Ga naar inhoud
Freedom/21
/01Fundamentals/02Waarde & Markt/03Bewaren/04OndernemersNL/05Mining/06Tech/07Fiscus NLNL
Fundamentals

Publieke en private sleutels

Bitcoin draait op één fundamenteel idee: je kunt bewijzen dat iets van jou is, zonder dat een bank of derde partij ertussen zit. Die magie zit in een stukje cryptografie met publieke en private sleutels. Begrijp je dit, dan begrijp je waarom Bitcoiners zeggen: 'not your keys, not your coins.'

Twee sleutels, één paar

Bitcoin gebruikt asymmetrische cryptografie. Dat klinkt ingewikkeld, maar het komt neer op dit: je hebt twee sleutels die bij elkaar horen. Eentje deel je met de wereld, de andere houd je strikt voor jezelf.

  • Publieke sleutel (en afgeleid adres): mag iedereen zien. Hiermee kun je Bitcoin ontvangen.
  • Private sleutel: kent alleen jij. Hiermee kun je Bitcoin uitgeven.

De twee zijn wiskundig aan elkaar verbonden. Uit de private sleutel kun je de publieke afleiden, maar andersom niet. Dat is de kern van het hele systeem. Iemand die je adres kent, kan daar nooit je private key uit reconstrueren.

De postbus-metafoor

Een simpele manier om dit te zien: stel je een postbus voor met een gleuf aan de voorkant en een slot aan de achterkant.

Iedereen mag de postbus zien en er brieven in gooien. Het adres op de postbus is publiek. Maar alleen jij hebt het sleuteltje om de achterkant te openen en de inhoud eruit te halen. Je publieke adres is de gleuf. Je private key is het slot.

Zolang niemand je private key heeft, kan niemand bij je sats. Andersom: verlies je de private key, dan zit de post voor altijd opgesloten in de postbus. Er is geen slotenmaker. Dat is tegelijk de kracht en de verantwoordelijkheid van Bitcoin.

Hoe ziet een Bitcoin-adres eruit?

Een Bitcoin-adres is een reeks letters en cijfers. Afhankelijk van het type adres begint het met verschillende tekens. Je kunt dus drie soorten tegenkomen:

  • Legacy (P2PKH): begint met een 1, bijv. 1BoatSLRHtKNngkdXEeobR...
  • SegWit (P2SH): begint met een 3, bijv. 3J98t1WpEZ73CNmQviecrn...
  • Native SegWit (Bech32): begint met bc1, bijv. bc1qar0srrr7xfkvy5l643l...

Nieuwe adressen zijn vrijwel altijd bc1-adressen. Ze zijn efficiënter en goedkoper in gebruik. Maar alle drie de varianten werken nog gewoon op het netwerk.

Wat doet de private key precies?

Wanneer je Bitcoin wilt versturen, maakt je wallet een digitale handtekening. Die handtekening wordt berekend met je private key. De rest van het netwerk kan vervolgens controleren — met je publieke sleutel — dat de handtekening klopt, zonder dat ze je private key ooit te zien krijgen.

Je bewijst dus eigendom zonder het bewijs zelf te hoeven onthullen. Dat is elegant, maar het heeft één keiharde consequentie: wie de private key heeft, beheert de sats. Punt.

Vandaar de veelgehoorde uitspraak: "not your keys, not your coins." Staan je sats op een exchange? Dan beheert de exchange de keys, niet jij. Gaat die exchange failliet of bevriest ze je account, dan sta je met lege handen. Pas als je zelf de keys beheert, ben je echt eigenaar.

Bitcoin is het eerste activum in de geschiedenis dat je volledig zelf kunt bezitten, zonder tussenpersoon. Maar dat vraagt wel dat je de sleutels serieus neemt.
Freedom/21

De seed phrase: de sleutel achter al je sleutels

In de praktijk ga je zelden direct met één ruwe private key werken. Moderne wallets gebruiken zogeheten HD-wallets (Hierarchical Deterministic wallets). Die werken met een seed phrase: een lijstje van 12 of 24 Engelse woorden.

Uit die woorden kan je wallet oneindig veel private keys en bijbehorende adressen afleiden. Altijd in dezelfde volgorde. Verlies je je hardware-wallet maar heb je je seed phrase nog, dan kun je op een ander apparaat álles herstellen.

  • Bewaar je seed phrase offline: papier, metaal, nooit in een foto of cloud.
  • Deel hem met niemand: geen wallet-fabrikant, geen exchange, geen "support-medewerker".
  • Test je back-up: weet dat je de seed kunt gebruiken om te herstellen, voordat je er vermogen op zet.

Keys horen offline te zijn

Bij een correcte setup raakt je private key nooit het internet. Dat is het doel van een hardware-wallet: de keys worden op een apart apparaat gegenereerd en bewaard, en verlaten dat apparaat nooit. Transacties worden daar ondertekend en alleen de handtekening gaat naar buiten.

Voor grotere bedragen bestaan geavanceerdere setups, zoals multisig. Daarbij zijn meerdere keys nodig om een transactie te tekenen — bijvoorbeeld 2 van de 3. Dat beschermt je tegen één verloren sleutel, diefstal van één apparaat of één moment van onoplettendheid.

Veelgemaakte denkfouten

Een paar misverstanden die we vaak tegenkomen:

  • "Mijn wallet is mijn sats." Nee. Je wallet is software of hardware die met jouw keys omgaat. De sats staan op de blockchain. Zonder keys is er geen toegang.
  • "Ik heb geen key, ik heb een wachtwoord." Op een exchange werk je met een login. Dat is geen private key. De exchange heeft de echte keys.
  • "Een schermafbeelding van mijn seed is genoeg." Dat is een van de meest voorkomende oorzaken van diefstal. Alles wat op een internet-apparaat staat, kan uitlekken.
Volgende stap

Wil je jouw keys veilig opzetten?

We lopen samen je situatie door en kiezen een setup die past — van mobiel tot multi-sig.

Plan een consultVolgende: wat is een wallet?