Een Bitcoin-ontwikkelaar waarschuwt dat de Amerikaanse veiligheidsdienst NSA opnieuw invloed probeert te krijgen op gebruikte cryptografie. De zorg is dat standaarden en bibliotheken zwakker kunnen worden gemaakt zonder dat gebruikers het merken. De discussie raakte snel de wereld van digitale valuta, wallets en beurzen. Europese regels zoals MiCA en DORA maken dit extra relevant voor partijen die in de EU actief zijn.
Ontwikkelaar waarschuwt voor sabotage
De kern van de waarschuwing: let op de basis van de beveiliging, niet alleen op de software erboven. Als de cryptografie zwak wordt, helpt geen enkele extra laag. Dat raakt Bitcoin (BTC), Ethereum (ETH) en ook stablecoins. Het kan gaan om standaarden, maar ook om code in bibliotheken die veel projecten delen.
Ontwikkelaars wijzen op het verleden, maar kijken ook naar nieuwe standaarden. Vooral discussies rond post-quantum cryptografie spelen nu. Post-quantum is versleuteling die bestand moet zijn tegen toekomstige kwantumcomputers. Als daar een fout of achterdeur in zit, kan een hele keten van blokken kwetsbaar worden.
In open-source projecten is de code zichtbaar. Toch is detectie van een slimme achterdeur lastig. Een kleine aanpassing in een generator van willekeurige getallen kan genoeg zijn. Gebruikers en bedrijven merken pas iets als sleutels uitlekken of transacties misgaan.
Les uit de Dual_EC-zaak
De zorg komt niet uit het niets. In 2013 kwam naar buiten dat de standaard Dual_EC_DRBG voor willekeurige getallen mogelijk een achterdeur had. Die standaard werd door veel leveranciers gebruikt. Het leidde tot bredere twijfel over door overheden beïnvloede cryptografie.
Een ‘backdoor’ is een geheime zwakke plek in beveiliging. Wie de truc kent, kan versleutelde data of sleutels toch lezen. De gebruiker ziet dat meestal niet.
Voor blockchains is willekeurige getalgeneratie cruciaal. Sleutels voor wallets en handtekeningen moeten echt onvoorspelbaar zijn. Als dat niet zo is, kunnen aanvallers sleutels afleiden. Dan zijn coins en data niet meer veilig.
De Bitcoin-gemeenschap koos ooit bewust voor secp256k1 in plaats van NIST-curves. Dat was mede uit wantrouwen tegen mogelijke beïnvloeding. Ook na de Taproot-upgrade, die Schnorr-handtekeningen toevoegde, blijft de vraag: welke bouwstenen zijn echt betrouwbaar?
Post-quantum standaarden onder vuur
Wereldwijd worden post-quantum algoritmen uitgerold. Deze moeten aanvallen door toekomstige kwantumcomputers weerstaan. De selectie loopt vaak via nationale instituten, zoals NIST in de VS. Sommige onderzoekers vrezen dat daar opnieuw sturing kan plaatsvinden.
Voor digitale assets is dit geen ver-van-je-bed-show. Veel wallets en exchanges gebruiken dezelfde cryptobibliotheken. Als die straks overstappen op post-quantum varianten, moet de review streng zijn. Een fout kan miljoenen gebruikers raken.
In Europa volgen ook ENISA en academische teams de standaarden. Er komen audits, test-implementaties en bug bounties. Dat is goed, maar niet zaligmakend. Diversiteit in implementaties en leveranciers blijft nodig.
MiCA en DORA verhogen lat
MiCA bepaalt vanaf 2024-2025 de marktregels voor crypto in de EU. Uitgevers van tokens en aanbieders van diensten krijgen zwaardere eisen. Denk aan governance, risicobeheer en duidelijke informatie. Beveiliging van wallets en sleutels hoort daarbij.
DORA is de nieuwe EU-wet voor digitale weerbaarheid in de financiële sector. Ook crypto-bedrijven die onder MiCA vallen krijgen te maken met ICT-risicotests en incidentmelding. Leveranciersrisico en supply chain komen centraal te staan. Een zwakke cryptobibliotheek is zo’n leveranciersrisico.
Praktisch betekent dit: documenteer je cryptografie-keuzes. Leg vast welke standaarden, libraries en hardware je gebruikt. Test updates vooraf en houd fallback-opties klaar. Zo voldoe je aan toezicht en beperk je impact bij een kwetsbaarheid.
Nederlandse toets: AFM en DNB
In Nederland houden AFM en DNB toezicht op crypto-dienstverleners. Nu vooral via Wwft-registratie, straks via MiCA-vergunningen. Beide toezichthouders letten op operationeel risico, beveiliging en uitbesteding. Zij verwachten “in control” zijn over kritieke processen, zoals key management.
DNB publiceert regelmatig good practices voor IT-risico’s. Denk aan scheiding van taken, vier-ogen-principe en noodprocedures. Voor custodian wallets is dat extra belangrijk. Als sleutels weglekken, is de schade direct en vaak onherstelbaar.
Ook Nederlandse fintechs en beurzen moeten leveranciers toetsen. Welke HSM’s en secure elements gebruik je? Hoe vaak laat je de cryptografie extern auditen? En wat is je plan als een standaard onveilig blijkt?
Wat bedrijven nu kunnen doen
Bedrijven hoeven niet te wachten op nieuwe regels. Begin met een inventarisatie van alle cryptografie in de keten. Van wallet tot backend en mobiele app. Leg vast wie verantwoordelijk is voor updates en audits.
- Gebruik meerdere, onafhankelijk gereviewde bibliotheken waar mogelijk.
- Voer reproducible builds en code signing in voor supply-chain-beheer.
- Monitor kwetsbaarheden en subscribe op security-advisories.
- Test noodscenario’s: sleutelrotatie, chain reorganisaties, library rollback.
Voor gebruikers geldt: update wallets en firmware tijdig. Kies voor leveranciers met open documentatie en auditrapporten. Bewaar herstelzinnen offline en veilig. Wees alert op ongebruikelijke app-updates of permissies.
Onzekerheid hoort bij beveiliging. Er is geen direct bewijs voor nieuwe sabotage, maar de risico’s zijn reëel. Transparantie, diversiteit en onafhankelijke toetsing helpen. Zo blijft de basis van Bitcoin, Ethereum en andere netwerken stevig.
