6  eCash (en vertrouwensloze tijd-stempels)

Sinds Whitfield Diffie en Martin Hellman de Diffie-Hellman-sleuteluitwisseling introduceerden in 1976, begrepen cryptografen hoe twee mensen die elkaar nooit eerder ontmoet hadden de inhoud van hun onderlinge berichten konden versleutelen voor iedereen behalve voor zichzelf. Ondertussen hadden de mixnetwerken van David Chaum al in de vroege jaren ’80 de basis gelegd voor remailers: een digitale infrastructuur ontworpen om metadata te verbergen. Gecombineerd konden deze instrumenten een lange weg afleggen naar het bieden van privacy voor de meeste soorten van elektronische communicatie.

Maar het was ook Chaum die erkende dat het nog geen privacy kon bieden voor een zeer specifiek soort communicatie: communicatie van waarde.

Gedurende de jaren 70 en begin jaren 80 begon het bankwezen steeds meer geautomatiseerd te raken. Papieren bankbiljetten en metalen munten, die in die tijd niet langer door goud werden gedekt, begonnen steeds meer te worden verdrongen door betaalkaarten, terwijl banken onderling elektronisch schulden begonnen te vereffenen. Met de komst van de PC, en in zijn kielzog het internet, verwachtte Chaum dat de digitalisering van geld alleen maar zou versnellen. Dit zou financiële instellingen in staat stellen om kosten te besparen en hun beveiliging te verbeteren, terwijl het gemak voor de consument wordt verhoogd.

Maar Chaum realiseerde zich dat ook deze trend tot duistere situaties kon leiden. Als betalingsverkeer digitaal zou worden, zouden de banken die dit mogelijk maken door financiële regelgeving verplicht kunnen worden om gebruikers zichzelf te laten identificeren voordat ze toegang krijgen tot deze kanalen. Banken, en bij uitbreiding de overheidsinstellingen die op hen toezicht houden, zouden dan precies kunnen weten wie hoeveel geld naar wie stuurt, waar en wanneer.

Chaum zag de mogelijkheid van massasurveillance van betalingen als even zorgwekkend als de massasurveillance van elke andere vorm van communicatie. En niet zonder reden: iemands transactieverleden onthult mogelijk net zoveel persoonlijke informatie als hun tekstcommunicatie, zo niet meer.

‘Er wordt een basis gelegd voor een dossiermaatschappij, waarin computers gebruikt kunnen worden om op basis van gegevens uit alledaagse consumententransacties de leefstijlen, gewoonten, locaties en relaties van individuen af te leiden’, waarschuwde Chaum. ‘Onzekerheid over of gegevens veilig blijven tegen misbruik door degenen die ze onderhouden of ervan gebruik maken kan een afschrikwekkend effect hebben, wat mensen ertoe kan brengen hun zichtbare activiteiten te veranderen. Naarmate de computerisering meer verspreid raakt, zal het potentieel voor deze problemen aanzienlijk toenemen.’ 1

Maar, zo stelde hij voor, er was een alternatieve toekomst mogelijk.

David Chaum legde uit: ‘Elke keer dat een regering of bedrijf besluit om nog een set transacties te automatiseren, wordt de keuze gemaakt om informatie in handen van individuen of van organisaties te houden. Aan de ene kant ligt een ongekende controle en inspectie van mensenlevens, aan de andere kant een veilige gelijkwaardigheid tussen individuen en organisaties. De vorm van de samenleving in de volgende eeuw kan afhangen van welke aanpak de overhand heeft.’2

Volgens Chaum zou een maatschappij waarin anonieme transacties wel of niet mogelijk zijn uiteindelijk het verschil maken tussen democratie en dictatuur. Hij concludeerde daarom dat er een soort digitaal geld nodig was dat gebruikers een vergelijkbaar niveau van privacy bood als fysiek contant geld.

De wereld had behoefte aan elektronisch geld.

Het dubbele-uitgavenprobleem

Toen Chaum begon na te denken over ontwerpen voor een elektronisch geldsysteem, kwam hij al snel de eerste uitdaging tegen die iedereen die een digitale vorm van geld wil creëren, tegenkomt: het probleem van dubbele uitgaven.3

Eenvoudig gezegd, als valuta uitsluitend bestaat uit digitale informatie, enen en nullen, is het een fluitje van een cent om te kopiëren. Een enkele digitale dollar kan gerepliceerd worden en naar twee verschillende ontvangers worden gestuurd… of zelfs naar een miljoen verschillende ontvangers, tot het punt dat het geld last heeft van hyperinflatie. Het spreekt voor zich dat dit soort vervalsing de integriteit van de valuta fundamenteel zou schaden en het waardeloos zou maken.

Traditionele digitale geldsystemen lossen dit probleem van dubbele uitgaven op door middel van een vertrouwde partij, zoals een bank of betalingsverwerker.

De meest eenvoudige oplossing is dan ook het gebruik van een rekeningensysteem. In zo’n systeem hebben alle klanten van de bank een elektronische rekening bij de bank. Wanneer één van hen een andere wil betalen, sturen ze simpelweg een bericht naar de bank met de betalingsdetails. Ervan uitgaande dat de betaler voldoende saldo heeft, trekt de bank het bedrag af van zijn of haar rekeningsaldo en voegt het toe aan de rekening van de begunstigde.

Als de betaler niet genoeg geld heeft om de betaling uit te voeren, wordt de transactie geweigerd. Dus als iemand probeert zijn saldo dubbel te besteden door twee tegenstrijdige betalingsverzoeken naar de bank te sturen (terwijl hij niet genoeg geld heeft om beide betalingen te doen), zal de bank simpelweg kiezen welke transactie doorgaat (waarschijnlijk het eerste verzoek dat het ontving).

Dit lost het probleem van dubbele uitgaven op… maar het illustreert ook het privacyprobleem waar Chaum zich zorgen over maakte: de bank weet precies wie aan wie betaalt, hoeveel en wanneer. Bovendien heeft de bank totale controle over ieders saldi, en zou het mogelijk betalingen kunnen blokkeren of terugdraaien, en zelfs geld kunnen confisceren of verwijderen.

Daarom begon Chaum aan een zoektocht naar een manier waarop zo’n derde partij (de bank) dubbele uitgaven kon detecteren, zonder de mogelijkheid om te traceren hoe elke digitale dollar zich door de economie beweegt.

Blinde handtekeningen

De bekwaamde cryptoloog loste het probleem op in 1983. Nauwelijks nadat hij zijn doctoraat in informatica aan de Berkeley-universiteit had verdiend, werd Chaum aangesteld als professor aan diezelfde universiteit. Hij publiceerde zijn ontwerp voor een elektronisch geldsysteem in zijn paper getiteld Blind Signatures for Untraceable Payments.

Zoals de titel van het artikel al aangeeft, was zijn uitvinding van blinde handtekeningen de sleutel tot zijn ontwerp voor een privacy-respecterend betaalsysteem.

Chaums blinde handtekeningen waren een uitbreiding van de publieke-sleutelcryptografie en meer specifiek van het RSA cryptografische handtekening algoritme. Om even te herhalen, een cryptografische handtekening is in feite een stukje data (zoals een bericht) dat versleuteld is met een geheime sleutel en ontsleuteld kan worden met een publieke sleutel. Wanneer Alice een bericht en een bijbehorende cryptografische handtekening naar Bob stuurt, moet Bob in staat zijn het bericht te ontcijferen met Alice’s publieke sleutel. Hierdoor wordt het omgezet in hetzelfde bericht, waardoor wiskundig wordt bewezen dat de handtekening inderdaad is gemaakt met haar geheime sleutel.

Een blinde handtekening voegt dus één laag van encryptie toe aan de mix.

Om Alice een blinde handtekening te laten maken, maakt Bob eerst een speciaal soort coderingssleutel aan, de zogenaamde verblindende sleutel, waarmee hij een bericht versleutelt. Bob geeft het versleutelde bericht vervolgens aan Alice, die het met haar geheime sleutel cryptografisch ondertekent. Wanneer ze het gecodeerde bericht ondertekent, weet ze niet wat het originele bericht eigenlijk is: ze ondertekent blind.

De resulterende handtekening is wiskundig aan Alice’s publieke sleutel verbonden, zoals elke handtekening. Dat wil zeggen, haar publieke sleutel kan gebruikt worden om het exacte versleutelde bericht dat zij ondertekende te reproduceren (het bericht zelf zou nog steeds versleuteld zijn; het zou hetzelfde versleutelde blob reproduceren dat zij van Bob ontving).

Maar Bob kan ook als eerste de verblindende sleutel gebruiken om de laag encryptie die hiermee gecreëerd is, te verwijderen. In principe resulteert dit in een nieuwe, geldige handtekening van Alice, die dit keer overeenkomt met het originele bericht. Deze handtekening wordt de blinde handtekening genoemd. Met de eerste laag encryptie verwijderd door Bob, kan nu iedereen de publieke sleutel van Alice gebruiken om het originele bericht vanuit de blinde handtekening te reproduceren.

Met andere woorden, iedereen die het originele bericht heeft, kan op dat moment Alice’s publieke sleutel gebruiken om te verifiëren dat de blinde handtekening overeenkomt met het bericht. Dit geldt uiteraard ook voor Alice zelf. Als Bob haar het originele bericht en de blinde handtekening geeft, kan zij haar eigen publieke sleutel gebruiken om te verifiëren dat zij inderdaad een versleutelde versie van dat originele bericht blind ondertekende.

Als een realistische analogie die Chaum in zijn paper gebruikte, is het alsof Bob een brief in een envelop met carbonpapier stopt en deze envelop aan Alice overhandigt, die de buitenkant van de envelop ondertekent en deze teruggeeft aan Bob. Als Bob dan de envelop verwijdert en Alice de brief toont met een carbonkopie van haar handtekening, weet ze dat de brief inderdaad in de envelop zat die ze had ondertekend.

Anonieme betalingen

Om het blinde-handtekeningenschema te gebruiken voor een elektronisch geldsysteem, zou Alice uit het bovenstaande voorbeeld eigenlijk een bank zijn: laten we deze bank Alice Bank noemen. Alice Bank is een reguliere bank, waar klanten bankrekeningen hebben met dollardeposito’s. En laten we zeggen dat Alice Bank vier klanten heeft: Bob, Carol, Dan en Erin.

Nu wil Bob iets kopen van Carol met elektronisch geld.

Ten eerste heeft Bob elektronisch geld nodig. Om dit te verkrijgen, vraagt hij een opname aan bij Alice Bank (idealiter had hij deze opname al gedaan voordat hij Carol wilde betalen, maar dat is een detail). Vreemd genoeg creëert Bob de digitale dollars zelf in de vorm van unieke serienummers. Vervolgens versleutelt hij deze nummers met een verblindende sleutel en stuurt ze naar Alice Bank.

Alice Bank ondertekent elke versleutelde dollar blindelings en stuurt de ondertekende versies terug naar Bob. Voor elke ondertekende dollar trekt Alice Bank een reguliere dollar van Bobs bankrekening af.

Daarna verwijdert Bob een laag van de encryptie met behulp van zijn verblindende sleutel, waardoor Alice’s ondertekeningen worden omgezet in blinde handtekeningen. Om Carol te betalen, stuurt hij de digitale dollars en bijbehorende blinde handtekeningen naar haar. Carol gebruikt de publieke sleutel van Alice Bank om de handtekeningen te verifiëren. Als deze correct zijn, stuurt ze de digitale dollars en de blinde handtekeningen door naar Alice Bank.

Alice Bank heeft deze digitale dollars nog nooit eerder gezien, omdat ze de eerste keer versleuteld waren. Het belangrijkste is dat ze kan bevestigen dat ze met haar eigen geheime sleutel zijn ondertekend. Vervolgens controleert Alice Bank de serienummers in haar lokale database om er zeker van te zijn dat dezelfde digitale dollars niet al door iemand anders zijn gedeponeerd, wat dubbele uitgaven voorkomt.4

Als de digitale dollars een geldige handtekening hebben en niet eerder zijn gebruikt, slagen ze voor beide controles. Alice Bank noteert dan deze digitale dollars in haar database om toekomstige dubbele uitgaven te voorkomen. Vervolgens wordt het equivalent van de digitale dollars als reguliere valuta op Carols bankrekening gestort, en krijgt ze hiervan een bevestiging. Carol weet nu dat ze een geldige betaling van Bob heeft ontvangen en levert hem het product of de dienst waarvoor hij betaalde.5

Omdat Alice Bank de ondertekende bankbiljetten pas voor het eerst ziet wanneer Carol ze stort, heeft de bank geen manier om te achterhalen dat ze oorspronkelijk van Bob kwamen. Ze hadden ook van iemand anders, zoals Dan of Erin, kunnen komen. Bovendien kan Alice Bank, nadat ze de digitale dollars aan Bob heeft uitgegeven, hem niet verhinderen ze te besteden, omdat ze niet kan bepalen welke digitale dollars ongeldig zouden moeten worden verklaard.6

Inderdaad, Chaum had een vorm van elektronisch geld ontworpen.7

In de jaren na de publicatie van zijn eerste werk over ontraceerbare betalingen, breidde Chaum de mogelijkheden van elektronisch geld verder uit in presentaties tijdens de Crypto-conferenties en in verschillende andere papers. Deze vervolgartikelen werkten precies uit hoe een elektronische geldregeling te implementeren, waarbij het beste gedetailleerde voorbeeld hiervan zijn paper uit 1985 was met de beschrijvende titel Security Without Identification: Transaction Systems to Make Big Brother Obsolete.8

‘De grootschalige geautomatiseerde transactiesystemen van de nabije toekomst kunnen zo worden ontworpen dat de privacy en de veiligheid van zowel individuen als organisaties beschermd blijven’, zo verklaarde de introductie van één zin triomfantelijk.

DigiCash

Een paar jaar later, tegen 1989, had Chaum zijn intrek genomen in Amsterdam. Tijdens een van zijn eerdere bezoeken aan Nederland hadden lokale academici hem een baan aangeboden als hoofdcryptograaf bij het Centrum voor Wiskunde en Informatica (CWI), welke hij dankbaar had geaccepteerd. Het stelde hem in staat dicht bij zijn Nederlandse vriendin te wonen.

Ongeveer in deze periode overwoog de regering van Nederland een nieuw toltarievenproject. Het concept was dat auto’s zouden betalen voor het privilege om op bepaalde hoofdwegen te rijden door middel van een smartcard aan hun voorruit, die gescand zou worden door snelle kaartlezers op verschillende plekken langs de wegen. Maar het idee was controversieel: de Nederlanders waren niet enthousiast over het idee dat hun auto’s gevolgd zouden worden.

Toen de overheid naar het CWI-onderzoekscentrum kwam om te vragen of ze wisten van enige privacybeschermende oplossingen om dit soort tolsysteem te realiseren, zag Chaum de kans waar hij op had gewacht. Hij had zijn technologie van blinde handtekeningen gepatenteerd, maar tot zijn eigen verbazing was de interesse in het ontwikkelen van digitale geldschema’s sinds de publicatie van zijn papers beperkt geweest. Hij zag nu in dat er een unieke kans was om zelf te helpen de technologie in gebruik te nemen.

Chaum wist een groep studenten van de nabijgelegen Technische Universiteit Eindhoven te mobiliseren. Hij beloofde hen een reis naar de International Collegiate Programming Contest (ICPC) in Washington DC, op zijn kosten, en zelfs een vakantie naar Disney World in Florida, mits ze hielpen bij het omzetten van zijn blinde handtekening-technologie naar een werkbaar concept. Tijd was cruciaal, aangezien de Nederlandse overheid al een ontwikkelteam in gedachten had voor het project en niet echt zin had om het proces uit te stellen. Chaum en de studenten werkten dag en nacht, vanuit een van hun woonkamers.

Ze slaagden binnen tien dagen en hun proof-of-concept leverde Chaum het contract op.

Met deze initiële klus op zak, besloot de cryptograaf om DigiCash op te richten, een start-up gevestigd in Amsterdam die zich zou specialiseren in digitaal geld en betalingssystemen. Deze betalingssystemen omvatten uiteraard het overheidsproject voor tolheffing,9 maar Chaum, die nu een eigen bedrijf leidde, wilde ook zijn grotere visie realiseren.

Het was begin jaren 90 steeds duidelijker geworden dat het internet mainstream zou worden, en Chaum was ervan overtuigd dat elektronische betalingen uiteindelijk een essentieel onderdeel van deze opkomende digitale wereld zouden zijn. Net als veel internetexperts in die tijd, verwachtte hij dat micro-betalingen alomtegenwoordig zouden worden: webdiensten moesten op de een of andere manier geld verdienen, en de voor de hand liggende oplossing was inderdaad om mensen kleine bedragen te laten betalen om ze te gebruiken.

‘Naarmate betalingen op het netwerk volwassen worden, ga je voor allerlei kleine dingen betalen, meer betalingen dan je vandaag de dag doet’, voorspelde Chaum. ‘Elk artikel dat je leest, elke vraag die je hebt, je zult ervoor moeten betalen.’10

Het prestigeproject van DigiCash was een digitaal betalingssysteem dat mensen in staat zou stellen om dergelijke betalingen privé te maken, met behulp van elektronisch geld — eCash.

CyberBucks

DigiCash begon snel internationaal onder de aandacht te komen. In een tijd waarin bedrijven als Netscape en Yahoo! bevestigden dat het grote geld zich verplaatste naar beginnende internetstart-ups, werd Chaums start-up door veel techondernemers in de vroege jaren 90 gezien als een rijzende ster in deze snelgroeiende industrie.

Het zou Chaum en zijn team, dat enkele van de studenten omvatte waarmee hij het project begon, meerdere jaren kosten om hun eerste proof-of-concept om te zetten in een volwaardig betalingssysteem. Met als uiteindelijk doel hun eCash-technologie te verkopen aan banken, was een niveau van beveiliging nodig vereist door banken.

In de tussentijd hebben ze wel een vroege versie van hun technologie uitgebracht. De eerste implementatie van Chaums elektronische geldontwerp door DigiCash werd uitgerold vanuit het eigen bedrijfskantoor, maar in plaats van Amerikaanse dollars, Nederlandse guldens of een andere fiatvaluta, gebruikte dit vroege elektronische geldsysteem CyberBucks.

CyberBucks was een verzinsel, niet gedekt door echte waarde, denk aan speelgeld, als je wilt. Maar het bedrijf beloofde wel nooit meer dan een miljoen eenheden in omloop te brengen. De virtuele munten werden meestal gratis weggegeven, en iedereen kon het digitale geld op zijn computer opslaan, of het laden op een smartcard om een frisdrank of wat beltegoed te kopen in het DigiCash-gebouw zelf. Deze smartcards waren in feite onkraakbare, creditcard-achtige computers die speciaal waren ontworpen om dit soort betalingen te doen, en ze werden een belangrijke focus voor DigiCash: Chaum geloofde dat de smartcards essentieel waren voor de privacy van betalingen, omdat betalingen in persoon met een creditcard zelfs nog grotere privacyproblemen met zich meebrachten dan online betalingen.

Het idee achter CyberBucks was dat DigiCash-medewerkers konden experimenteren met de eCash-technologie, terwijl bezoekers konden proeven van de toekomst. Toen Chaum en zijn collega’s besloten om 100 CyberBucks te schenken aan elke handelaar die bereid was om de internetmunteenheid als betaalmiddel te accepteren, begon een kleine groep enthousiastelingen CyberBucks ook buiten de kantoren van DigiCash te gebruiken. Hoewel het doorgaans alleen kon worden uitgegeven aan gadgetachtige producten zoals digitale afbeeldingen of kleine puzzelspellen voor Apple’s Macintosh-computer, genoot de bedrijfsmunteenheid toch enige bredere acceptatie.

Daarnaast zijn de CyberBucks uiteindelijk op een niet-officiële CyberBucks-beurs verhandeld. Gebruikers konden de digitale geld-eenheden omzetten in daadwerkelijke fiatvaluta en vice versa. Na enige tijd kregen de CyberBucks een echte marktprijs, terwijl sommige gebruikers zelfs een klein beetje van de digitale valuta begonnen te verzamelen als een vorm van sparen of speculeren.

Dit vereiste wel veel vertrouwen in DigiCash. Hoewel het bedrijf beloofde de CyberBucks-voorraad te beperken tot één miljoen, was er geen ingebouwde methode om dit plafond af te dwingen. Theoretisch gezien konden Chaum en zijn collega’s veel meer dan een miljoen CyberBucks uitgeven als ze dat wilden, en door de sterke privacyfuncties van het systeem zou er voor buitenstaanders geen manier zijn om te controleren of dit al dan niet was gebeurd.

Bovendien was het valutasysteem volledig afhankelijk van de voortdurende steun van DigiCash: de bedrijfsserver voorkwam dubbele uitgaven. Hoewel CyberBucks een leuk en interessant experiment was, was de uiteindelijke topprioriteit van DigiCash om hun belangrijkste elektronische geldproduct klaar te stomen voor het grote publiek…

eCash

Na vier jaar ontwikkeling bereikte eCash een standaard van beveiliging gelijk aan die van banken. In 1994 begonnen de proeven met echt geld, waarna financiële instellingen een licentie konden aanvragen bij de start-up van Chaum om de nieuwe technologie te gebruiken.

De eerste bank die deze kans greep, was de Mark Twain Bank in St. Louis, niet bepaald een internationale grootmacht, maar het was een begin. Klanten en bedrijven met een rekening bij Mark Twain konden genieten van privacy in hun elektronische transacties door betalingen te doen en te ontvangen in eCash.

Kort na de Mark Twain Bank volgden andere banken. Banken in verschillende landen, waaronder de Norske Bank en Bank Austria11, destijds de grootste banken in respectievelijk Noorwegen en Oostenrijk, alsook de Australian Advance Bank, 12 begonnen kort daarna met eCash-proefprojecten. En begin 1996 stapte ook een van de grootste financiële instellingen ter wereld aan boord: Deutsche Bank begon de technologie van DigiCash te gebruiken.13 Credit Suisse, nog een grote internationale speler, sloot zich ook aan bij de proeven.14

Echter, misschien nog opmerkelijker dan de samenwerkingsverbanden die Chaum tot stand bracht, waren de zakendeals die hij niet wist af te ronden. En hier begint het verhaal over wat er precies gebeurde bij DigiCash te variëren, afhankelijk van wie je het vraagt.

Volgens diverse medewerkers van DigiCash hadden grote spelers in de tech- en financiële industrie grote interesse getoond.15 Twee van de drie meest prominente Nederlandse banken, ING en ABN Amro, zouden naar verluidt aanbiedingen voor samenwerkingen gemaakt hebben aan DigiCash ter waarde van tientallen miljoenen dollars. Ook betalingsreus Visa zou Chaum een deal van in de miljoenen hebben voorgelegd. Er wordt verder gezegd dat ook Netscape geïnteresseerd was: eCash had een mogelijke toevoeging kunnen zijn aan de populairste webbrowser van die tijd, maar deze samenwerking kwam niet tot stand.

Het grootste aanbod van allemaal zou echter zijn gekomen van niemand minder dan Microsoft. Zo luidt het verhaal, Bill Gates wilde eCash integreren in het Windows 95-besturingssysteem en bood DigiCash ongeveer 100 miljoen dollar om dit mogelijk te maken. In plaats daarvan zou Chaum twee dollar hebben gevraagd voor elke verkochte versie van Windows 95. Dit was te hoog gegrepen voor de Amerikaanse softwaregigant en daarmee was de deal van de baan.

Medewerkers van DigiCash stonden in eerste instantie achter de aanpak van Chaum, maar elke keer dat ze hoorden over het uiteenvallen van weer een miljoenendeal, groeide hun twijfel over zijn zakelijk inzicht. Een medewerker suggereerde later tegenover een Nederlandse reporter dat dezelfde eigenschap van wantrouwen, die Chaum tot een uitstekend cryptograaf maakte, hem in de weg stond als zakenman. Zijn ‘paranoïde’ karakter zou hem ongeschikt maken om zakenrelaties op te bouwen, wat ertoe leidde dat hij op het laatste moment uit zakenovereenkomsten stapte.

Bij de DigiCash kantoren nam de irritatie steeds verder toe. Naast het besef dat hun eigen baan op het spel stond als het bedrijf niet snel winstgevend zou worden, frustreerde het hen ook op ideologisch gebied dat Chaum er niet in slaagde om eCash bij meer mensen te introduceren. DigiCash wist ontwikkelaars aan te trekken die zich inzetten voor digitale privacy, en in een tijd waarin e-commerce populair begon te worden bij het grote publiek, waren ze bezorgd dat DigiCash niet mee ging doen.

Chaum zelf verwerpt deze beweringen echter krachtig als kwaadwillige laster. Hij beweert dat de verschillende aanbiedingen van meerdere miljoenen dollars niet zo concreet waren als deze werknemers leken te denken. In plaats van zijn persoonlijke tekortkomingen als zakenman, stelt hij dat er simpelweg geen grote markt was voor digitaal geld, een interpretatie die sommige van de meer commercieel ingestelde DigiCash-medewerkers ook hebben bevestigd.

Het maakt niet uit welke versie van het verhaal de waarheid dichter benadert, het is duidelijk dat eind 1996 het geduld in het DigiCash kantoor op was. De medewerkers van Chaum eisten een verandering in het bedrijfsbeleid.

Faillissement

Uiteindelijk kwam de verandering vanuit Chaums thuisland.

Op zoek naar nieuwe fondsen richtte zijn bedrijf zich tot Amerikaanse durfkapitalisten, aangezien de investeringscultuur in de VS immers beter bekend was, en een grotere honger naar dit soort high-tech-start-ups met een hoog risico. DigiCash kreeg een financiële injectie, terwijl MIT-hoogleraar Nicholas Negroponte tot voorzitter van de raad van bestuur werd benoemd en Chaum als CEO vervangen werd door Michael Nash, een veteraan van Visa.16 Illustratief voor de nieuwe koers van het bedrijf verhuisde het hoofdkantoor van Amsterdam naar Palo Alto, Californië, in het hart van Silicon Valley, waar de waarderingen van technologie-start-ups door het dak gingen. Chaum bleef wel deel uitmaken van DigiCash, maar dan nu als CTO.

Dit was echter niet precies de soort verandering waarop de meeste Nederlandse werknemers van DigiCash hadden gehoopt. Verschillende van hen besloten op dit moment om het bedrijf te verlaten.

En misschien nog belangrijker, het bleek uiteindelijk niet veel verschil te maken.

eCash sloeg gewoonweg niet aan bij het publiek. De banken die de technologie uitprobeerden, promootten het niet echt bij hun klanten, en het hielp waarschijnlijk ook niet dat eCash relatief duur in gebruik was, waarbij het meestal enkele procenten van de transactiewaarde aan kosten in rekening bracht. Mark Twain bank had in een paar jaar tijd slechts 300 handelaren en 5.000 gebruikers ingeschreven, terwijl andere banken het niet veel beter deden.

En, wellicht Chaums lezing van DigiCash’s geschiedenis kracht bijzettend, was het nieuwe leiderschap van het bedrijf ook niet in staat om grote deals te sluiten. Hoewel een samenwerking met CitiBank bijna rond was, wat DigiCash wellicht het broodnodige momentum had kunnen geven, liep het uiteindelijk spaak en de grote Amerikaanse financiële instelling trok zich terug.

Tegen eind 1997 had DigiCash het merendeel van zijn fondsen opgebrand. Na een laatste herschikking van de organisatie en leiderschap van het bedrijf, vroeg de start-up van Chaum in 1998 het faillissement aan.

Na acht jaar van bedrijvigheid, had DigiCash het niet kunnen waarmaken om aan de hype te voldoen die het had gegenereerd onder de eerste generatie van internetondernemers. Misschien is de onkunde van Chaum om zakelijke relaties op te bouwen wel de oorzaak voor de mislukking, zoals sommige voormalige werknemers concludeerden. Of misschien was de vraag naar anoniem digitaal geld, hoewel een verleidelijk verkooppunt in de vroege jaren ’90, gewoon niet zo hoog als de baanbrekende cryptograaf aanvankelijk had verwacht. In plaats van micro-betalingen, werd een groot deel van het web uiteindelijk gefinancierd door advertenties, en privacy leek niet erg hoog op de prioriteitenlijst van de gemiddelde consument te staan.

Bovendien worstelde DigiCash met een kip-en-ei-probleem. eCash was alleen nuttig als mensen het ergens konden uitgeven: zonder plekken om het digitale geld te besteden, was er geen reden om het in de eerste plaats te bemachtigen. Tegelijkertijd was het voor handelaren alleen zinvol om eCash te accepteren, als er genoeg mensen waren die het wilden uitgeven.

‘Het was moeilijk om voldoende handelaren te vinden die het wilden accepteren, zodat je genoeg consumenten kon vinden die het wilden gebruiken, of vice versa’, herinnert Chaum zich in 1999. Ook zei hij: ‘Naarmate het web groeide, nam de sofisticatie van de gebruikers af. Het was moeilijk om het belang van privacy aan hen uit te leggen.’17

De elektronisch geld-start-up van Chaum ging ten onder. De CyberBucks-server voor dubbele uitgaven ging ook offline. Zonder deze server was er geen manier om te weten welke valutaeenheden nog geldig waren. Het betekende, simpel gezegd, het einde van het experiment. Degenen die nog steeds CyberBucks bezaten, bleven achter met niets anders dan een stel waardeloze nummers op hun computer.

Hieruit hebben alle betrokkenen bij het nicheproject voor digitaal geld een waardevolle les getrokken. Hoewel blinde handtekeningen een zekere mate van privacy garandeerden, bleek de afhankelijkheid van CyberBucks van een vertrouwde partij in de vorm van DigiCash de fatale fout van het project te zijn.

Rond deze tijd probeerde iemand anders, toevallig en om een heel andere reden, een zeer vergelijkbaar soort fout te herstellen…

Scott Stornetta

Vers van de Stanford Universiteit met een PhD in natuurkunde, was Scott Stornetta enthousiast om zijn nieuwe baan te beginnen bij wat in 1989 het epicentrum van computerwetenschappelijke innovatie was: het in New Jersey-gevestigde telecom onderzoekscentrum Bellcore.

Bellcore had in feite de leiding over de architectuur van een groot deel van de Amerikaanse telecommunicatiesystemen in een periode waarin de informatietechnologie zich in een razend tempo ontwikkelde en het internet iedere dag groter werd. Bovendien maakte de cryptografie een ware renaissance door. Ze bevonden zich, zoals Stornetta later omschreef, in een ‘gouden tijdperk van onderzoek’. Nieuwe medewerkers kregen zelfs geen specifieke taken toegewezen. De dertigjarige natuurkundige kreeg de instructie om zelf te ontdekken wat van belang was en vervolgens zijn aandacht hieraan te geven en hieraan te werken.

Het bleek zo te zijn dat Stornetta al iets belangrijks in gedachten had voordat hij überhaupt een voet in zijn nieuwe werkomgeving had gezet.

Voordat hij naar de oostkust verhuisde, bracht Stornetta enkele jaren door op Stanford, waar hij werkte vanuit het Xerox PARC-onderzoekscentrum in Palo Alto. De divisie van Xerox was een revolutionaire omgeving die baanbrekende innovaties zoals de personal computer, Ethernet en laserprinten mogelijk had gemaakt, maar de afgelopen jaren werd Stornetta ook geconfronteerd met een nieuw en lelijk probleem in het sterk gedigitaliseerde onderzoekscentrum: vervalsingen.

Vervalsing is natuurlijk geen nieuw fenomeen. Mensen hebben in feite geprobeerd om documenten te vervalsen sinds de uitvinding van het schrift. Maar digitale vervalsingen waren een relatief nieuw concept, en Stornetta was gaan geloven dat ze een nog uitdagender probleem vertegenwoordigden. Terwijl fysieke vervalsing vaak sporen achterlaat, kan een digitaal document, of het nu een arbeidscontract is, verzekeringspapieren, of een universitair diploma, smetteloos worden aangepast.

Digitale authenticatie loste inderdaad een deel van dat probleem op: cryptografische handtekeningen konden bewijzen dat een elektronisch document gecontroleerd (ondertekend) was door de juiste persoon. Maar dit zou niet voorkomen dat dezelfde persoon later gewijzigde documenten creëert en ondertekent. Je kan geen onderscheid maken tussen een oude bit en een nieuwe bit, dus hoe kan iemand ooit zeker zijn dat ze kijken naar een origineel document in plaats van een latere vervalsing?

Stornetta voorzag een crisis in geloofwaardigheid en besloot zijn eerste periode bij Bellcore te besteden aan het oplossen van dit probleem.

Hij had ook al een mogelijke oplossing in gedachten. Stornetta wilde een tijdregistratiesysteem voor digitale documenten ontwerpen. Het is veel moeilijker om met een vervalsing weg te komen als mensen kunnen bewijzen dat het originele document op een eerder moment in de tijd bestond.

Stornetta had nog niet precies uitgevogeld hoe zo’n tijdregistratiesysteem zou werken, maar hij vermoedde dat cryptografie wel eens een belangrijk deel van de oplossing kon zijn. Hoewel hij zelf geen cryptograaf was, had hij het geluk dat de cryptograaf van Bellcore, Stuart Haber, tevens degene die Stornetta bij Bellcore in dienst nam, erin toestemde om met hem aan dit project te werken.

In de daaropvolgende weken brainstormden Stornetta en Haber over ideeën, speculerend over mogelijke strategieën om de uitdaging waarvoor zij stonden op te lossen.

Hash-ketens

Een van hun meest veelbelovende ideeën maakte gebruik van een hash-functie18, een eenrichtingsfunctie die data omzet in een unieke en ogenschijnlijk willekeurige reeks cijfers van een vaste lengte. Alle digitale data kan worden gehasht, of het nu een enkele letter is, een heel boek, een muziekbestand of de broncode van een programma. Het cruciale aspect is dat dezelfde data altijd hetzelfde gehashte resultaat oplevert, maar zodra de oorspronkelijke data ook maar een beetje verandert, is de resulterende hash totaal anders. Verwijder je bijvoorbeeld een enkele komma uit een boek, dan lijkt de nieuwe hash totaal niet meer op die van het oorspronkelijke boek.

Stornetta en Haber stelden voor om documenten van een tijdstempel te voorzien via een speciale tijdstempeldienst. Een document werd samen met een tijdcode gehasht, die vastlegt wanneer de dienst het document heeft ontvangen. Deze hash werd vervolgens cryptografisch ondertekend door de tijdstempelserver als een soort bewijs. Om aan te tonen dat een document op een bepaald moment bestond, kon de eigenaar het originele document en de tijdstempel tonen. Iedereen kon dit invoeren in een hashfunctie om te verifiëren dat er inderdaad een identieke hash door de tijdstempelserver was ondertekend.

Daarnaast speculeerden Stornetta en Haber dat verschillende documenten chronologisch gekoppeld konden worden in een hash-keten. Dit betekent dat elk nieuw document dat de tijdstempeldienst ontving, niet alleen werd gehasht met een tijdcode, maar ook met de hash van het vorige document. Deze nieuwe hash werd vervolgens samen met het volgende document gehasht, en zo ontstond een keten van hashes. Deze ‘keten’ kon precies bewijzen welke documenten in welke volgorde waren getijdstempeld, en zou zo een chronologisch ruggengraatregistratie vormen van alle verwerkte documenten.

Dit bracht echter met zich mee dat de tijdstempeldienst zelf te vertrouwen moest zijn om niet te rommelen met het centrale archief. In theorie kon deze dienst vervalsingen creëren door dezelfde documenten te hashen en ondertekenen met verschillende tijdstempels. Zo kon de chronologische volgorde van documenten worden gewijzigd, of konden documenten zelfs volledig uit het archief verdwijnen.

In de wereld van de informatica was het destijds vrij normaal om op zulke diensten te vertrouwen. Publieke sleutels werden bijvoorbeeld meestal verstrekt door een certificaatautoriteit die deze sleutels koppelde aan specifieke identiteiten. Voor Stornetta en Haber was dit echter geen ideale oplossing. Zij vonden dat veiligheid in de digitale ruimte niet afhankelijk zou moeten zijn van vertrouwen in een specifieke entiteit of persoon. Net zoals de cryptografische hulpmiddelen waarover zij beschikten, moest tijdstempeling idealiter onafhankelijk kunnen functioneren.

Dit bleek het meest uitdagende deel van het probleem te zijn.

Zolang één entiteit de tijdstempelservice verzorgde, was er altijd vertrouwen in die ene partij nodig. Het toevoegen van meerdere entiteiten om zo een systeem van checks-and-balances te creëren, bood ook geen oplossing. Zelfs als iemand de taak had om de eerlijkheid van de tijdstempeldienst te bewaken, bleef er een risico dat deze persoon samenspande met de dienst om de records te wijzigen. Om dezelfde reden bood het toevoegen van een derde, vierde of vijfde persoon als toezichthouder geen garantie. Dit vergrootte hoogstens de omvang van de samenzwering die nodig was om historische records te vervalsen, maar sloot de mogelijkheid van vervalsing niet volledig uit.

Stornetta en Haber leken tegen een fundamenteel probleem te zijn aangelopen dat cryptografie niet kon oplossen. Na weken van vruchteloze brainstormsessies zagen de collega’s van Bellcore uiteindelijk geen andere optie dan te concluderen dat wat ze echt wilden bereiken niet mogelijk was.

Als een soort van troost, besloten ze hun bevindingen te publiceren. Ook al hadden Stornetta en Haber het vertrouwensprobleem niet opgelost, ze konden nu tenminste aantonen dat dit probleem onoplosbaar was…

Het verdelen van vertrouwen

Pas toen Stornetta beargumenteerde dat het probleem onoplosbaar was, besefte hij dat ze daadwerkelijk fout zaten — althans technisch gezien.

Stornetta en Haber hadden geconcludeerd dat het toevoegen van meer entiteiten om controles uit te voeren op de tijdstempeldienst het probleem van vertrouwen niet oplost, maar alleen verandert hoe groot de samenzwering zou moeten zijn. Inderdaad, dit lijkt logischerwijs waar te zijn, en in de meeste gevallen is het inderdaad waar.

Maar Stornetta kwam nu tot het inzicht dat er een uitzondering op deze regel is: als iedereen de tijdstempeldienst controleert, kan niemand samenspannen: er zou niemand meer over zijn om tegen te samenzweren. Zolang iedereen iedereen in de gaten houdt, is er helemaal geen vertrouwde partij meer nodig!

Stornetta stelde: ‘Als we in essentie een samenzwering kunnen creëren die zo groot is dat het de hele wereld omvat, dan zouden we in feite het probleem hebben omgekeerd en een systeem zonder vertrouwen hebben gecreëerd.’19

Het is uiteraard onwaarschijnlijk dat de groep die op vervalsingen controleert zo groot wordt dat letterlijk iedereen op aarde erbij hoort. Desalniettemin, deze nieuwe inzichten betekenden een echte doorbraak in het denken van Stornetta en Haber.

Dit resulteerde uiteindelijk in de publicatie van hun onderzoek uit 1990: ‘Hoe plaatst men een tijdstempel op een digitaal document?’20 De paper stelde nieuwe normen in het domein van digitale tijdstempels en presenteerde twee enigszins verschillende benaderingen.

Het eerste voorstel leek sterk op hun idee van een hash-keten ruggengraatregistratie, waarbij de tijdstempeldienst elk update cryptografisch zou ondertekenen en chronologisch aan het record zou linken. Dit zou bewijzen dat het daadwerkelijk de tijdstempeldienst was die het nieuwe document toevoegde, en in welke volgorde. Maar belangrijk was dat in plaats van enkel de tijdstempeldienst te vertrouwen met het ruggengraatregistratie, dit nu met alle deelnemers gedeeld zou worden.

Het geniale van deze oplossing was dat als de tijdstempeldienst ooit zou proberen om te antidateren, te deleten of een eerder getijdstempeld document op een of andere manier te veranderen, elke gebruiker die een kopie van de ruggegraatrecord behield, de verandering zou opmerken. Als de inhoud of de tijdcodes van een document zelfs maar een klein beetje gewijzigd werd, zou dit de bijbehorende hash volledig veranderen, wat op zijn beurt weer elke volgende hash zou veranderen, waardoor het volledig onverenigbaar zou worden met de wijdverbreide record: de tijdstempeldienst zou nooit wegkomen met zijn vervalsingspoging.

De tweede oplossing die Stornetta en Haber beschreven, schafte zelfs de tijdstempeldienst volledig af. In deze variant, zou een groep deelnemende gebruikers om de beurt een nieuw document aan de hash-keten toevoegen. Wanneer iemand een document wilde voorzien van een tijdstempel, zou de willekeur van de hash van dit document worden gebruikt om te bepalen welke deelnemer het moest ondertekenen, als een soort hash-loterij.

Met niet één, maar twee briljante voorstellen, waarvan er één nog minder vertrouwen vereiste dan de andere, vormde de paper van Stornetta en Haber een grote sprong voorwaarts voor het digitaal tijdstempelen.

Dat gezegd hebbende, brachten hash-ketens wel een nieuw probleem met zich mee: ze waren niet bijzonder schaalbaar, vooral als je rekening hield met de bescheiden rekenkracht die een gemiddelde computergebruiker begin jaren ’90 ter beschikking had. Voor elk document dat aan het hoofdrecord werd toegevoegd, was er een nieuwe hash nodig, dus na verloop van tijd zouden de deelnemende gebruikers heel wat data moeten opslaan als deze systemen echt populair zouden worden.

En aangezien deze gebruikers steeds meer data moesten opslaan om deel te kunnen nemen, zouden waarschijnlijk meer van hen ervoor kiezen om niet meer deel te nemen en gewoon het record te vertrouwen dat door de tijdstempeldienst en andere gebruikers wordt bijgehouden. Dit zou op zijn beurt weer (de nood aan) vertrouwen in deze systemen introduceren: om echt veilig te zijn, was het tijdstempelschema uitdrukkelijk afhankelijk van brede deelname.

Het was wiskundige Dave Bayer die dit raadsel hielp oplossen, met behulp van Merkle Trees.

Een boom van hashes

In de jaren na het afronden van zijn stage bij Martin Hellman, had Ralph Merkle een naam voor zichzelf gemaakt als een van de vooraanstaande cryptografen van zijn generatie. Onder zijn vele innovaties had hij een nieuwe eenrichtingsfunctie ontworpen, een sneller versleutelingsprotocol geïntroduceerd en zijn eigen handtekeningsalgoritme voorgesteld. Hoewel hij technisch gezien niet medeauteur was van het onderzoek, zagen veel cryptografen Merkle als de derde uitvinder van de Diffie-Hellman-sleuteluitwisseling.

Het meest opvallende is misschien wel dat Merkle in 1979 de Merkle Tree had uitgevonden.21 Oorspronkelijk ontworpen als onderdeel van een systeem voor het produceren van authenticatiecertificaten voor een raadpleegbare lijst van publieke sleutels, bieden Merkle-bomen een compacte en veilige controle op de inhoud van allerlei soorten gegevenssets door hashes op een slimme wiskundige manier te combineren.

Concreet genomen, aggregeert een Merkle-boom verschillende stukken data cryptografisch via een aantal eenvoudige stappen. Allereerst worden de verschillende stukken individueel gehasht, zodat elk stuk data zijn eigen unieke hash heeft. Vervolgens worden al deze hashes in paren van twee gegroepeerd. Elk paar hashes wordt dan samen gehasht, wat één nieuwe hash per paar produceert. Al de nieuwe hashes worden dan opnieuw gepaard, en deze paren worden weer samen gehasht. Dit proces herhaalt zich totdat er nog maar één hash over blijft, de zogenaamde Merkle-wortel (gevisualiseerd, lijkt de resulterende datastructuur op een soort stamboom, maar dan voor grote getallen in plaats van personen).

Merkle-bomen vergemakkelijken controles om te zien of de hash van een specifiek stuk data in de boom is opgenomen. Belangrijk is dat dit mogelijk is zonder dat men de overige data die gecodeerd werd, noch zelfs de meeste andere hashes, hoeft te zien. Alles wat nodig is, is een Merkle-bewijs, dat bestaat uit de relevante ‘takken’ van de boom. Dit dient in wezen als een compacte set van ‘aanwijzingen’ om het pad te vinden van de Merkle-wortel naar de hash van het specifieke stuk data.

Ondertussen is het strikt onmogelijk om iets in een boom te bewerken of te verwijderen zonder de hele boom te veranderen of, nauwkeuriger, zonder de wortel te veranderen. Als een stukje data wordt gewijzigd of verwijderd, zou de overeenkomstige hash ook veranderen, wat op zijn beurt noodzakelijkerwijs de weergave van zijn ‘kind’-hash beïnvloedt, wat natuurlijk de volgende hash beïnvloedt, en zo verder, helemaal tot aan de wortel van de boom. Niet ongelijk aan hash-ketens tonen Merkle-bomen ondubbelzinnig aan of data is gewijzigd, maar dan in een veel compacter formaat.

Het zou een waardevol middel blijken te zijn in de strijd tegen digitale fraude.

Een keten van wortels

Goed bekend met de vele cryptografische voorstellen die in de anderhalf decennium vóór de publicatie van Stornetta en Habers eerste paper zijn geïntroduceerd, stelde Bayer aan de onderzoekers van Bellcore voor dat ze Merkle’s hash-structuur konden gebruiken voor tijdstempels, wat het duo met plezier accepteerde. Hun tweede paper, Improving the Efficiency and Reliability of Digital Time-Stamping, werd gepubliceerd in 1993, en Bayer werd opgenomen als derde auteur.22

Stornetta, Haber en Bayer stelden voor om meerdere documenten tegelijkertijd te tijdstempelen door ze te bundelen in één grote Merkle-boom, die dagelijks werd aangemaakt. Gebruikers hoefden dan niet voor elk getijdstempeld document een afzonderlijke hash bij te houden. In plaats daarvan volstond het om enkel de dagelijkse Merkle-wortel als basisregistratie te bewaren, samen met hun eigen Merkle-bewijzen om de hash van hun documenten in de betreffende boom te vinden.

Dit verbeterde de efficiëntie aanzienlijk, waardoor meer gebruikers konden deelnemen aan het tijdstempelproces. Het werd zelfs mogelijk om de dagelijkse Merkle-wortel te publiceren in een krant, waar deze publiek zichtbaar zou zijn en bewaard kon worden in fysieke krantenarchieven (Stornetta en Haber richtten later de tijdstempel-start-up Surety op, die inderdaad Merkle-wortels opnam in de geclassificeerde advertenties van de New York Times).

Daarnaast kan, zoals verder uitgewerkt in hun derde paper Secure Names for Bit-Strings23, elke nieuwe Merkle-boom de vorige Merkle-wortel bevatten. Dit creëerde een reeks Merkle-wortels die zelf een chronologische hash-keten vormden. Bij het dagelijks creëren van een Merkle-boom werd de Merkle-wortel van gisteren opgenomen in de boom van vandaag, en de wortel van vandaag werd op zijn beurt verwerkt in de boom van morgen, enzovoort.

Op deze manier waren ook de Merkle-bomen zelf cryptografisch met elkaar verbonden. Vervalsing werd hierdoor nog moeilijker. Zelfs als iemand erin zou slagen om bijvoorbeeld één editie van de New York Times in het fysieke archief te vervalsen met een andere Merkle-wortel, zou dit niet overeenkomen met de Merkle-wortels die in alle kranten sinds die tijd zijn gepubliceerd, en ook niet met de persoonlijke archieven van mensen. Deze methode maakte het bijna onmogelijk om gegevens te vervalsen.

Als iemand zou proberen een document te antidateren, zou dit niet alleen de Merkle-wortel van die specifieke dag veranderen, maar het zou ook in strijd zijn met elke tijdstempelregistratie die daarna is gepubliceerd. Vervalsing werd daarmee in de praktijk onmogelijk. Feitelijk ontwierpen Scott Stornetta en Stuart Haber hiermee een systeem voor historische gegevensverificatie.

De sleutel tot hun succes, was de verdeling van vertrouwen.

Bestel dit boek

  1. David Chaum, Security Without Identification: Transaction Systems to Make Big Brother Obsolete, Communications of the ACM 28, no. 10: 1030–1044.↩︎

  2. David Chaum, Achieving Electronic Privacy, Scientific American 267, 2: 96–101.↩︎

  3. David Chaum, Blind Signatures for Untraceable Payments, Advances in Cryptology: Proceedings of Crypto 82: 199–203.↩︎

  4. Chaum zou later ook een oplossing voorstellen waarbij dubbel uitgeven de anonimiteit van de dader zou kunnen opheffen, waardoor de noodzaak om elke binnenkomende betaling direct te controleren aan de hand van de bankgegevens enigszins wordt beperkt, aangezien de dader van een dubbele-uitgavenaanval kan worden geïdentificeerd.↩︎

  5. Als een handig extra detail bevat het systeem ook een soort fraudepreventiecontrole, zij het een die ten koste gaat van privacy als en wanneer gebruikers ervoor zouden kiezen deze te gebruiken. Als Carol ten onrechte zou beweren dat ze nooit betaald is, zou Bob kunnen kiezen om de nonce aan Alice Bank te onthullen. Hiermee kan hij bewijzen dat hij de digitale dollars heeft gemaakt die Carol heeft gestort en dat hij ze aan haar heeft betaald.↩︎

  6. Dat gezegd zijnde, zijn er nog enkele andere, mogelijk meer drastische maatregelen die Alice Bank had kunnen nemen. Naast het weigeren om digitale dollars aan Bob uit te geven, had ze ook alle elektronische contante betalingen kunnen blokkeren. Evenzo zou ze bepaalde gebruikers kunnen blokkeren van het accepteren van betalingen; zelfs als betalingen niet kunnen worden getraceerd, kunnen sommige gebruikers nog steeds worden uitgesloten van deelname aan het systeem.↩︎

  7. Er kan worden gesteld dat Chaum een tamelijk losse definitie van contant geld gebruikte, aangezien contant geld meestal meer onderscheidende eigenschappen heeft. Chaums vorm van digitaal contant geld bood bijvoorbeeld beperkte overdraagbaarheid van persoon tot persoon — een kenmerk dat fysiek contant geld wel heeft, omdat het vrij kan worden doorgegeven. Niettemin heeft Chaum een vorm van digitaal geld uitgevonden die ten minste een vergelijkbaar niveau van privacy bood als fysiek contant geld, wat zijn hoofddoel was.↩︎

  8. David Chaum, Security Without Identification.↩︎

  9. Uiteindelijk werd het tolproject niet aangenomen: het idee bleek te controversieel in Nederland. De technologie zou echter later worden gelicentieerd onder de naam DyniCash aan een onderneming in Dallas, Texas die gespecialiseerd was in communicatie op microgolf-frequenties voor treinen.↩︎

  10. Peter H. Lewis, Attention Internet Shoppers: E-Cash Is Here, The New York Times, 19 oktober 1994, online↩︎

  11. DigiCash, Bank Austria and Den norske Bank to Issue ecash: the Electronic Cash for the Internet, DigiCash, 14 april 1997, geraadpleegd online↩︎

  12. DigiCash, Advance Bank First to Provide DigiCash’s ecash System in Australia, DigiCash, October, 1996, geraadpleegd online↩︎

  13. DigiCash, DigiCash’s Ecash to be Issued by Deutsche Bank, DigiCash, 7 mei 1996, geraadpleegd online↩︎

  14. Jeffrey Kutler, Credit Suisse, Digicash in E-Commerce Test, American Banker, 16 juni 1998, online↩︎

  15. Next! Magazine Hoe DigiCash alles verknalde, Next!, January 1999, geraadpleegd online↩︎

  16. American Banker, Digicash Sends Signal by Hiring Visa Veteran, American Banker, 6 mei 1997, online↩︎

  17. Julie Pitta, Requiem for a Bright Idea, Forbes, 1 november 1999, online↩︎

  18. Hash-functies werden voor het eerst voorgesteld door de wiskundige George B. Purdy van de University of Illinois at Urbana-Champaign in zijn artikel A High Security Log-in Procedure, Communications of the ACM 17, no. 8: 442–445.↩︎

  19. Scott Stornetta, The Missing Link between Satoshi & Bitcoin: Cypherpunk Scott Stornetta, interview by Naomi Brockwell, NBTV, with Naomi Brockwell, YouTube, 6 september 2018, online↩︎

  20. Stuart Haber and Scott W. Stornetta, How to Time-Stamp a Digital Document, Journal of Cryptology 3: 99–111.↩︎

  21. Ralph C. Merkle, A Certified Signature, Advances in Cryptology — CRYPTO ’89: Proceedings: 218–238.↩︎

  22. Dave Bayer, Stuart Haber and Scott W. Stornetta, Improving the Efficiency and Reliability of Digital Time-Stamping, Conference Paper, Sequences II: Methods in Communication, Security, and Computer Science: 329–34.↩︎

  23. Stuart Haber and Scott W. Stornetta, Secure Names for Bit-strings, CCS ’97: Proceedings of the 4th ACM Conference on Computer and Communications Security,: 28–35.↩︎