Een vroege Bitcoin-investeerder uit Texas kreeg het bevel om zijn crypto- en andere persoonlijke sleutels en toegangscodes in zijn wallet in te leveren als onderdeel van een contactverbod. Dat las ik bij Coin Telegraph.
De man was veroordeeld tot twee jaar gevangenisstraf voor belastingfraude – hij had de inkoopwaarde van bitcoins te hoog opgegeven bij de belastingaangifte, zodat de winst kleiner werd en hij minder belasting hoefde te betalen. De rechtbank legde hem een nabetaling van ongeveer 1,1 miljoen dollar op.
Heel vreemd is dat niet, maar opmerkelijk is wel dat meneer “alle fysieke apparaten die gebruikt worden om zijn cryptovaluta op te slaan, te identificeren en te overleggen, samen met alle publieke sleutels, privésleutels, seed phrases of wachtwoordzinnen” moet overleggen.
Achterliggend doel is te zorgen dat er genoeg vermogen bij hem aanwezig is om die 1,1 miljoen daadwerkelijk te incasseren. Normaal zou je dat geld direct van zijn rekening halen (of de daarmee gekochte spullen fysiek meenemen), maar bij bitcoins is dat iets lastiger. Vandaar het bevel.
Het gaat hier dus niet om afgifte van sleutels bij een verdachte om bewijs te ontsleutelen. Meneer was al veroordeeld en ze weten waar het geld zit. Hij moet het geld afgeven van de rechter, maar werkt niet mee. Dat is een vrij specifieke situatie, die we volgens mij in Nederland nog niet bij de hand gehad hebben.
In Nederland kan de strafrechter je bij een veroordeling naast diverse straffen ook ‘maatregelen’ opleggen. Eentje daarvan is “ontneming van wederrechtelijk verkregen voordeel” (art. 77h.4(d) WvSr), oftewel het afpakken van wat je met je misdrijf hebt verkregen. Dat kan prima ook als dat voordeel verpakt zit in een bitcoin. Maar of je daarmee ook kunt bevelen dat het wachtwoord erbij gegeven wordt?
Arnoud
Toegang tot de passwords geeft toegang tot alle transacties (neem ik aan, ik heb geen bitcoin). Als er toch al gevangenisstraf volgt zou civiele gijzeling misschien wel meer proportioneel kunnen zijn..
Maar ja: als hij nee zegt tegen betalen, waarom zou er dan een ja volgen na deze verplichting? Dan wordt het gijzeling tot betaling en dan twee jaar?
Dit is echt een hele rare (en domme) uitspraak van de rechter. Blijkbaar snapt hij niet hoe een en ander werkt, maar zijn uitspraak heeft zeer verstrekkende gevolgen. Dit is waar de rechter dus om vraagt, als ik het zo lees:
• apparaten: er worden helemaal geen cryptovaluta op één apparaat opgeslagen. Ze worden over op de blockchain opgeslagen op apparaten tienduizenden apparaten over de hele wereld. De rechter kan dit wel opeisen, maar zal het nooit krijgen.
• Wallet ID: is al voldoende om alle transacties in te zien en zelfs geld te storten. • Seed phrases: hiermee achterhaal je de public en private keys (zie hieronder). • Public key: is beperkt bruikbaar, maar kan dingen bewijzen/verifiëren. • Private key: ECHT EEN PROBLEEM… hiermee kun je de hele wallet leeg plunderen, wie het eerst komt het eerst maalt, op=op. En probeer dan maar eens te achterhalen wie het deed. De rechter? de bode? de notulist? de systeembeheerder van de rechtbank? de stagiair die een uitdraai moest maken? of de verdachte zelf, net na het afgeven van de key?… Je krijgt niet eens een IP adres mee in de block chain. (Wel een tijdstip.) Wie wordt verantwoordelijk gehouden voor het eventueel verdwijnen van de bitcoins? Wat als de rechter én de verdachte ontkennen het gedaan te hebben?
Dat laatste is waarom het gewoon oerdom is. Zodra die sleutel is overhandigt kan hij het leeg laten trekken en de rechtbank de schuld geven. Bewijslast kan je onmogelijk rond krijgen wie het was.
Terwijl als ze de public key eisen (waarom hebben ze die uberhaupt nog niet) kunnen ze zien dat hij het ‘geld’ heeft en hem gijzelen tot er betaald wordt.
Dit is een rechter die zich in de eigen voet schiet en de veroordeelde de mogelijkheid geeft zijn geld weg te sluizen.
‘Ik kan het niet geweest zijn meneer de rechter. Ik heb conform het vonnis alle apparaten waarop de benodigde private key stond geidentificeerd en overhandigt. Daarmee heb ik zelf geen toegang meer.’
Wat dat laatste betreft, dat is niet anders dan wanneer een agent een koffer met bankbiljetten vindt. Die gaat ook door tientallen handen. Denk je echt dat het wezenlijk anders werkt qua vertrouwen/beveiliging met een private sleutel?
De eis om ‘apparaten’ gaat om opslagmedia voor private sleutels. Het gebruik van cold wallets/cold storage is niet ongebruikelijk. De tekst verwijst voor mij duidelijk naar apparaten waar keys op staan, niet apparaten waar valuta op staat.
Het verschil is dat als je de koffer geld hebt afgegeven, je er zelf echt geen toegang meer tot hebt. Dus als het verdwijnt is het onomstotelijk door iemand aan de kant van justitie ontvreemd.
Met een private key heeft justitie en haar medewerkers dezelfde mogelijkheden om het geld te ontvreemden, maar ook degene die de private key heeft afgegeven heeft er nog toegang toe.
Dus het wezenlijke verschil is dat met fysiek geld duidelijk is aan welke kant de schuld gezocht moet worden als het geld verdwijnt en met crypto het onmogelijk is te bewijzen waar het geld verdwenen is.
En voor we doen alsof justitie de eerlijkheid zelfe is: ik mag op het politiebureau niet meer contant betalen bij het verlengen van mijn verlof. Toen ik vroeg waarom dat niet meer kon was het antwoord van de politieagent ‘dat er te veel cash geld verdween’.
“Dag collega. Hier is de miljoenmiljard euro aan bankbiljetten. Als je het even natelt, graag bij het kruisje tekenen, want dan ben ik er van af.”
We zijn in Nederland en niet in Duckstad. Onze politie is iets professioneler dan dit.
Precies, die bankbiljetten zullen een traject afleggen waarbij elke stap gelogd wordt en als ze verdwijnen dan weet je waar in de keten dit is gebeurt. iedere stap die het weer heeft overgedragen heeft er geen toegang meer toe.
De sleutels voor de crypto currency daarentegen kunnen triviaal gekopieerd worden in elke stap van het proces en gebruikt worden nadat het bewijs formeel is overgedragen aan een volgende partij.
En hoewel ik het eens ben met je dat onze politie professioneel is; er wordt op politiebureaus gestolen en er zijn bewezen zaken van criminele infiltratie van zowel politie als justitie. De politie/justitie kan in het geval van crypto niet uitsluiten dat iemand in hun organisatie de rekening heeft geplunderd. En veel succes als de bitcoins ergens in (wit)rusland in cash worden omgezet.
Het hele idee van private keys afgeven is een risico voor justitie en open voor misbruik. Justitie kan echter prima de wallets monitoren en heeft die keys niet nodig. De veroordeelde moet een bedrag betalen, die gijzel je (dagen tel je op aan het eind van de gevangenis straf) totdat deze betaalt. Als justitie de private keys niet heeft, dan is het de veroordeelde die het geld wegsluist en kan deze nooit justitie beschuldigen. Er zit gewoon geen enkele logica of voordeel achter de keuze die de rechter hier maakt. En ik ben dan ook bang dat dit een voorbeeld is van een rechter die niet begrijpt hoe het werkt.
Hoe wilt het openbaar ministerie en fiscus bewijzen dat hij de ‘echte’ crypto wallet sleutel heeft gegeven?
Een crypto-sleutel waar per toeval niets op staat, is niet te onderscheiden van een crypto-sleutel waarop het vermogen staat. Daarnaast is het natuurlijk niet te bewijzen dat er niet nog een tweede of derde sleutel is… Omgedraaid kan dit ook eenvoudig tot knevelarij; “Nee, u wordt niet uit de gevangenis gelaten omdat u niet de vierde en vijfde sleutel heeft gegeven”.
Ik vindt de eis van de rechter niet vreemd, maar in de context van cryptografie is dit niet echt uitvoerbaar.
In de grote bitcoin blockchain kun je het saldo van een wallet aan de publieke sleutel koppelen. Het is (cryptografisch) triviaal om te verifiëren of publieke en privésleutel bij elkaar horen. Ik weet niet hoeveel wallets de investeerder gebruikte, maar de Amerikaanse overheid zal wel een lijstje in geding gebracht hebben. Geef de privésleutels van de wallets en de overheid kan controleren of ze bij elkaar passen.
In het algemeen heb je een punt. Maar stel we hebben bewijs dat de verdachte de illegale betalingen liet lopen naar wallet X, bv. omdat hij in chats zegt “betaal me via wallet X” en daarna “dank je ik heb het ontvangen” vlak na een transactie op wallet X. Ik denk dat je dan wel kunt zeggen dat wallet X van hem is en dat hij deze dan moet ontsluiten. Dat is het soort situatie waar dit bevel over gaat.
Natuurlijk blijft “ik ben de sleutel kwijt” dan over, maar dat is een ander probleem dan “geef me je wallet” “hier is de sleutel van een lege wallet”. Je kunt het contante illegale geld ook kwijt zijn in de achtertuin of “gisteravond net bestolen zijn”.