Een eerste is de lage efficiëntie; het duurt op een laptop 22 seconden om een bewijs te genereren, wat verder zal toenemen op een smartphone. Een tweede uitdaging is revokatie; wanneer een eID kaart verloren gaat of gestolen wordt en als gevolg daarvan de certificaten op de kaart gerevokeerd worden, mag men niet langer in staat zijn ZKPs te genereren.  

De VUB wil nog een stap verder gaan; ZKPs gebruiken om aan te tonen dat een burger bepaalde rechten heeft, zonder verdere persoonsgegevens prijs te geven. Zo zou een burger in de toekomst kunnen bewijzen aan de voorwaarden van budgethuren te voldoen, zonder verdere details over het waarom prijs te geven.

Itsme kondigde recent haar Itsme Qualify aan, waarbij selectief persoonsgegevens prijsgegeven worden m.b.v. ZKPs. Momenteel wordt enkel leeftijdsverificatie ondersteund, maar Itsme is van plan dit verder uit te breiden. Uw auteur kon helaas geen publiek beschikbare details vinden over de werking en slaagde er niet in meer informatie van Itsme te bekomen. Hopelijk is dit gebrek aan transparantie slechts een tijdelijk gegeven, want ZKPs, net zoals alle andere cryptografie, is het veiligst indien alle details publiek zijn en door experten gevalideerd kunnen worden.

Ten slotte geven we nog mee dat er oplossingen zijn voor identiteitsbeheer die blockchain en ZKPs combineren. Privado ID is een van de meer zichtbare initiatieven en was tot voor kort gekend onder da naam Polygon ID. Een issuer bevestigt er persoonlijke attributen van een prover – waaronder bijvoorbeeld de geboortedatum – door een speciaal gevormde hashwaarde van de set van attributen op een blockchain netwerk zoals Ethereum te plaatsen. De prover kan nu aan de hand daarvan aan een verifier selectief persoonsgegevens – zoals meerderjarigheid – over haarzelf bewijzen. Bemerk dat alle ZKPs die dezelfde hashwaarde als basis gebruiken aan elkaar gelinkt kunnen worden. 

Kwantumresistentie

Zoals reeds uitvoerig in eerdere Smals Research artikels toegelicht, is er het gevaar dat krachtige kwantumcomputers in de toekomst moderne publieke sleutelcryptografie zouden kunnen breken.

Technologieën zoals zk-SNARKs en Bulletproofs, die toelaten de correctheid van berekeningen te bewijzen, zijn alvast niet kwantumresistent. Onder meer daarom werden in 2018 zk-STARKs ( Zero-Knowledge Scalable Transparent Arguments of Knowledge) geïntroduceerd. Zoals geïllustreerd in onderstaande figuur, blijft de computationele efficiëntie hoog, maar worden de bewijzen wel vele malen groter. Niettemin worden ze reeds gebruikt voor schaalbaarheid en privacy door onder meer StarkNet and StarkEx, wat beiden schalingsoplossingen voor Ethereum zijn.

Vergelijking van drie ZKP oplossingen voor het bewijzen van berekeningen (bron)

Kwantumresistente ZKPs voor berekeningen zijn dus mogelijk, al worden de bewijzen een pak groter. Hun uptake door de blockchain community blijft vooralsnog beperkt; zk-SNARKs zijn nog steeds de dominante ZKP-technologie in blockchain context. Ook het werk van de VUB rond identiteitsbeheer maakt vandaag gebruik van zk-SNARKs.

Conclusie

Zero-knowledge proofs bestaan al enkele decennia en er is sindsdien heel wat onderzoek en ontwikkeling gebeurd. We identificeerden in dit artikel de twee voornaamste use cases:

• Privacy en schaalbaarheid op blockchain netwerken. ZKP technologie laat toe te bewijzen dat een berekening op confidentiële data correct uitgevoerd is. Dit kan relatief snel gebeuren en helpt om blockchainnetwerken schaalbaarder te maken. Hoewel het in theorie ook buiten blockchain toegepast kan worden, zien we dit (nog?) niet in de praktijk. Werken met centrale partijen en wetgeving is vandaag eenvoudiger toe te passen en makkelijker uit te leggen.
• Privacy-vriendelijk identiteitsbeheer. ZKP technologie laat toe om selectief persoonsgegevens over jezelf prijs te geven. Dit kan op basis van klassieke identiteitsdocumenten, zoals de Belgische eID kaart, ofwel kunnen identiteitsdocumenten uitgegeven worden onder de vorm van anonieme credentials. De ZKPs kunnen computationeel erg zwaar worden, zeker wanneer we gebruik maken van kwantumresistente technologie en wanneer van bestaande, officiële identiteitsdocumenten vertrokken wordt. 

Het gebruik van technologie voor ZKPs en anonieme credentials om de privacy te verbeteren komt met een aantal uitdagingen. We hadden het reeds over efficiëntie, kwantumresistentie en revocatie. Verder moet rekening gehouden worden met het gebrek aan standaarden, het risico dat contextinformatie, zoals een IP adres, de privacy alsnog teniet doet, en de mogelijke impact op de gebruikservaring voor de burger doordat die met een extra venster moet afrekenen.

Wellicht onder meer daardoor stelde Gartner in 2024 dat ZKP-technologie verouderd (“obsolete”) is, wat onder cryptografen tot enige verontwaardiging leidde. Gartner verwijderde de technologie nadien uit hun hype cycles. Ondanks het gebruik van ZKPs in Web3 (blockchain) en een beperkt aantal setups voor digitale identiteit, stagneert volgens Gartner de interesse in de technologie. Dit werd eerder dit jaar bevestigd toen Sovrin haar blockchain netwerk voor SSI (self-sovereign identity) uitdoofde. De toekomst zal uitwijzen of Gartner gelijk krijgt. Dit zou tragisch zijn, gezien de kracht en veelzijdigheid van deze technologie, waar onderzoekers reeds meerdere decennia aan werken en die nochthans heel wat potentieel zou moeten hebben in de publieke sector.

Aarzel niet ons te contacteren bij interesse!

Où est Charlie ? est un jeu bien connu qui consiste à trouver un personnage spécifique – appelé Charlie – dans un dessin très détaillé où figurent de nombreux autres personnages. Comment Paula (fournisseur de preuve ou prouveur) peut-elle prouver à Victor (vérificateur) qu’elle sait où se trouve Charlie sans révéler de détails sur sa position dans l’image ? Paula peut se servir d’un cache dont la hauteur et la largeur sont deux fois plus grandes que celles de l’image dans laquelle est caché Charlie. Au centre du cache se trouve un trou de la taille de Charlie. En positionnant le cache de manière à ce que le trou laisse entrevoir Charlie uniquement, Paula prouve à Victor qu’elle a localisé Charlie sans révéler d’informations sur son emplacement.

Il s’agit là d’un exemple de preuve à divulgation nulle de connaissance (en anglais zero-knowledge proof), ou preuve ZK, qui permet à une partie de prouver une affirmation à une autre partie sans divulguer plus de détails sur cette affirmation. À strictement parler, l’exemple de Charlie n’est pas tout à fait sans divulgation de connaissance, car des informations sur la posture et l’expression faciale de Charlie sont également divulguées, ce qui peut aider à le retrouver.

Un autre exemple, pour lequel une preuve de concept a été élaborée, permettrait de prouver au public que l’ADN d’un candidat à la présidence n’est pas répertorié dans une base de données ADN médico-légale. La police exécuterait un code accessible au public sur des données qui resteraient cachées au public : la base de données ADN et le profil ADN du candidat à la présidence. Le résultat pourrait être “aucune correspondance“, “correspondance partielle” ou “correspondance complète“. Le public – du moins les cryptographes parmi eux – serait alors convaincu que le résultat est l’exécution correcte du code sur les données confidentielles. L’affirmation prouvée ici à l’aide d’une preuve ZK concerne l’intégrité des calculs sur des données confidentielles .

Les titres numériques anonymes, abordés dans un précédent article, permettent en revanche aux citoyens de prouver de manière sélective certaines caractéristiques les concernant, telles que leur majorité, leur nationalité ou la détention d’un permis de conduire valide. Les titres numériques anonymes recourent intensivement aux preuves ZK. Comme nous le verrons plus loin dans cet article, les ZKP peuvent également être utilisés pour la divulgation sélective de données à caractère personnel.

En résumé, les preuves ZK permettent à une partie, le prouveur, de prouver des affirmations à une autre partie, le vérificateur, sans intermédiaire de confiance. Ces affirmations peuvent donc porter sur des calculs sur des données confidentielles, mais aussi sur des caractéristiques (attributs) d’un citoyen (ou même d’un animal ou d’un objet).

Formellement, une preuve ZK doit répondre à trois critères :

1. Complétude (completeness). Si l’affirmation est vraie, un vérificateur en sera convaincu.
2. Robustesse (soundness). Si l’affirmation est fausse, le prouveur ne peut pas, dans la pratique, convaincre à tort le vérificateur du contraire.
3. Zéro-connaissance (zero-knowledge). Si l’affirmation est vraie, le vérificateur n’apprend rien de plus que cette affirmation.

Cet article aborde deux cas d’utilisation importants pour les ZKP : l’amélioration de l’évolutivité et de la confidentialité des applications blockchain d’une part, et la gestion de l’identité des citoyens dans le respect de la vie privée d’autre part.

Blockchain

De nombreux cas d’usage potentiels ont déjà été définis dans la littérature, même si, à ce jour, seul un nombre limité d’entre eux ont été mis en pratique. L’un des principaux domaines d’application est celui de la blockchain et des monnaies virtuelles (cryptomonnaies).

Les preuves ZK y sont utilisées pour améliorer la confidentialité des transactions. Dans le Bitcoin et quelques autres monnaies virtuelles, l’adresse (le numéro de compte) de l’expéditeur, l’adresse du destinataire et le montant transféré sont visibles par tous pour chaque transaction ; tout est publié sur la blockchain. Une situation loin d’être idéale sur le plan de la confidentialité…

La monnaie virtuelle Zcash permet aux utilisateurs de dissimuler ces trois éléments à l’aide de preuves ZK. Pour ce faire, elle recourt aux zk-SNARKs (Zero-Knowledge Succinct Non-Interactive Argument of Knowledge), développés en 2012 et appliqués pour la première fois par Zcash. Le S dans zk-SNARKs signifie “succint“, soit “concis” en français. Les preuves ZK dans Zcash peuvent “être vérifiées en quelques millisecondes et ne font que quelques centaines d’octets”.

Outre la confidentialité, les preuves ZK sont également utilisées pour augmenter l’évolutivité des blockchains. La capacité limitée des blockchains a incité la communauté à rechercher activement des moyens d’améliorer l’évolutivité sans compromettre la sécurité ou la vitesse. Une meilleure évolutivité signifie qu’une transaction nécessite moins de ressources avec, à la clé, une baisse des coûts de transaction. L’une des approches les plus prometteuses est celle des zk-rollups, utilisés sur la blockchain Ethereum par Starknet, ZKsync et Polygon entre autres. Au lieu de placer chaque transaction séparément sur la blockchain, celles-ci sont regroupées hors chaîne, exécutées et seul le résultat, accompagné d’une preuve ZK de bonne exécution, est placé sur la blockchain. Cela permet de réduire le nombre d’octets écrits sur la blockchain, et la vérification de la preuve ZK est plus rapide que la vérification de toutes les transactions individuelles. Un espace de stockage et une puissance de calcul moindres sont donc requis.

Parallèlement, des preuves ZK sont en cours d’élaboration pour démontrer qu’un smart contrat (code) a été correctement exécuté. Là encore, la raison est l’évolutivité : chaque fois qu’une fonction d’un smart contract (code sur la blockchain) est appelée aujourd’hui, chaque nœud de la blockchain exécute exactement le même code. L’idée est qu’un seul nœud exécute le smart contract et prouve sa bonne exécution. Les autres nœuds vérifient la preuve. Si une preuve ZK est plus efficace que l’exécution du smart contract, on augmente l’évolutivité.

Gestion de l’identité

Les titres numériques anonymes – qui font appel aux preuves à divulgation nulle de connaissance (zero knowledge proof – ZKP) – permettent à un citoyen de divulguer de manière sélective des informations le concernant, par exemple sa majorité. Dans la réalité, malheureusement, aucun pays ou région n’a massivement adopté les titres numériques anonymes dans les documents d’identité. Aussi des recherches plus récentes se sont-elles penchées sur d’autres pistes, à savoir la génération d’une ZKP sur la base d’un document d’identité existant. Des travaux académiques récents se sont concentrés sur le passeport et le permis de conduire aux États-unis.

Durant l’été 2025, la VUB a publié une étude consacrée à la carte d’identité belge.
Cette étude s’inscrit dans le cadre du projet SDM financé par Innoviris. S’il s’agit d’un travail prometteur, il comporte toutefois divers défis. Un premier défi concerne la faible efficacité : il faut 22 secondes à un ordinateur portable pour générer une preuve, délai qui sera encore plus long sur un téléphone. La révocation représente un deuxième défi : lorsqu’une carte eID est perdue ou volée et que les certificats sur la carte sont révoqués en conséquence, il ne doit plus être possible de générer des ZKP.  

La VUB souhaite aller encore plus loin, à savoir utiliser les ZKP pour démontrer qu’un citoyen dispose de certains droits, sans divulguer d’autres données à caractère personnel. À l’avenir, un citoyen pourrait ainsi prouver qu’il remplit les conditions pour bénéficier d’un loyer modéré, sans avoir à donner de plus amples informations à ce sujet.

Itsme a récemment annoncé son Itsme Qualify, qui autorise une divulgation sélective de données à caractère personnel au moyen de ZKP. Actuellement, seule la vérification de l’âge est prise en charge, mais itsme prévoit d’étendre cette fonctionnalité. Malheureusement, votre auteur n’a pas pu trouver de détails accessibles au public sur cette fonctionnalité et n’est pas parvenu à obtenir plus d’informations auprès d’itsme. Il est à espérer que ce manque de transparence ne soit que temporaire, car les ZKP, comme toute autre cryptographie, sont plus sûrs lorsque tous les détails sont publics et peuvent être validés par des experts.

Enfin, sachez qu’il existe des solutions de gestion d’identité qui combinent la « blockchain » et les ZKP. Privado ID est l’une des initiatives les plus visibles qui était jusqu’à récemment connue sous le nom de Polygon ID. Un émetteur y confirme les attributs personnels d’un citoyen – par exemple la date de naissance – en plaçant une valeur de hachage spécialement formée à partir de l’ensemble des attributs sur un réseau blockchain comme Ethereum. Le citoyen peut alors s’en servir pour prouver de manière sélective à un tiers des informations à caractère personnel le concernant, telles que sa majorité. Notez que tous les ZKP qui utilisent la même valeur de hachage comme base peuvent être liés entre eux. 

Résistance quantique

Comme déjà expliqué en détail dans des articles précédents de Smals Research, il existe un risque que de puissants ordinateurs quantiques puissent à l’avenir briser la cryptographie moderne à clé publique.

Les technologies telles que zk-SNARK et Bulletproofs, qui permettent de prouver l’exactitude des calculs, ne sont pas résistantes aux ordinateurs quantiques. C’est notamment pour cette raison que les zk-STARKs (Zero-Knowledge Scalable Transparent Arguments of Knowledge) ont vu le jour en 2018. Comme l’illustre la figure ci-dessous, l’efficacité computationnelle reste élevée, mais les preuves sont beaucoup plus volumineuses. Néanmoins, elles sont déjà utilisées à des fins d’évolutivité et de confidentialité entre autres par StarkNet et StarkEx, qui sont tous deux des solutions d’évolutivité pour Ethereum.

Comparaison de trois solutions ZK pour prouver des calculs (source)

Des preuves ZK résistantes à l’informatique quantique pour les calculs sont donc possibles, même si les preuves deviennent beaucoup plus volumineuses. Leur adoption par la communauté blockchain reste pour l’instant limitée ; les zk-SNARKs demeurent la technologie ZK dominante dans le contexte de la blockchain. Le travail de la VUB sur la gestion d’identité utilise également aujourd’hui les zk-SNARKs.

Conclusion

Les preuves à divulgation nulle de connaissance existent depuis plusieurs décennies et ont déjà fait l’objet de nombreux développements et recherches. Dans cet article, nous avons identifié les deux principaux cas d’utilisation :

• Confidentialité et évolutivité sur les réseaux blockchain. La technologie ZKP permet de prouver qu’un calcul sur des données confidentielles a été effectué correctement. Ceci peut se faire relativement rapidement et contribue à accroître l’évolutivité des réseaux blockchain. Bien qu’elle puisse en théorie être appliquée en dehors de la blockchain, on n’y assiste pas (encore ?) dans la pratique. Travailler avec des parties centrales et la législation est aujourd’hui plus facile à mettre en œuvre et à expliquer.
• Gestion d’identité dans le respect de la vie privée. La technologie ZKP permet de divulguer de manière sélective des données à caractère personnel vous concernant. Cela peut se faire sur la base de documents d’identité classiques, tels que la carte d’identité électronique belge. De même, des documents d’identité peuvent être délivrés sous la forme de titres numériques anonymes. Les ZKP peuvent être très lourds sur le plan computationnel, surtout lorsque l’on utilise une technologie résistante à l’informatique quantique et que l’on part de documents d’identité officiels existants. 

L’utilisation de la technologie pour les ZKP et les titres numériques anonymes pour améliorer la confidentialité pose un certain nombre de défis. Nous avons déjà évoqué la performance, la résistance à l’informatique quantique et la révocation. Il faut également tenir compte de l’absence de normes, du risque que des informations contextuelles, telles qu’une adresse IP, compromettent la confidentialité, ainsi que de l’impact potentiel sur l’expérience utilisateur pour le citoyen, qui doit passer par une fenêtre supplémentaire.

C’est peut-être en partie pour cette raison que Gartner a déclaré en 2024 que la technologie ZKP était obsolète, ce qui a suscité une certaine indignation parmi les cryptographes. Malgré l’utilisation des preuves ZK dans Web3 (blockchain) et un nombre limité de configurations pour l’identité numérique, l’intérêt pour cette technologie stagne selon Gartner. Cela a été confirmé plus tôt cette année lorsque Sovrin a supprimé son réseau d’identité auto-souveraine (SSI – self-sovereign identity). L’avenir nous dira si Gartner a raison. Ce serait tragique, compte tenu de la puissance et de la polyvalence de cette technologie, sur laquelle les chercheurs travaillent depuis plusieurs décennies et qui devrait pourtant avoir un potentiel considérable dans le secteur public.

N’hésitez pas à nous contacter si vous êtes intéressé !

(FR) Circom est un framework pour les preuves à divulgation nulle de connaissance programmables. Il permet de prouver efficacement des connaissances ou des propriétés, tout en gardant secrètes les données sous-jacentes à partir desquelles ces connaissances ou propriétés sont dérivées.

Definitie

De term werd in 2014 bedacht door Ethereum co-oprichter Gavin Woods, waarbij hij verwees naar een “decentralized online ecosystem based on blockchain.” Samen met de marktwaarde van de cryptocurrencies explodeerde in 2021 ook de populariteit van de term.

Web3 is geen specifieke technologie, maar wel een visie. Het is een relatief vaag idee, zonder scherpe definitie. Web3 vertrekt van Web1 en Web2. Web1 was het read-only Internet waar je enkel zaken kon consulteren. Web2 is het read-write Internet, waar je ook zaken kunt publiceren, onder meer via allerlei sociale media. Met Web2 werd het Internet interactief, maar tegelijkertijd ook gecentraliseerd rond een aantal grote platformen. Web3 wil die centralisatie breken, waarbij de burger – en niet langer die grote platformen – controle heeft over haar eigen bezittingen en identiteit (persoonsgegevens). Web3 zou dan ook het ownership Internet worden. 

Om dit mogelijk te maken wil Web3 verder bouwen op concepten uit de wereld van de publieke blockchains, zoals onder meer cryptocurrencies, NFT’s en DeFi (decentralized finance). In Web3 wordt alles van waarde getokenized, wat betekent dat het een uniek nummer krijgt op een publieke blockchain zoals Ethereum. Dit nummer noemt men de token en is doorgaans direct verhandelbaar, zonder tussenpartij, met een cryptocurrency als ruilmiddel. 

Laat ons eens kijken naar enkele cruciale kenmerken van Web3: we beginnen in de volgende sectie met de token-economie, hebben het daarna over de belofte om burgers opnieuw controle te geven, gaan vervolgens verder met decentralisatie en bespreken, voor we naar de conclusie springen, complexiteit en efficiëntie.

De token-economie

Centraal in Web3 is het idee van de token-economie. Dit wil zeggen dat alles met een mogelijk commerciële waarde een uniek nummer krijgt op een publieke blockchain. Daardoor wordt het voor iedereen zichtbaar, kan iedereen er op elk moment op bieden en kan het op elk moment verhandeld worden.

Dit is het model dat vandaag reeds gebruikt wordt voor NFT’s. Een NFT is doorgaans een digitaal verzamelkaartje (collectible) met een beperkte oplage. Onderliggend is dit een unieke identifier op een publieke blockchain (zoals Ethereum of Solana), samen met een verwijzing naar de bijhorende afbeelding. Veelal is die verwijzing niet meer dan een link naar een (vervangbare!) afbeelding die elders – centraal of decentraal – bewaard wordt. Eigendom van een NFT impliceert overigens niet per se rechten op de onderliggende afbeelding. 

Het spelen van games doe je in Web3 niet langer voor je plezier, maar omdat je er verhandelbare – en doorgaans sterk volatiele – tokens mee kan verdienen in play-to-earn games, zoals Axie Infinity. Om Axie Infinity te kunnen spelen, moet je wel eerst drie Axie NFT’s aankopen. Te duur? Geen probleem, dan ga je – zoals duizenden weinig benijdenswaardige Filipijnen – gewoon in dienst bij iemand die rijker is en 30% tot 50% van je Axie inkomen opstrijkt. Dit alles in een ongereguleerde virtuele wereld. Ook betrokkenheid op sociale media wordt een financiële transactie dankzij Steemit en je persoonsgegevens kun je verkopen aan de hoogste bieder, in ruil voor cryptocurrencies.

Web3 is dus niet enkel een technologische maar ook een maatschappelijke visie, die samengevat wordt als “monetize everything”, waarbij alles een financiële transactie wordt, bij voorkeur zonder toezichthoudende autoriteiten. Laten we als samenleving ons eerst de vraag stellen of we dit model echt willen vooraleer we het omarmen. 

Controle en aansprakelijkheid

Een wallet die je volledige controle geeft over zowel je bezittingen als je identiteit, lijkt bijzonder aantrekkelijk. Wat zelden vermeld wordt, is dat in het huidige blockchain model niet enkel de controle, maar ook de verantwoordelijkheid, onder meer om alles veilig te houden en geen dwaasheden te begaan, volledig bij de burger komt te liggen, en dat alle klassieke vangnetten er afwezig zijn. De burger heeft in dit model niemand buiten zichzelf om aansprakelijk te stellen als het fout loopt.

Verlies of diefstal van de private sleutel die je wallet beschermt, impliceert bijgevolg verlies of diefstal van de volledige inhoud. Er zijn inderdaad talloze voorbeelden van geslaagde phishing aanvallen waarbij cryptocurrencies of NFT’s uit wallets gestolen werden of onherroepelijk verloren gingen. Dit model toepassen op alles van waarde, zoals beleggingen, vastgoed en je identiteit lijkt dan ook een bijzonder slecht idee.

Het bouwen van de noodzakelijke vangnetten is mogelijk, maar zal onvermijdelijk niet alleen leiden tot centralisatie, maar ook tot een verdere toename van de al hoge technische complexiteit van Web3. Laat ons daarbij niet vergeten dat complexiteit de vijand is van veiligheid, gezien het de kans op kwetsbaarheden doet toenemen.

Decentralisatie

Blockchain wordt vaak in één adem genoemd met decentralisatie, waarmee in de eerste plaats bedoeld wordt dat er geen autoriteiten meer zouden zijn die vertrouwd hoeven te worden. In realiteit blijft daar vandaag in de bestaande publieke blockchain netwerken maar weinig van over. Een aantal voorbeelden:

• Het verhandelen van cryptocurrencies verloopt grotendeels via een beperkt aantal handelsplatformen (exchanges), zoals Binance en Coinbase. Een aantal exchanges ging recent faïlliet, wat een verdere centralisatie in de hand werkt.
• Bij proof-of-work blockchain netwerken zoals Bitcoin is de mining activiteit sterk gecentraliseerd. Ook hier wordt dit in de hand gewerkt door recente failissementen of vereffeningen. Proof-of-stake blockchain netwerken zoals Ethereum hebben het nadeel dat je al over een stevige virtuele buidel moet beschikken om geld te verdienen met mining (eigenlijk ‘staking’). In het geval van Ethereum moet je over minimum 32 Ether beschikken (ongeveer €40 000 op het moment van schrijven).
• Publieke blockchain netwerken zijn in toenemende mate afhankelijk van infrastructuur van grote cloud spelers. Op het moment van schrijven draaien bijvoorbeeld bijna 40% van de Ethereum nodes op Amazon infrastructuur.
• De rijkdom in de cryptocurrencies is veel sterker gecentraliseerd dan in de reële wereld. Burgers of bedrijven die grote hoeveelheden cryptocurrencies bezitten, de zogenaamde whales (walvissen), zijn in staat tot koersmanipulaties. Grote speculanten beschikken trouwens over high-frequency trading algoritmes, wat hen een voordeel oplevert t.o.v. particuliere beleggers.
• Het veruit meest dominante platform voor het verhandelen van NFTs is OpenSea.
• Net zoals onder de browsers zal ook onder de wallets een consolidatie plaatsvinden, waarbij de markt uiteindelijk onder een paar grote spelers verdeeld zal worden. MetaMask, een populaire wallet client voor cryptocurrencies, is ondertussen in handen van bedrijven zoals Microsoft en J.P. Morgan. De privacy policy zou toelaten dat de wallet de IP adressen van burgers doorstuurt naar een centrale server.

Nu kan geargumenteerd worden dat dit allemaal maar kinderziektes zijn en dat daar wel oplossingen voor gevonden kunnen worden. Dit is een hoogst bedenkelijke hypothese. De meeste burgers en bedrijven hebben nu eenmaal geen zin om zelf hun servers op te zetten en te onderhouden. Ze besteden dit liever uit. Dit leidt tot specialisatie, wat dan weer leidt tot efficiëntiewinsten en… centralisatie.

Centrale platformen evolueren trouwens veel sneller dan gedecentraliseerde protocollen. Na meer dan 30 jaar is e-mail – één van de oudste gedecentraliseerde protocollen – nog steeds niet versleuteld terwijl WhatsApp in een jaar tijd overschakelde van onversleutelde berichten naar volledig end-to-end-versleuteling. Deze logica werkt centralisatie in de hand.  

Deze onvermijdelijke tendens tot centralisatie van publieke blockchainnetwerken is incompatibel met de Web3 visie.

Complexiteit en Efficiëntie

Gedurende de blockchain hype een paar jaar terug formuleerde ik op mijn lezingen geregeld de volgende stelling: “Alles wat met blockchain mogelijk is, is vanuit technisch standpunt op een efficiëntere wijze mogelijk zonder blockchain”, dus op een gecentraliseerde wijze. De stelling werd tot op heden op geen enkel moment ondergraven. De mogelijkheid om iets op een bepaalde manier te realiseren zegt inderdaad niets over de wenselijkheid of noodzaak ervan. 

Blockchain is inderdaad geen technologie die uitblinkt in elegantie. Meerdere partijen moeten onafhankelijk van elkaar een node opzetten, onderhouden en beveiligen, doen exact dezelfde berekeningen, en houden kopieën van dezelfde data bij tot in de eeuwigheid. Bij publieke blockchain netwerken zoals Ethereum spreken we al snel over meerdere duizenden nodes. Een dergelijke aanpak gaat onvermijdelijk gepaard met een aanzienlijke communicatie-overhead. Bovendien is extra complexiteit vereist om de transparantie van blockchain te verzoenen met privacy en confidentialiteit. Ten slotte is er de problematiek van de schaalbaarheid. 

Geregeld wordt gesteld dat een bepaalde blockchaintechnologie ecologisch duurzaam zou zijn, waarbij – impliciet of expliciet – het hyperinefficiënte Bitcoin, met haar proof-of-work, als referentie genomen wordt. Digiconomist maakt echter ook terecht de vergelijking met meer gecentraliseerde systemen en stelt: “It is worth noting that blockchain technology in general is not energy-efficient compared to more centralized alternatives.” Dit is een logisch gevolg van de net geschetste overhead en complexiteit.

Vaak heeft men het over de blockchain. Er zijn echter heel wat publieke blockchains. Soms komt er eentje bij, soms valt er eentje uit de gratie, en soms splitst er eentje zodat er opeens twee zijn die tot het moment van de splitsing dezelfde historiek delen. De vraag rijst welke gezaghebbend is. Ter illustratie: een NFT gekocht op een blockchain die later splits, resulteert in twee identieke NFT’s op twee verschillende blockchains, die apart verhandeld kunnen worden. Tokens, zoals NFT’s, zijn enkel uniek per blockchain. 

Een benadering gebaseerd op een publieke blockchain dreigt dus snel complex, inefficiënt en duur te worden. Dit is een hoge prijs om in ruil de falende Web3 decentralisatie uit de vorige sectie te krijgen. 

Conclusie

In 2017 ging ik luisteren naar een workshop over Bitcoin en blockchain technologie. Op mijn vragen over schaalbaarheid en privacy van Bitcoin, kreeg ik als antwoord: “Slimme mensen zullen dit allemaal wel oplossen”. Dit is geen ernstig antwoord maar wel een uitdrukking van een blind geloof dat we opnieuw terugvinden in de Web3 visie.

Dat geloof zouden we beter opbergen. Web3 propageert immers een model dat op technisch vlak inefficiënt en complex is, dat haar belofte van decentralisatie onmogelijk waar zal kunnen maken en dat op maatschappelijk vlak bedenkelijk is.

Een wallet die burgers toelaat makkelijker hun bezittingen en identiteit te beheren is op zich geen slecht idee, maar dan enkel mits aanwezigheid van de nodige garanties, controles en vangnetten. Misschien blijkt de publieke blockchain aanpak van Web3 dan toch niet de beste keuze.

Dit is een ingezonden bijdrage van Kristof Verslype, cryptograaf bij Smals Research. Het werd geschreven in eigen naam en neemt geen standpunt in namens Smals.

Dank aan collega’s Joachim Ganseman, Fabien Petitcolas en Koen Vanderkimpen voor hun feedback.

Bron afbeelding: Pixabay and Pixabay

Dit is een stap in de verdere digitalisering en zou moeten leiden tot een reductie van de hoeveelheid administratieve overhead en, meer algemeen, in meer gemak en transparantie voor de burger. Europa doet echter geen uitspraak over de onderliggende technologie. Dit kunnen de individuele lidstaten zelf bepalen. Er zijn inderdaad verschillende – al dan niet hybride – mogelijkheden, waaronder benaderingen gebaseerd op blockchain technologie. Om een onderbouwde keuze te kunnen maken zijn echter objectieve criteria nodig, alsook voldoende kennis over elk van die technologieën.

Dit artikel wil een bijdrage leveren aan het debat door een aantal uitdagingen te formuleren, die vooral voor de – nieuwere, nog relatief ongekende – gedecentraliseerde blockchain systemen pertinent zijn. De digitale portefeuille (wallet) die elke burger in dit model ter beschikking zou krijgen, is sterk geïnspireerd op de wallets uit de wereld van de cryptocurrencies. De eerste zullen we voortaan benoemen als identity wallets en zijn nog niet zeer volwassen. De tweede zijn de cryptocurrency wallets die al jaren bestaan en wereldwijd massaal gebruikt worden. We kunnen er dus uit leren en het loont dan ook de moeite eerst deze onder de loupe te nemen.

Cryptocurrency wallets

Bitcoin, alsook de meeste andere cryptocurrencies vertrekken vanuit de filosofie dat centrale entiteiten –  in de eerste plaats de banken – niet vertrouwd mogen worden. Cryptocurrencies laten daarom toe om waarde digitaal te transfereren, zonder een bank. Een uitdrukking van dit idee vinden we in de populaire cryptocurrency slogan “Be your own bank”. Eigenaars van virtueel geld die beslissen hun eigen bank te zijn, beheren zelf op hun eigen computer een wallet. Een wallet heeft een of meerdere adressen, wat unieke nummers zijn waar cryptocurrencies naar getransfereerd kunnen worden.

Je eigen bank zijn klinkt dan wel interessant, gezien je de controle in eigen handen neemt en je volledig zelf beslist wat er met je virtueel geld gebeurt. Wat velen over het hoofd zien – of op zijn minst onderschatten – is dat met die controle ook verantwoordelijkheid komt. Dit houdt in dat elke eigenaar instaat voor de beveiliging van haar wallet, in het bijzonder de bijhorende private sleutel die je toelaat te bewijzen dat je eigenaar bent van de inhoud van de wallet en die je zo toegang geeft tot de inhoud van de wallet.

Op het Internet en in de media zijn talloze beschrijvingen te vinden van wallet eigenaars die door malware of phishing hun wallet geplunderd zien of gewoon toegang tot hun digitale portefeuille verliezen. Gezien ze ervoor kozen hun eigen bank te zijn, hebben ze niemand om aansprakelijk te stellen, buiten henzelf. Er is geen vangnet of organisatie om op terug te vallen. De aanvallen worden daarbij steeds professioneler en gesofisticeerder.

Identity wallets

Op blockchain gebaseerde identity wallets, zoals Gataca, inspireren zich sterk op de cryptocurrency wallets. Ze vertrekken van het concept van de DID, de decentralized identifier, wat het equivalent is van een adres in de cryptocurrency wereld en eveneens door de gebruiker gecreëerd wordt. Een DID is in essentie een uniek getal gekoppeld aan ten minste één publieke sleutel van de burger. Die koppeling wordt op de blockchain gepubliceerd. Je digitale identiteitskaart, je diploma’s, je rijbewijs zijn allen voorbeelden van verifiable credentials (VC): door een autoriteit digitaal ondertekende beweringen over een specifieke burger. Die burger wordt in een VC niet benoemd a.d.h.v. een rijksregisternummer of naam, maar a.d.h.v. de DID, zoals geïllustreerd in onderstaande figuren. We zien er inderdaad als identifiers enkel een DID van de issuer en een DID van de burger. Daar waar cryptocurrencies via een (lokaal gegenereerd en pseudoniem) adres gekoppeld zijn aan een cryptocurrency wallet, zijn  verifiable credentials via een (lokaal gegenereerde en pseudonieme) DID gekoppeld aan een identity wallet.

Figuur 1 Structuur van een verifiable credential (bron: Gataca.io)

Net zoals bij cryptocurrency wallets is het meest cruciale element van de identity wallet de private sleutel. Dit is nodig om te bewijzen dat je de eigenaar bent van de DID waaraan de verifiable credentials uitgereikt is. Zonder bijkomende maatregelen impliceert het verlies van de private sleutel de facto het verlies van de verifiable credentials. Zonder bijkomende maatregelen impliceert diefstal (of uitlenen) van je private sleutel dat iemand anders kan bewijzen eigenaar te zijn van jouw verifiable credentials.

Dit model ligt aan de basis van ESSIF (European Self-Sovereign Identity Framework), de identity component van het ambitieuze EBSI (European Blockchain Services Infrastructure). De KU Leuven heeft bovendien in samenwerking met andere universiteiten m.b.v. de Gataca technologie reeds een piloot gebouwd gebaseerd op bovenstaande principes.

Dit lijkt dus het gepaste moment om de uitdagingen te formuleren die nodig zijn voor een volwassen identity wallet systeem voor de Belgische burger.

Uitdagingen

Bovenstaande beschrijving werpt een aantal – voor uw auteur vooralsnog onbeantwoorde – vragen op, die we ook kunnen zien als uitdagingen en als noodzakelijke criteria voor adoptie. Ze zijn opgedeeld in drie groepen.

1. De eerste groep suggereert de noodzaak aan vertrouwde centrale partijen.
2. De tweede groep wil de client-side risico’s reduceren door de veiligheid niet te laten afhangen van keuzes door de burger.
3. De derde groep bestaat uit slechts één criterium met betrekking tot de privacy van de burger.

Hoewel niet exclusief voor gedecentraliseerde benaderingen zoals blockchain, lijken de criteria vooral voor deze benaderingen pertinent, gegeven het niet triviale evenwicht tussen centralisatie en decentralisatie dat gevonden dient te worden.

Nood aan vertrouwde centrale partij

• Koppeling met burger. Hoe zorgen we ervoor dat een DID, en dus de bijhorende private sleutel, gekoppeld is aan enkel de juiste burger en dat enkel die burger in staat is haar verifiable credentials te tonen? Alice mag bijvoorbeeld niet in staat zijn om aan haar goede vriend Bob de mogelijkheid te bieden eigenaarschap van haar diploma’s te bewijzen. Een aanvaller mag er ook niet in slagen een DID onder zijn controle aan Alice te laten koppelen. De private sleutel van haar identity wallet moet dus op een sterke wijze gekoppeld worden aan de persoon Alice.
• Revocatie. Bij verlies van uw identiteitskaart kunt u DOC STOP bellen om deze te blokkeren. Indien een private sleutel, die toegang verschaft tot uw identity wallet, mogelijk gecompromitteerd werd, moet deze eveneens snel en doeltreffend gerevoceerd kunnen worden om te vermijden dat iemand anders er misbruik van kan maken.
• Nieuwe toegang. Revocatie alleen is onvoldoende. Procedures zijn nodig om te garanderen dat de burger daarna en binnen een redelijke termijn opnieuw toegang krijgt tot haar identity wallet met daarin de verifiable credentials.

Reductie client-side risico’s

• Beperkte geldigheidsduur sleutels. Bij volwassen sleutelbeheer is de geldigheidsduur van elke sleutel beperkt. Dit is cruciaal omwille van veiligheidsredenen en is reeds sinds de introductie ervan het geval bij de Belgische eID. Wanneer u een nieuwe eID uitgereikt krijgt, bevat deze dan ook nieuwe, potentieel sterkere, sleutels. Bij cryptocurrency wallets is het by design enkel mogelijk een nieuwe private sleutel te bekomen door al je virtueel geld naar een nieuwe gecreëerde wallet te transfereren. Het initiatief hiervoor ligt in het geval van cryptocurrency wallets geheel bij de burger. Bij identity wallets mag de burger niet belast worden met sleutelbeheer. 
• Security by default. Bij cryptocurrency wallets ligt de verantwoordelijkheid voor het beschermen van de wallet / private sleutel geheel bij de eindgebruiker. Dit houdt talloze veiligheidsmaatregelen in. Velen hebben het vandaag al moeilijk om digitaal mee te zijn, laat staan dat elke burger voortaan nog eens verwacht wordt een halve cybersecurity expert te zijn (en zelfs die maken fouten).
• Meerdere & diverse toestellen. Vandaag beschikt een burger doorgaans over meerdere toestellen. Dat kunnen smartphones, tablets, PCs en morgen misschien smart watches, smart clothes of smart implants zijn. Een eigenaar kan zijn cryptocurrency wallet op meerdere toestellen plaatsen, maar dit impliceert onvermijdelijk dat dezelfde private sleutel gekopieerd wordt over meerdere toestellen. Dit is een bad practice gezien het de kans op diefstal van de sleutel en dus de wallet vergroot. Dit mogen we niet toestaan bij identity wallets. 

Privacy

• DID identificatie. Een DID is een pseudoniem op de blockchain en is zonder bijkomende maatregelen gekend door verschillende nodes die samen het blockchain netwerk vormen, door de autoriteit die een verifiable credential uitreikt en door de entiteit aan wie het getoond wordt. Dit impliceert een privacy-risico, dat maar ten dele opgelost wordt door het gebruik van meerdere DIDs door de burger.  

Heldere antwoorden op bovenstaande vragen zijn essentieel, naast andere criteria zoals inclusie, hoge gebruiksvriendelijkheid en lage architecturale complexiteit. Daarmee wordt de lat – dat beseffen we maar al te goed – meteen erg hoog gelegd.

Conclusie

De digitale portefeuille voor de burger, zoals voorgesteld door Mathieu Michel, is een nobel streven. Op het moment van schrijven is het nog onduidelijk hoe deze eruit zal zien. 

Een aantal basisprincipes moet evenwel steeds gerespecteerd worden en moeten de drijvende kracht vormen bij het vormgeven aan deze digitale portefeuille. De overheid moet er naar streven de dienstverlening en transparantie naar de burger te maximaliseren terwijl overhead en risico’s voor de burger geminimaliseerd dienen te worden. Dit alles uiteraard tegen een redelijke kost, want uiteindelijk is het ook de burger die er – onrechtstreeks – voor betaalt.

Deze basisprincipes toegepast op een concrete technologie – in dit geval de relatief nieuwe blockchain technologie – resulteren in meer concrete uitdagingen. De antwoorden daarop zullen ongetwijfeld een impact hebben op de keuzes die gemaakt zullen worden in het kader van de digitale portefeuille voor de burger. 

Dit is een ingezonden bijdrage van Kristof Verslype, cryptograaf bij Smals Research. Het werd geschreven in eigen naam en neemt geen standpunt in namens Smals.

Bron featured image: Denby Jorgensen/Flickr/CC

Yao gaf toen het volgende voorbeeld. Twee miljonairs – vandaag zouden we eerder spreken over miljardairs – willen weten wie de rijkste is, zonder hun exacte rijkdom of zelfs maar indicaties daarvan aan de andere of aan een derde partij prijs te geven. Beide partijen willen dus weten of wealth₁ < wealth₂ waar of fout is, zonder dat er voor de rest informatie lekt, dus zonder dat de ene miljonair verdere informatie over wealth₁ prijsgeeft en zonder dat de andere verdere informatie over wealth₂ prijsgeeft.

Lange tijd bleef SMC een louter academische aangelegenheid met enkel toy-examples zoals hierboven. Het was (en is) immers erg moeilijk om SMC in de praktijk te brengen, onder meer door de dramatische impact op de efficiëntie en de intensieve communicatie tussen de betrokken partijen. 

Ondertussen zijn we ongeveer 40 jaar verder en is er heel wat onderzoek verricht rond SMC – het blijft trouwens een zeer actief onderzoeksdomein -, waarbij protocollen ontwikkeld werden die efficiënter zijn, die andere veiligheidseigenschappen hebben, die drie of meer partijen toelaten, etc. Daardoor duiken hier en daar – zij het momenteel nog in beperkte mate – praktische SMC toepassingen op.  Toch blijft de generieke SMC technologie, zoals die door Yao geïntroduceerd werd, in vele gevallen weinig praktisch.

Daarom werden en worden specifiekere protocollen ontwikkeld zoals oblivious transfer, wat toelaat dat een partij een specifiek record uit een lijst opvraagt bij een andere partij, zonder dat die laatste te weten komt het welke, wat handig kan zijn voor bijvoorbeeld politiediensten die elders informatie opvragen over verdachte burgers. Een ander voorbeeld is private set intersection (PSI), waarbij een partij te weten komt over welke items (vb. burgers of ondernemingen) een andere partij eveneens een dossier heeft, waarbij er verder geen data lekt. Ook onze eigen oblivious join, om data afkomstig van meerdere bronnen voor onderzoeksdoeleinden te kruisen en te pseudonimiseren, is zo’n specifiek protocol. In de academische crypto-wereld slaat SMC doorgaans enkel op de generieke technologie, al merken we dat daarbuiten ook de meer specifieke protocollen onder de SMC vlag geplaatst worden.

In de praktijk

SMC wordt hier en daar reeds in de praktijk gebruikt, zoals blijkt uit de drie onderstaande cases.

De bekendste en misschien ook de eerste reële toepassing van (generieke) SMC wordt al sinds 2008 gebruikt en wordt geregeld ingezet voor Deense suikerveilingen. Het is een dubbele veiling, waarbij zowel kopers als verkopers bieden. De veiling, die zonder centrale partij verloopt, moest voldoen aan strikte privacy vereisten, waarbij de biedingen confidentieel blijven. De veiling wordt uitgevoerd als een 3-party SMC tussen 1) vertegenwoordigers van Danisco, de enige suikerbietenverwerker in Denemarken, 2) de boerenvereniging (DKS) en 3) de onderzoekers (SIMAP).

Ons tweede voorbeeld is Sharemind. Het wordt commercieel aangeboden en gebruikt voor analyses op gevoelige gegevens afkomstig van verschillende partijen. Die partijen kappen elk afzonderlijk hun data in stukjes die afzonderlijk geen informatie bevatten en uploaden een derde van de stukjes data naar elk van drie verschillende servers. Dit gebeurt op zo’n manier dat de data confidentieel blijft voor de individuele servers, weliswaar onder de veronderstelling dat deze niet samenspannen. Om een query uit te voeren, zullen de drie partijen en de vraagsteller (de onderzoeker) met elkaar interageren (het SMC protocol), waarbij de vraagsteller – en enkel de vraagsteller – toegang krijgt tot het uiteindelijke resultaat door de antwoorden van de drie servers te combineren. Om de efficiëntie en governance te verbeteren, wordt Sharemind ook aangeboden in één enkele appliance, waarbij gebruik gemaakt wordt van hardware (Intel SGX) om de drie zones van elkaar te scheiden. Sharemind heeft zijn eigen taal voor het doen van analyses. We geven ook nog mee dat Sharemind heel wat verschillende cryptografische bouwstenen combineert.

Unbound is ons derde voorbeeld. Het lost met SMC het probleem op van de gecompromitteerde sleutel. De veiligheid van cryptografische operaties (encryptie, decryptie, ondertekenen, …) steunt immers op de veronderstelling dat de geheime/private sleutel ook effectief geheim/privaat blijft. In de praktijk is dit niet steeds even vanzelfsprekend. Unbound reikt een oplossing aan waarbij de sleutel opgesplitst is in twee deeltjes die door verschillende partijen bewaard worden. Wanneer een deeltje gecompromitteerd is, kan de hacker daar nog steeds niets mee aanvangen. Dit verhoogt aanzienlijk de veiligheid, maar impliceert wel dat een cryptografische operatie enkel mogelijk is met medewerking van de partij die het andere deel van de sleutel heeft. De cryptografische operaties worden uitgevoerd m.b.v. SMC waarbij de twee sleuteldeeltjes nooit samenkomen. Unbound biedt in zijn producten ondersteuning voor zowel symmetrische (AES) als publieke sleutelcryptografie (vb. RSA).

Ten slotte kan SMC gebruikt worden voor veilige machine learning, maar daarover meer in een toekomstige blogpost. Dit lijkt zich nog meer in de onderzoeksfase te bevinden.

Initiatieven in overheidscontext (NL)

Recentelijk zien we hier en daar proof of concepts en piloten opduiken in overheidscontext. Nederland zet duidelijk in op SMC in zijn meer algemene definitie waarin dus ook meer specifieke protocollen vervat liggen. Uit een recent en inspirerend rapport van de Nederlandse TNO (Nederlandse Organisatie voor Toegepast Natuurwetenschappelijk Onderzoek ) blijkt alvast dat ze heel wat potentieel zien binnen overheidscontext:

Er zijn ontzettend veel toepassingsmogelijkheden voor privacyverbeterende technieken zoals MPC en FL [Federated Learning]. Zo kan de effectiviteit van de zorg vergroot worden door op een privacy vriendelijke manier inzichten uit patiëntdata te verkrijgen. De groeiende financiële criminaliteit kan ingedamd worden door het veilig koppelen van gevoelige data van verschillende financiële organisaties. Daarnaast kan de overheid haar dienstverlening verbeteren door privacy respecterende samenwerkingen tussen verschillende overheidsinstanties.

We blijven even stilstaan bij een case uit de Nederlandse overheidscontext waarover we toch wat – zij het beperkt – technische informatie konden vinden. In Nederland vormt de AOW uitkering een basispensioen. Indien dit onder het bestaansminimum valt, hebben gepensioneerden recht op een aanvulling (de AIO). 34.000 (48%) tot 50.000 (56%) van de huishoudens met een inkomen onder het bestaansminimum maakt hier geen gebruik van. De SVB, de instelling verantwoordelijk voor die AOW, heeft geen toegang tot gegevens over sociale uitkeringen en pensioenen (gekend door het UWV) en kan dus niet nagaan wie er AIW-gerechtigd is. Dit tracht men in Nederland in een piloot op te lossen m.b.v. homomorfe encryptie (zie verder) om te komen tot een SMC protocol. Toch lijkt het op basis van de beschikbare informatie voor uw nederige auteur logischer om in dit geval gebruik te maken van de eerder vermeldde private set intersection (PSI).

Ook in Belgische overheidscontext schuilt er ongetwijfeld heel wat potentieel. Smals Research wil dit samen met u exploreren. Aarzel daarom niet contact met ons op te nemen.

We vermelden ook graag dat de COSIC groep aan de KU Leuven wereldwijd aan de top staat wat betreft SMC onderzoek. Dit onderzoek resulteerde in een uitgebreide, door hen ontwikkelde library die SCALE-MAMBA gedoopt werd. Een ander veelbelovend COSIC project is JANA:

Jana aims to provide practical private data as a service to protect subject privacy while retaining data utility to analysts. 

Relatie tot andere technologieën

SMC laat toe om zonder centrale partij, dus gedistribueerd berekeningen te doen. Wat is dan het verschil met blockchain-technologie? In een klassieke blockchainbenadering, wordt alle input nodig voor de berekeningen op de blockchain geplaatst en dus gedeeld met andere participanten in het blockchain netwerk. Die participanten doen vervolgens allen exact dezelfde berekeningen op die data. Gegeven dit basisprincipe is het niet altijd makkelijk om een blockchain benadering te verzoenen met strenge privacyvereisten. Bij SMC, daarentegen, staan confidentialiteit en privacy centraal. Blockchaintechnologie blinkt wel uit om informatie onweerlegbaar en zonder centrale partij te registreren. Het sleutel(werk)woord bij MPC is berekenen, het sleutelwoord bij blockchain is registreren.

Homomorfe encryptie (HE) is een cryptografische techniek om berekeningen op een veilige manier te outsourcen naar een centrale partij (vb. naar de public cloud), en is daarmee op functioneel vlak een alternatief voor SMC. HE laat toe dat een centrale partij berekeningen doet op data zonder toegang te krijgen tot die data zelf. De centrale partij doet daarbij berekeningen op de vercijferde gegevens, waarbij het resultaat opnieuw een cijfertekst is. Bijvoorbeeld enc(5) * enc (3) = enc(15). De centrale partij doet in dit geval een vermenigvuldiging, maar het komt noch de waarden 5 en 3 (input) noch de waarde 15 (output) te weten.

Homomorfe encryptie kan, net zoals SMC, dezelfde berekeningen als een klassieke computer (de Turingmachine) ondersteunen. In dat geval speken we van full homomorphic encryption (FHE), waarvoor een eerste concrete schema pas relatief recent – in 2009 – voorgesteld werd. FHE is weliswaar een pak minder efficiënt en daardoor –  veel meer nog dan SMC – een theoretisch gegeven. In het boek “A Pragmatic Introduction to Secure Multi-Party Computation” uit 2017 schrijven de auteurs:

Hoewel er recent veel belangstelling is geweest voor het implementeren van FHE-schema’s […] blijft het bouwen van veilige, inzetbare, schaalbare systemen met FHE een ongrijpbaar doel. [..] State-of-the-art FHE-implementaties zijn duizenden keren langzamer dan two-party en multi-party secure computation in typische toepassingen en instellingen die in de literatuur worden overwogen.

Toch mogen we niet vergeten dat beperktere vormen van HE onmisbaar zijn in de cryptografie ter ondersteuning van andere cryptografische bouwblokken zoals…  bepaalde SMC protocollen! 

We geven ten slotte nog mee dat sommige generieke SMC protocollen onder meer gebruik maken van vormen van het reeds aangehaalde oblivious transfer. 

Conclusie

SMC was lange tijd een eerder academisch curiosum, maar ondertussen hebben de eerste concrete toepassingen reeds het licht gezien. We bevinden ons weliswaar nog in een vroeg stadium om SMC in de praktijk te brengen.

Toch lijkt er heel wat potentieel in de technologie te zitten. Het is echter niet steeds eenvoudig om de juiste technologie te selecteren. Er zijn verschillende generieke SMC protocollen, en er zijn talrijke voorstellen voor meer specifieke SMC protocollen. COSIC biedt alvast ondersteuning bij het selecteren van een generiek SMC raamwerk.

We kijken in elk geval al uit naar uw suggesties om samen met u een concrete overheidscase uit te werken.

Dit is een ingezonden bijdrage van Kristof Verslype, cryptograaf bij Smals Research. Het werd geschreven in eigen naam en neemt geen standpunt in namens Smals.

Bronvermelding foto
20111005_Ozark Henry Quatre Mains @ Arenberg by Tom Van Ghent. Published on Flickr under creative commons.

Presentation

Het is oktober 1969. Charlie Kline bevindt zich in de University of California Los Angeles (UCLA). Zijn collega Bill Duvall, eveneens een jonge programmeur, is op datzelfde moment in het Stanford Research Institute (SRI). Ze slagen er voor het eerst in een bericht te versturen over ARPANET, een gedistribueerd en robuust netwerk waar een paar jaar later TCP/IP protocol uit zou ontstaan. Ons hele Internet is tot op vandaag op dit protocol gebouwd. ARPANET liet toe om berichten te versturen over een netwerk dat exclusief bestaat uit knooppunten die onbetrouwbaar zijn, in de zin dat ze op elk moment konden uitvallen. Een dergelijk netwerk was niet afhankelijk van een centraal knooppunt en kon zelfs een nucleaire aanval overleven, wat in volle Koude Oorlog een sterk pluspunt was.

De echo’s uit de jaren ‘60 van de vorige eeuw zijn onmiskenbaar als we kijken naar blockchain; door middel van een gedistribueerd netwerk kan robuust en zonder afhankelijk te zijn van een centrale partij informatie (ARPANET) of activa (DLT) uitgewisseld worden. Zoals reeds eerder geschreven, wordt vaak gesteld dat blockchain, en meer algemeen Distributed Ledger Technology (DLT) even belangrijk zal worden als het Internet zelf. Daar waar het Internet het uitwisselen van informatie snel en goedkoop maakte, zal DLT het uitwisselen van alles van waarde snel en goedkoop maken. Het mooie is, zo horen we, dat we daarvoor niet langer afhankelijk zullen zijn van een autoriteit zoals de bank, notaris of overheid. Het zal allemaal gebeuren op een robuust, gedistribueerd blockchainnetwerk, dat op het Internet leeft. De vraag is echter of alles wel zo’n vaart zal lopen. Laat ons daarvoor eens naar de evolutie van het Internet zelf kijken.

Bovenop het gedistribueerde Internet werden heel wat gecentraliseerde of hiërarchische top-down diensten gebouwd. Midden jaren 1980 ontstond DNS (Domain Name Service), waardoor we niet langer de IP-adressen van computers hoeven te kennen, maar enkel de domeinnaam. We hoeven dus niet langer 74.125.224.72 te onthouden, maar gewoon google.com. Als we over een veilig kanaal naar een website surfen, of een digitale handtekening willen verifiëren, maken we gebruik van een PKI (Public Key Infrastructure), wat eveneens een hiërarchische top-downdienst is die reeds begin jaren 70 ontwikkeld werd. Dankzij een PKI weten we met wie we communiceren, maar daarvoor moeten we die PKI wel vertrouwen.

Begin 1990 werd HTTP (HyperText Transfer Protocol) geïntroduceerd, wat de creatie van websites toeliet. Hoe vinden we echter de juiste website? In 1996 zetten twee studenten aan Stanford University, Larry Page en Sergey Brin, een zoekmachine op die luisterde naar de naam Google. Hun bedrijf groeide snel uit tot een mastodont.

De ontwikkeling van nieuwe technologieën liet vanaf de eerste jaren van dit millennium toe om het idee van het Web 2.0 te realiseren, waarbij de nadruk voortaan zou liggen op interactiviteit en door de burgers zelf gecreëerde inhoud, wat in scherp contrast stond tot de voorheen statische websites. Ook toen hoorden we stemmen verkondigen dat de oligopoliepositie van mediabedrijven zou verdwijnen en de democratie hoogtij zou vieren. Iedereen wordt redacteur van nieuws, iedereen wordt auteur dankzij de nieuwe kanalen. We zouden niet langer afhankelijk zijn van die mediabedrijven die we maar moeten vertrouwen voor accurate informatie en representatieve berichtgeving. In 2003 lanceerde Marc Zuckerberg, een student aan de Harvard University, Facemash. Wegens schendingen van de auteursrechten en privacy moest Facemash al snel offline gehaald worden, maar Zuckerberg werkte desondanks verder aan zijn project en lanceerde in 2004 Facebook. Dit was enkel mogelijk dankzij het Web 2.0, wat naast Facebook het ontstaan toeliet van een heel aantal andere grote sociale platformen zoals LinkedIn, Youtube en Twitter. Het zijn de bedrijven achter deze platformen die bepalen wat gecensureerd wordt, wat u te zien krijgt en die moeite hebben uw privacy te respecteren. Iedereen auteur dus, maar dan wel onder strikte supervisie. Bij onrust in landen zoals Turkije en Egypte wordt toegang tot dergelijke platformen op kritische momenten door de overheid overigens gewoon geblokkeerd. Recent zien we ook nog de proliferatie van fake news, dat door middel van deze sociale media gefaciliteerd wordt. Centrale platformen bepalen in toenemende mate wat echt en wat fake nieuws is. De participerende burger die inhoud aanlevert klinkt zeer gedistribueerd, maar in de praktijk zien we tegelijkertijd ook een sterke centralisatiebeweging.  

Dit zijn maar een aantal voorbeelden die aangeven dat er vandaag niet veel meer overblijft van dat gedistribueerde karakter van het Internet. Het kan wat paradoxaal klinken, maar de gedistribueerde basislaag van het Internet heeft net de condities gecreëerd voor gecentraliseerde megaspelers zoals Facebook en Google.

Dit alles leert ons dat de idee of de belofte van publieke gedistribueerde netwerken, waarbij de macht opnieuw komt te liggen bij de individuele participanten en waarbij centrale spelers niet langer nodig zijn, niets nieuws is. Het verleden leert ons dat er in de praktijk echter steeds een centralisatiebeweging is. Of anders geformuleerd: de intentie tot distributie, die mogelijk wordt dankzij technologische evoluties, resulteert de facto in nieuwe vormen van centralisatie.

De vraag is nu of dit voor de blockchaintechnologie ook het geval zal zijn. Voor Bitcoin zien we alvast opnieuw deze beweging. Bitcoin zou de democratie verhogen, zo werd beloofd. We hoorden slogans zoals “democratisering van het geld” en “banking the unbanked”. Centrale en andere banken zouden verworden tot termen uit geschiedenisboeken, want burgers zouden voortaan hun eigen geld kunnen creëren en transfereren. De werkelijkheid is dat er een paar nieuwe machtscentra ontstaan zijn, mining bedrijven en mining pools, die zich aan alle vormen van controle onttrekken^[. Vanuit democratisch perspectief is dat een stap achteruit in vergelijking met het bestaande systeem. Daarnaast zijn er nog de handelsplatformen en aanbieders van online wallets, waar we afhankelijk van zijn. Bovendien is ook de bitcoinrijkdom erg sterk geconcentreerd; bijna één derde van alle bitcoins is eigendom van 1600 pseudoniemen (adressen)^[. Dit geeft een paar mensen de mogelijkheid om koersen te manipuleren ten nadele van alle anderen. Bovendien zijn deze paar mensen niet aan politieke controle onderhevig, zoals dat bij de centrale banken wel het geval is.

Over blockchain en Distributed Ledger Technology (DLT) in het algemeen zijn gelijkaardige optimistische geluiden te horen, zoals: “Blockchain biedt mogelijk de infrastructuur voor een rechtvaardige, inclusieve, veilige en democratische digitale economie.^[” De vraag is echter in welke mate publieke blockchain netwerken zullen kunnen weerstaan aan de dynamiek tot centralisering die we tot nu toe zagen.

Wanneer nieuwe virtuele munten of gedistribueerde applicaties gelanceerd worden, die allen van DLT gebruik maken, houden de makers een groot deel van de muntjes of tokens voor zichzelf. Daardoor krijgen ze naast rijkdom ook disproportioneel veel zeggenschap over blockchains gebaseerd op proof of stake of distributed proof of stake. Daarnaast zullen de bedrijven vaak de controle over de ontwikkeling van de code, alsook een sterke controle over het smart contract, bij hen houden, zoals het geval is bij de gedistribueerde toepassing CryptoKitties. Het bedrijf achter CryptoKitties heeft weliswaar geen controle over de uitvoering van het smart contract, maar heeft wel een mechanisme voorzien dat toelaat het smart contract te vervangen door een ander. Stel dat er ooit een gedistribueerd alternatief voor booking.com ontstaat op een blockchain, dan is er een goede kans dat dit dus nog steeds gecontroleerd zal worden door één bedrijf, dat misschien zelfs het moederbedrijf van booking.com zelf zou kunnen zijn.

Ook bij afgeschermde blockchainnetwerken zien we vormen van centralisering ontstaan. Denken daarbij aan een BaaS (Blockchain as a Service) aanbieder waarop het hele blockchain network draait, of aan de PKI (Public Key Infrastructure) die een Hyperledger Fabric blockchain netwerk afschermt. De noodzaak aan vertrouwen verdwijnt dus niet, maar wordt geherlokaliseerd op zodanige wijze dat samenwerking tussen de beperkte elkaar kennende maar toch wantrouwende groep participanten gefaciliteerd en gestimuleerd wordt. In afgeschermde blockchain netwerken zullen de verschillende participanten bovendien contractueel verbintenissen moeten aangaan. Ook dit maakt vertrouwen in centrale partijen (het gerecht) noodzakelijk, zelfs in een blockchainwereld. Zo zullen criteria afgesproken worden met betrekking tot onder meer veiligheid, beschikbaarheid en reactietijd van de systemen bij de verschillende participanten. Ook het smart contract zal aan bepaalde criteria moeten voldoen (veiligheid, functioneel, …). Het creëren van vertrouwen dat aan al die criteria voldaan is kan audits noodzakelijk maken, wat gebeurt door een vertrouwde partij. Afspraken en verantwoordelijkheden zullen moeten onderling vastgelegd worden. In het kader van de GDPR moeten bijvoorbeeld het doel en de middelen van de verwerking van de persoonsgegevens bepaald worden, en moet afgesproken worden wie verantwoordelijk is voor welke verplichting, in het bijzonder het informeren van de burger. Dit alles sluit niet uit dat het alsnog verkeerd loopt of dat er geschillen ontstaan. In dat geval moeten de participanten alsnog naar de (vertrouwde, centrale) rechter kunnen stappen.

De toekomst zal dus niet enkel uitwijzen in welke mate DLT een rol zal spelen in onze bredere samenleving, maar ook onder welke vorm. Willen we vlot waarde kunnen uitwisselen en tegelijkertijd risico’s, zoals verlies van de geheime sleutel, voldoende afdekken, dan is centralisatie van bepaalde aspecten wellicht een noodzaak.

Een wereld waarin al het vertrouwen evenredig gedistribueerd is over alle betrokkenen en waarbij er geen nood meer is aan vertrouwde entiteiten is dus niet aan de orde. Misschien moeten we tot de vaststelling komen dat het bij de initiële vraagstelling vaak al verkeerd zat. Deze luidde: “Hoe kunnen we een autoriteit, die we verplicht zijn te vertrouwen, elimineren?” Moeten we die vraag in veel gevallen niet vervangen door: “Kunnen we, gebruik makend van onder andere technologie, processen optimaliseren en het vertrouwen in en de controle over de daarbij noodzakelijke autoriteiten maximaliseren?” Ook bij deze vraag kan DLT, eens volwassen, wellicht een zeer waardevolle rol spelen. Vertrouwde autoriteiten, zoals overheden, banken en ook notarissen, zullen dus blijven bestaan, maar hun exacte rol kan in de toekomst wel veranderen.

Bovenstaand artikel is een fragment uit twee recente gepubliceerde boeken:
– “Blockchain en smart contracts – Het einde van de vertrouwde tussenpersoon?” door Jurgen Goossens & Kristof Verslype
– “Blockchain en smart contracts – Impact op de notaris als vertrouwde tussenpersoon?” door Benjamin Verheye & Kristof Verslype, met voorwoord van Paul Danneels, Chief Transformation Officer Fednot.

De verwachtingen in de technologie zijn nog steeds enorm. Toch staan tussen droom en daad wetten en praktische bezwaren. Hoe zit het bijvoorbeeld met de GDPR en privacy? En wat met schaalbaarheid? Ondanks de vele open vragen kunnen vandaag reeds een aantal cruciale aspecten uitgeklaard worden.

Ook Smals Research is aan de slag gegaan met de technologie en ontwikkelde een werkende proof of concept. We hielden daarbij rekening met diverse aspecten die bij blockchainprojecten te vaak over het hoofd worden gezien. Tijdens de infosessie hoort u alles over onze aanpak en bevindingen.

Was u in maart 2017 erbij tijdens onze infosessie over blockchain en smart contracts? Deze infosessie is geen herhaling van de vorige! De focus lag toen op technologische principes. Dit keer nemen we concrete ervaringen en resultaten onder de loep.

Wat krijgt u te zien in deze infosessie? – Een beknopte introductie tot blockchain en smart contracts – Een aantal blockchainprojecten uit binnen- en buitenland en de lessons learned – De blockchainstrategie van Smals Research – Een concreet door Smals Research uitgewerkt blockchainproject – Een aantal spanningsvelden tussen blockchaintechnologie en de realiteit, waaronder privacy

FRANCAIS Ces deux dernières années, les projets blockchain ont poussé comme des champignons à travers le monde. L’engouement s’est estompé depuis et nous pouvons maintenant dresser le bilan. L’équipe Smals Research a en outre elle-même employé la technologie dans un contexte réaliste. Quelles sont nos constatations ? Quels autres projets marquants ont vu le jour en Belgique et à l’étranger et quelles leçons pouvons-nous en tirer ? Cette séance d’info a pour but de faire le point de l’année 2018.

Les attentes vis-à-vis de la technologie sont toujours énormes. Il n’en reste pas moins que des lois et des contraintes pratiques séparent le rêve de la réalité. Qu’en est-il par exemple du RGPD et de la vie privée ? Et quid de l’extensibilité ? Même si les questions ouvertes sont nombreuses, plusieurs aspects cruciaux peuvent aujourd’hui être clarifiés.

Smals Research s’est elle aussi lancée dans la technologie et a développé une preuve de concept opérationnelle. Nous avons ici tenu compte de divers aspects trop souvent négligés dans les projets blockchain. Lors de la séance d’info, vous découvrirez tout sur notre approche et nos constats.

Vous avez assisté à notre séance d’info de mars 2017 consacrée à la blockchain et aux smart contracts ? Cette séance d’info n’est pas une réédition de la précédente ! La précédente séance était axée sur les principes technologiques. Cette fois, nous examinerons des expériences et des résultats concrets.

Que vous réserve cette séance d’info ? – Une introduction succincte à la blockchain et aux smart contracts. – Divers projets blockchain belges et étrangers ainsi que les leçons retenues. – La stratégie blockchain de Smals Research. – Un projet blockchain concrètement élaboré par Smals Research. – Un aperçu des facteurs de tension entre la technologie blockchain et la réalité, tels que la vie privée.

Presentation

Wat bedoel ik met de drie termen?

• Distributie van vertrouwen. Het aantal participanten betrokken in het consensusmechanisme en de graad waarin die macht evenredig verdeeld is over deze participanten. Of anders geformuleerd: het aantal partijen dat de blockchain veilig houdt en verifieert of de regels gerespecteerd worden. En heeft elk van die participanten daarbij een even zware stem?
• Schaalbaarheid. Het aantal transacties dat per seconde door het netwerk verwerkt kan worden.
• Veiligheid. Veiligheid bestaat uit diverse componenten. Traditioneel spreekt met over CIA, wat staat voor confidentiality, integrity en availability. Blockchain technologie scoort slecht op het vlak van confidentialiteit (zie vorige blogpost), goed op het vlak van integriteit, en, afhankelijk van de invalshoek, goed of slecht op het vlak van beschikbaarheid; er is enerzijds geen single point of failure (SPOF), maar anderzijds zal in een blockchain benadering “pur sang” de participant zijn geheime sleutel moeten beschermen om toegang tot zijn op de blockchain geregistreerde activa te behouden.

Er zijn dus drie wederzijdse spanningen: 1) distributie van vertrouwen Vs. schaalbaarheid, 2) schaalbaarheid Vs. veiligheid en 3) veiligheid Vs. distributie van vertrouwen. We illustreren in wat volgt elk van deze spanningsvelden alvorens naar de afronding te gaan.

Distributie van vertrouwen Vs. Schaalbaarheid

Permissionless blockchains hebben een beperkte capaciteit. Bitcoin kan naar schatting 3,3 tot 7 transacties per seconde verwerken. Voor Ethereum ligt dit rond de 15. Permissioned (afgeschermde) blockchain technologieën zoals Multichain en BigChainDB 2.0 claimen een duizendtal transacties per seconde, wat al aanzienlijk hoger ligt. In dergelijke afgeschermde netwerken is er dan ook een veel kleinere en permanentere set validatoren. Als we naar gecentraliseerde oplossingen gaan dan ligt de verwerkingscapaciteit nog eens vele malen hoger. VISA kan bijvoorbeeld 65 000 transacties per seconde aan.

Om de capaciteit te verhogen is bovenop Bitcoin een extra laag, het Lightning Network, gebouwd. Het claimt miljarden bliksemsnelle transacties per dag, door een groot deel off-chain te behandelen. Toch wordt er gevreesd dat dit opnieuw tot centralisatie zal leiden: “What it doesn’t tell you is that this can only be accomplished by using large, centralized ‘banking’ hubs.” Bovendien moet je eerst virtueel geld vastzetten vooralleer je het Lightning Network kunt gebruiken en lijkt het systeem vooral nuttig in situaties waarbij een vaste groep van entiteiten geregeld met elkaar financiële transacties doet.

De Ethereum community werkt volop aan Plasma, waarbij het mogelijk wordt om nieuwe blockchain netwerken aan te maken die verankerd worden in de Ethereum blockchain. Virtueel geld (ether) zal transfereerbaar worden tussen de Ethereum blockchain en het kind-blockchain. Die laatste kan zijn eigen smart contracts bevatten. Enkel de validatoren van het kind-blockchain verifiëren alle transacties gerelateerd aan dit smart contract. Het totale netwerk, dus de Ethereum blockchain en alle kind-blockchainnetwerken samen, heeft zo een grotere capaciteit, maar niet iedereen verifieert nog alles.

Onder meer door Zilliqa en Ethereum wordt gewerkt aan sharding van blockchains, waarbij validerende participanten niet langer de volledige maar slechts een deel van de blockchain hoeven te valideren en bewaren, wat de schaalbaarheid ten goede komt. Ook dit vermindert de distributie van vertrouwen. Net zoals bij Plasma wordt een smart contract niet langer gevalideerd door alle validatoren, maar door een subset.

Sommige publieke blockchain netwerken hebben een lagere graad van distributie van vertrouwen, waardoor ze wel efficiënter zijn. Een voorbeeld is Ripple, waar de validatie gebeurt door een beperkt – weliswaar groeiend – aantal bedrijven. Het recentere EOS gebruikt DPoS (Delegated Proof of Stake), waarbij een beperkt aantal validatoren verkozen wordt.

Wanneer het aantal transacties per seconde verhoogd wordt, betekent dit meer werk voor de validatoren, meer bandbreedte die vereist zal zijn en meer opslagcapaciteit. Wanneer het aantal transacties per seconde te snel verhoogd wordt, zullen de infrastructuurkosten om een validerende node te draaien stijgen, waardoor een deel zal afhaken en je dus een centralisatiebeweging krijgt. Een beperkt aantal validatoren zal snelle onderlinge connecties opzetten, waardoor het voor anderen nog moeilijker wordt te participeren. Deze vrees werd reeds uitgedrukt voor Ethereum. Ook in de Bitcoin community was er een heftige discussie omtrent het al dan niet vergroten van de maximum blok grootte. Grotere blokken betekenen meer transacties per seconde, maar ook meer werk – en dus kosten – voor de validatoren.

Schaalbaarheid Vs. Veiligheid

Dit is een wat bijzondere categorie vanuit blockchain standpunt, gezien datgene waar blockchain goed in is, distributie van vertrouwen, hier niet aan bod komt. Toch hebben we ook hier een mooi blockchain-voorbeeld.

BigChainDB 1.0 noemde zichzelf een blockchain database; een database met blockchain eigenschappen. Het claimde tot 1 miljoen schrijfoperaties per seconde. Toch bleek dat het een aantal ernstige security zwakheden kende. Zo kon een hacker alles verwijderen door slechts één participant te hacken. BigChainDB 2.0 is midden 2018 uitgebracht, waarbij deze security kwetsbaarheden verholpen zijn. De verwerkingssnelheid die ze claimen zakte daarmee tot “duizenden transacties per seconde“.

Een concept om Bitcoin te ontlasten zijn sidechains, blockchain netwerken die naast de hoofd-blockchain bestaan. Bitcoins kunnen getransfereerd worden tussen de hoofdblockchain en de sidechain. Goed voor de schaalbaarheid, gezien de hoofd-blockchain niet meer alles moet doen. Maar ook daarrond werden bedenkingen over de veiligheid geformuleerd.

Veiligheid Vs. Distributie van vertrouwen

Om hun virtueel geld te beschermen, maken velen gebruik van een vertrouwd, centraal platform. Verschillende van die centrale platformen zijn reeds gehackt, met soms zware financiële verliezen tot gevolg. Maar toch kunnen deze platformen veiliger zijn dan het zelf bewaren van de geheime sleutel op je computer zonder meer. Dit zal sterker het geval zijn eens centrale platformen gereguleerd zullen zijn, wat in Europa slechts een kwestie van tijd is.

Uit de Bitcoin blockchain kan informatie afgeleid worden, die soms aan personen of organisaties gelinkt kan worden. Dit is negatief voor de confidentialiteit (van persoonsgegevens). Zoals in de vorige blogpost besproken, lost zCash dit op. Maar het valideren van een zCash transactie vereist meer rekenkracht, en het opslaan ervan in de blockchain meer schijfruimte (en dus bandbreedte). Dit zijn aspecten die negatief zijn voor de distributie van het vertrouwen (en voor de schaalbaarheid). Je hebt immers een zwaardere machine nodig om eenzelfde aantal transacties per seconde te kunnen verwerken, en wellicht zullen bij een stijgend aantal transacties minder participanten over een voldoende zware machine beschikken.

Permissioned blokchain netwerken worden afgeschermd door een toegangscontrolelaag. In Hyperledger Fabric is dit bijvoorbeeld een top-down hiërarchische PKI (public key infrastructure). Het gevaar dat je je sleutel verliest kan zo opgevangen worden, wat dus de security ten goede komt, maar we moeten wel een gecentraliseerde dienst vertrouwen, wat het gedistribueerde karakter vermindert.

In Hyperledger Fabric kun je enkel een beperkte, geselecteerde set van participanten laten instaan voor de correcte uitvoering van een smart contract. De rest van het netwerk heeft geen toegang tot de betrokken gegevens. Dit komt de confidentialiteit (veiligheid) ten goede, maar reduceert de graad van distributie van vertrouwen.

Meerdere participanten in een afgeschermd blockchain netwerk hebben toegang tot dezelfde data. Afhankelijk van de gegevens en hoe blockchain gebruikt wordt, is het dus mogelijk dat uit die blockchain gevoelige gegevens afgeleid kunnen worden. Elk van de participanten moet in dat geval dus voldoende beveiligd zijn. Als de kans op een ernstig lek in een gecentraliseerde aanpak x% per jaar is, dan stijgt dit bij een gedistribueerde aanpak met y participanten tot x*y% per jaar, en dit in de optimistische veronderstelling dat alle participanten even goed beveiligd zijn als bij een gecentraliseerde aanpak. Distributie van vertrouwen komt hier dus met een verhoogd veiligheidsrisico.

Het opzetten, onderhouden en veilig houden van een afgeschermde blockchain infrastructuur is niet eenvoudig. Om dit te vergemakkelijken bieden een aantal cloud providers vandaag Blockchain-as-Service (BaaS) aan. Daar kan je snel en goedkoop een blockchain netwerk opzetten. Enige probleem: je wordt afhankelijk van de BaaS provider. Het is niet nodig dat participanten elkaar vertrouwen, maar ze moeten wel allemaal de BaaS provider vertrouwen. In ruil daarvoor krijgen we o.a. snel & goedkoop een goed beveiligd en afgeschermd blockchain netwerk.

Afronding

Soms hoor ik blockchain believers het volgende verkondigen: “Alle problemen waar blockchain vandaag mee te kampen heeft, zoals schaalbaarheid, veiligheid en privacy, zullen binnen afzienbare tijd door erg slimme mensen opgelost worden.” Dit heb ik steeds een enorm zware aanname gevonden.

In dit artikel bekeken we het spanningsveld tussen schaalbaarheid, veiligheid en distributie van vertrouwen. De talrijke voorbeelden in het artikel bevestigen dat het erg moeilijk is om tot een oplossing te komen die op de drie punten erg sterk scoort. Dit hoeft geenszins te betekenen dat blockchain technologie naar de prullenmand verwezen moet worden, maar enkel dat gewoon niet alles tegelijkertijd mogelijk is. Het zet misschien een domper op het idee dat er voor platformen met enorm hoge volumes zoals zoals eBay en Facebook, sterk gedistribueerde en tegelijkertijd zeer veilige alternatieven mogelijk zijn. Maar laat ons eerlijk zijn, veelal is dit ook niet nodig. Het zal er dus op aankomen om de juiste keuzes te maken.