Beveiliging en Crypto Wallets

Duidelijkheid voor Dummies

Er is een hoop verwarring over wat cryptowallets eigenlijk zijn en de vraag wat daarin wordt opgeslagen.

Nou het juiste en korte antwoord op die vraag is, wat er ook in wordt opgeslagen, in ieder geval niet je coins, BTC, ETH, LTC of welke andere coins dan ook.

Voor de duidelijkheid, al je coins zijn feitelijk onderdeel van een bepaalde blockchain en staan daar ook geregistreerd (dat is een beter woord dan opgeslagen). Indien je bijv. Bitcoins hebt, dan bezit je eigenlijk een stukje van de blockchain. Dat stukje kan enkel gebruikt worden door jou, of althans door degene die de geheime code heeft om erbij te kunnen.

• Die geheime code noemen ze de "Private Key". Enkel iemand die een private key bezit kan toegang krijgen tot bepaalde onder die key geregistreerde coins. Dit is moeilijk te begrijpen voor velen, dus om het makkelijker te maken heeft men die coin registratie maar een "wallet" genoemd.

• Iedere wallet is dus eigenlijk een stukje van de blockchain.

• Iedere wallet is afgeschermd met een code, de private key. Enkel wie de private key bezit is eigenaar van die wallet en heeft toegang tot alle coins die daarin zitten (of eigenlijk onder die private key zijn geregistreerd.

• Iedere wallet heeft ook een naam, dat noemen ze de public key, ook wel het wallet adres genoemd.

• Deze public Key kun je het beste vergelijken met een bank iban nummer.

• Een public key kun je gebruiken om crypto coins te ontvangen. (Stuur de aan mij verschuldigde gelden svp naar mijn "public key/wallet adres". De public key kun je echter ook gebruiken om te kijken hoeveel coins er in die wallet zitten, hier houdt dan ook de vergelijking met een bankrekening op.

• Je kunt echter met de public key geen coins overboeken of verplaatsen. Dat kan enkel met de private key.

Decentralised versus Centralised (Custodian) Wallets.

De Blockchain is een gedecentraliseerde database die op meerdere computers (nodes) is opgeslagen. Wat wij een wallet noemen is gewoon een deel van die blockchain, een stukje data of gegevens van die decentrale database.

Een wallet is kan dan dus ook een decentrale registratie zijn van persoonlijke, beveiligde bezittingen.

Toch bestaan er ook centrale wallets. Denk bijv. aan een bankrekening, feitelijk ook niets anders dan een registratie van bezittingen op jouw naam. Zoiets bestaat ook voor cryptocurrencies, bijv. een wallet die je hebt gekregen van een exchange zoals Binance of Coinbase.

Coin base houdt in zijn eigen centrale database bij hoeveel BTC bijv. jij bij hen hebt opgeslagen. Die centrale registratie van bezittingen noemen ze ook een wallet, maar het is een eigen wallet, die geen onderdeel vormt van de blockchain.

Je moet Coinbase vertrouwen dat zij voor jou bijhouden hoeveel BTC jij hebt ontvangen, gekocht verstuurd of verkocht hebt. Zij bewaren die informatie en het saldo voor jou. Daarom noemen ze dat een "Custodian Wallet" een bewaar wallet.

De Coinbase custodian wallet is dus geen decentrale wallet, is geen onderdeel van de blockchain, maar een door Coinbase bijgehouden registratie van coins die zij voor jou hebben geplaatst op de blockchain. Coinbase bezit de private keys van de stukjes blockchain waar "jouw" coins zijn opgeslagen. Omdat zij de private key bezitten zijn zij feitelijk de eigenaar.

Juridisch gezien hebben zij slechts (net als bij de bank) een schuld aan jou, of wie weet misschien zelfs dat niet en spreken ze liever over een bewaarplicht. Voor de goede orde, daar is niets mis mee, net als het bankensysteem kan dit in de praktijk heel practisch zijn en voor veel mensen een nuttige service bieden.

Maar het is net als bij banken gebaseerd op vertrouwen en de macht is ongelijk verdeeld. Coinbase kan net als banken je rekening blokkeren of transacties weigeren, of grote opnames beperken en jouw accountgegevens, wanneer daartoe gedwongen, afstaan aan de overheid.

Cold wallet of Hot wallet

Weer een nieuwe term.

Men spreekt van een hotwallet, wanneer de private keys ergens online zijn opgeslagen. De meeste wallets die je krijgt op exchanges als Coinbase of Binance geven jou toegang op basis van wachtwoord en/of 2FA. Ze vragen niet om je private keys, sterker nog, die heb je niet eens, die hebben zij enkel zelf ergens meer of minder veilig online opgeslagen.

Een cold wallet is een wallet waarvan enkel jij zelf de private keys bezit. Deze keys zijn nergens online terug te vinden. Enkel wanneer jij deze keys hebt opgslagen op jouw computer of verstuurd per e-mail kan een hacker mogelijk toegang krijgen tot je wallet. Meestal ben je dan je coins kwijt.

Om die reden wordt een private key meestal verstrekt in de vorm van 12 eenvoudige woordjes die in een bepaalde volgorde moeten worden ingevoerd. Deze 12 zgn "Mnemonic Words" kun je gemakkelijk op een stukje papier schrijven en veilig opbergen. Liefst op 2 afzonderlijke lokaties, want ook hier geldt, wie zijn codes, keys of mnemonic words kwijt raakt is zijn coins kwijt.

Oh ja, maak geen foto van je mnemonic words, dat is ook onveilig.

Keuze voor vrijheid en veiligheid

De block chain is nu echter juist ontwikkeld met als belangrijkste doel om de middleman zoals die bank, of in ons voorbeeld Coinbase uit te schakelen. De trend is om zelf eigenaar te zijn van ons geld, om zelf de bank te zijn en zelf de sleutels te hebben van de kluis of wallet waarin dat geld in de vorm van bijv. BTC is opgeslagen.

Daarvoor hebben we de blockchain nodig, daarvoor willen we een stukje van die blockchain bezitten in de vorm van een eigen private key die enkel ons, de bezitter daarvan toegang geeft tot een veilige en decentrale wallet, onderdeel van de blockchain, zonder middleman of bemoeienis van andere partijen.

Wil je echt profiteren van de blockchain, van de veiligheid en vrijheid waarvoor die ontworpen is, dan heb je dus een decentrale wallet nodig. Punt.

2 Decentrale wallets, TrustWallet en IMToken

Zo´n decentrale wallet kun je installeren op je PC, Mac of telefoon.

De trend is tegenwoordig om dit vooral en enkel via je telefoon te gebruiken, omdat dat vele malen veiliger is dan een desktop computer. Neem dat voor nu maar even van mij aan.

Dan bestaan er nu feitelijk 2 verschillende apps die beide ongeveer dezelfde functionaliteit bieden, TrustWallet en IMToken. Beide apps kun je downloaden uit de Apple AppStore of Google Playstore.

Beide Apps worden eveneens wallets genoemd, maar zijn dat feitelijk niet. Deze Apps stellen je echter wel in staat om jouw echte wallets (de stukjes blockchain waarvan jij de private keys bezit) te bekijken en te bewerken, betalingen te doen of te ontvangen en coins over te zetten naar exchanges om ze daar om te wisselen voor euro´s, dollars of andere munten.

Het enige wat deze apps TrustWallet en IMToken op je telefoon opslaan zijn de private keys van jouw stukjes blockchain, van jouw decentrale wallets.

Daarbij maken beide apps ook meteen maar een nieuwe, dus lege, echte blockchain wallet voor je aan, in eerste instantie voor ETH, maar je kunt er zelf ook BTC, LTC of andere coin wallets nog aan toevoegen. Je kunt er bovendien reeds bestaande wallets in importeren, mits je daar uiteraard toegang toe hebt en en dus de private keys ervan bezit.

Gehannes met private keys

Die private keys zijn dus heel belangrijk. Wie ze bezit is eigenaar van een stukje blockchain plus alles wat daar staat opgeslagen. Zonder private keys sta je met lege handen en bezit je niets.

Daarom hebben mensen allerlei extra's ontwikkeld om zo veilig mogelijk met die private keys om te kunnen springen. Een daarvan is "mnemonic words". Mnemonic words heeft dezelfde functie als een private key, maar is makkelijker en zeker veiliger in het gebruik. Mnemonic words bestaan uit 12 eenvoudige woordjes die mits in de juiste volgorde een toegangscode vormen.

Telkens wanneer op de blockchain een wallet wordt aangemaakt genereert de blockchain zowel een nieuwe private key als ook een nieuwe set mnemonic words. Met slechts een van beide opties heb je volledige toegang tot de betreffende wallet.

Private keys zijn een digitaal getal bestaande uit 256 bits die meestal in een lange reeks van 64 caracters worden weergegeven, die moeilijk is op te schrijven zonder daarbij fouten te maken. Dus wat doet iedereen, die maakt er een copy van en plakt die ergens in een notitieboek of Word bestand.

Maar dat is dus niet veilig. Indien iemand je wordbestand vindt en dat kan openen, heeft hij jouw private key en daarmee volledige toegang tot je wallet. In de praktijk betekent dat meestal dat je je geld kwijt bent.

Het alternatief, de mnemonic words zijn slechts 12 simpele woordjes. Die kun je makkelijk opschrijven op een stukje papier en dat kun je weer veilig opbergen. Er staat dan dus geen informatie daarover op je computer of telefoon.

Maak overigens ook altijd 2 kopietjes voor de veiligheid, denk aan brand etc.

Zowel Trustwallet als IMToken biedt je de mogelijkheid om je wallet te bewaren door de mnemonics words en/of de private key van die wallet te exporteren.

Trustwallet is zelfs al zover gegaan dat ze de private key om veiligheidsredenen niet meer exporteren, enkel nog de mnemonic words, maar die hebben feitelijk dezelfde functie.

Met je mnemonic words kun je bij verlies van je telefoon altijd een nieuwe TrustWallet of IMToken app downloaden en mbv je mnemonic words kun je dan je oorspronkelijke wallet weer importeren. Je zult dan al je coins weer zien staan zoals je gewend was. Je kunt zelfs de mnemonic words zowel in een TW als in IMT importeren, dat maak niets uit. Beide apps displays dan exact dezelfde informatie want die halen ze uit exact dezelfde bron, jouw deeltje van de blockchain.

De mnemonic words hebben dus precies dezelfde functie als een private key, het bevat alle info die nodig is om je wallet te kunnen gebruiken, maar het is veel veiliger omdat, als je het goed doet, die mnemonic words niet op je computer of telefoon te vinden zijn, maar enkel op een stukje papier zijn geschreven.

Wil je toch perse je private keys halen uit je Trustwallet, dan heb ik daar een trucje voor.

Je importeert dan je wallets die in Trustwallet zitten in een IMToken app, (import wallet) door de mnemonic codes van iedere wallet in te voeren in IMT.

De wallets die in Trustwallet worden afgebeeld zie je nu ook in IMT. Feitelijk kijken beide apps enkel naar hetzelfde stukje van de blockchain.

IMToken biedt wel nog de optie om de private key te exporteren. Maar waarom zou je? Mnemonic words dient hetzelfde doel en is veel veiliger.

Onthoud ook dit: Zowel de mnemonic code als de private key zijn onderdelen van de blockchain en zijn door de blockchain gegenereert en niet door apps als TW en IMT.

Deze apps gebruiken enkel die mnemonic words of de pk om toegang te krijgen tot jouw deel van de blockchain, daar waar jouw coins zijn opgeslagen.

Het enige wat TW en IMT dus zelf opslaan op je telefoon zijn de pk en de mnemonics.

Tenslotte voor de volledigheid, de private key kun je ook meestal exporteren of importeren met een zgn Keystore file. Dat is simpelweg een privatekey die versleuteld is geworden met een apart eigen wachtwoord, veiliger dan een niet versleutelde pk maar niet zo veilig als 12 mnemonic words.

Attentie:

Let hier ook goed op, je kunt in een TW of IMT app meerdere blockchain wallets weergeven. Bijv een voor LTC en een voor BTC plus bijv. nog 2 extra verschillende ETH wallets.

Ieder van die wallets heeft zijn eigen pk en dus ook zijn eigen mnemonic words.

Het is duidelijk niet zo dat je met één sleutel of code alle wallets uit je TW of IMT app kunt back-uppen.

Je moet dus echt voor iedere wallet in je app de mnemonic words exporteren en veilig opschrijven. Dan kan je niets gebeuren.