Monero CLSAG-Signaturen einfach erklärt

Am 17. Oktober 2020 tauschte Monero bei Block 2.210.720 völlig geräuschlos das kryptografische Herzstück hinter jeder einzelnen Transaktion aus. Die Hard Fork „Oxygen Orion" schickte die alte MLSAG-Ringsignatur in Rente und ersetzte sie durch CLSAG – und über Nacht waren die Transaktionen rund 25 % kleiner und die Verifizierung 10–20 % schneller. Wer jemals XMR verschickt oder über einen Dienst wie MoneroSwapper Bitcoin in Monero umgetauscht hat, dessen Transaktion wurde von einer CLSAG-Signatur geschützt, ohne dass man davon auch nur das Geringste bemerkt hätte.

Die meisten behandeln Moneros Privatsphäre wie eine Blackbox: Coins gehen rein, unauffindbare Coins kommen raus. Doch die Magie, die verbirgt, wer was gesendet hat, hat einen Namen und eine Struktur. CLSAG ist genau das Bauteil, mit dem du beweisen kannst „Ich besitze eine dieser Ausgaben und gebe sie genau einmal aus" – ohne preiszugeben, welche Ausgabe dir gehört. Dieser Artikel zerlegt, was CLSAG ist, wie es funktioniert, warum es seinen Vorgänger abgelöst hat und wo es auf Moneros Roadmap steht, während sich neuere Beweisverfahren wie FCMP++ dem Netzwerk nähern.

Wofür CLSAG eigentlich steht

CLSAG ist ein Akronym, und jeder Buchstabe beschreibt eine reale Eigenschaft des Verfahrens. Es steht für Concise Linkable Spontaneous Anonymous Group-Signaturen, also für „prägnante, verknüpfbare, spontane, anonyme Gruppensignaturen". Der Entwurf entstammt einer Forschungsarbeit aus dem Jahr 2019 von Brandon Goodell, Sarang Noether und einem Beitragenden, der unter dem Pseudonym RandomRun auftrat. Bevor das Verfahren das Mainnet erreichte, durchlief es ein Peer-Review und ein unabhängiges Audit.

• Concise (prägnant): Die Signatur ist kompakt. Eine CLSAG erzeugt pro Ringmitglied deutlich weniger Skalare als das abgelöste Verfahren – und genau daher rührt die Platzersparnis.
• Linkable (verknüpfbar): Wird dieselbe Ausgabe jemals zweimal ausgegeben, kann das Netzwerk das erkennen. Möglich macht das ein Schlüsselbild (Key Image) – ein deterministischer Fingerabdruck, der das doppelte Ausgeben verhindert, ohne den Sender zu enttarnen.
• Spontaneous (spontan): Keine Setup-Zeremonie und keine Absprache zwischen den Personen, deren Ausgaben in deinem Ring landen. Du ziehst dir Köder (Decoys) aus der Blockchain, ganz ohne deren Wissen oder Zustimmung.
• Anonymous (anonym): Ein Prüfer kann bestätigen, dass die Signatur gültig ist, aber er kann nicht erkennen, welches der Ringmitglieder sie tatsächlich autorisiert hat.
• Group (Gruppe): Die Signatur wird im Namen einer Gruppe – des Rings – erstellt, nicht im Namen eines einzelnen, identifizierbaren Schlüssels.

Fügt man diese Eigenschaften zusammen, ergibt sich der Kern von Moneros Sender-Privatsphäre: eine gültige Signatur, die belegt, dass irgendjemand aus einer Menge plausibler Kandidaten autorisiert hat – während der echte Unterzeichner verborgen bleibt und Doppelausgaben unmöglich sind.

Wie CLSAG unter der Haube funktioniert

Um CLSAG zu verstehen, musst du zuerst begreifen, was eine Ringsignatur überhaupt erreichen will, und dann sehen, wie CLSAG den Beweis schrumpfen lässt. Monero-Transaktionen nutzen RingCT, das zwei Dinge kombiniert, die beide privat bleiben müssen: wer ausgibt (Sender-Mehrdeutigkeit) und wie viel (Vertraulichkeit der Beträge). CLSAG kümmert sich um die erste Hälfte. Bulletproofs+ erledigt die zweite.

Das Problem der Ringsignatur

Wenn du eine Monero-Ausgabe ausgibst, baut deine Wallet einen Ring: deine echte Ausgabe plus eine Reihe von Köder-Ausgaben, die aus der Kette gezogen werden. Seit dem „Fluorine Fermi"-Upgrade vom August 2022 ist die Ringgröße fest auf 16 gesetzt – jede Ausgabe versteckt sich also zwischen 15 Ködern. Ein außenstehender Beobachter sieht 16 Kandidaten-Ausgaben und kann nicht sagen, welche davon tatsächlich ausgegeben wird.

Die Herausforderung besteht darin, so zu signieren, dass du beweist „Ich kontrolliere den privaten Schlüssel zu einer dieser 16 Ausgaben", ohne zu verraten, welcher es ist. Genau das leistet eine Ringsignatur. Der Trick: Man konstruiert eine Schleife kryptografischer Herausforderungen, die sich nur dann schließt, wenn der Unterzeichner einen einzigen echten privaten Schlüssel kennt – während von außen jedes einzelne Glied identisch aussieht.

Schlüsselbilder und Schutz vor Doppelausgaben

Die Gefahr bei einem verborgenen Sender ist die Doppelausgabe: Wenn niemand sehen kann, welche Ausgabe du verwendet hast, was hält dich dann davon ab, sie ein zweites Mal auszugeben? Die Antwort ist das Schlüsselbild. Jede Ausgabe hat genau ein gültiges Schlüsselbild, berechnet als der private Schlüssel multipliziert mit einem Hash-to-Point des öffentlichen Schlüssels. Es ist mathematisch fest an die Ausgabe gebunden, verrät aber nichts darüber, welches Ringmitglied es erzeugt hat.

Jedes jemals verwendete Schlüsselbild wird on-chain festgehalten. Trifft eine neue Transaktion ein, prüfen die Nodes, ob ihr Schlüsselbild schon einmal aufgetaucht ist. Falls ja, wird die Transaktion als Doppelausgabe abgelehnt. Genau das macht Moneros Modell des verborgenen Senders sicher – die Verknüpfbarkeit, also das „L" in CLSAG.

Wie die Aggregation die Signatur verkleinert

Hier liegt das Herzstück, warum CLSAG „prägnant" ist. In einer RingCT-Transaktion ist jedes Ringmitglied mit zwei öffentlichen Schlüsseln verknüpft: dem einmaligen Ausgabeschlüssel (er beweist den Besitz) und einer Betragsverpflichtung (Commitment, das beweist, dass Eingangs- und Ausgangswerte sich ausgleichen). Das vorherige Verfahren, MLSAG, signierte über beide Schlüssel getrennt und erzeugte so zwei Antwort-Skalare pro Ringmitglied.

CLSAG fasst das in einen einzigen Ring zusammen. Es verwendet Aggregationskoeffizienten – deterministisch abgeleitet, indem der Ring und seine Commitments gehasht werden –, um die beiden Schlüssel zu einer kombinierten Verifizierungsgleichung zu verschmelzen. Das Ergebnis: ein Antwort-Skalar pro Ringmitglied statt zwei, dazu eine einzige Anfangs-Challenge und das Schlüsselbild.

Bei einem Ring von 11 brauchte MLSAG etwa 22 Antwort-Skalare pro Eingang; CLSAG kommt mit rund 12 aus. Diese eine Änderung war es, die eine typische Transaktion mit zwei Eingängen um etwa ein Viertel schrumpfen ließ.

Entscheidend ist: Der Sicherheitsbeweis zeigt, dass diese Aggregation nichts schwächt. CLSAG bleibt unter denselben Annahmen wie zuvor fälschungssicher und anonym – sogar gegenüber einem Angreifer, der einige der Schlüssel im Ring selbst wählen darf. Du bekommst eine kleinere, schnellere Signatur ganz ohne Abstriche bei Privatsphäre oder Sicherheit – ein in der Kryptografie seltener, sauberer Gewinn.

CLSAG gegen MLSAG: Was sich verändert hat

MLSAG (Multilayered Linkable Spontaneous Anonymous Group-Signaturen) trieb RingCT von seinem Start im Januar 2017 bis zur Fork 2020 an. CLSAG ist ein direkter Drop-in-Ersatz, der dasselbe Vertrauensmodell beibehält und dabei den Speck wegschneidet. Die folgende Tabelle fasst die praktischen Unterschiede zusammen.

Die kleineren Signaturen sind mehr als reine Ästhetik. Ein geringeres Transaktionsgewicht bedeutet niedrigere Gebühren, weniger Blockchain-Aufblähung und schnellere Synchronisationszeiten für Nodes. Weil jede Monero-Transaktion strukturell gleich aussieht, summieren sich diese Einsparungen über das gesamte Netzwerk und verbessern die Fungibilität – keine Transaktion sticht aufgrund ihrer Historie als günstiger oder teurer hervor.

Wie sich CLSAG in eine Monero-Transaktion einfügt

CLSAG arbeitet nie allein. Es ist eine Komponente einer RingCT-Transaktion, neben Stealth-Adressen, Betragsverpflichtungen und Bereichsbeweisen (Range Proofs). Hier ist der vereinfachte Lebenszyklus einer Ausgabe – vom Moment, in dem deine Wallet beschließt zu senden, bis zu dem Moment, in dem ein Node sie annimmt.

1. Köder auswählen: Die Wallet greift sich 15 Köder-Ausgaben aus der Kette, und zwar mithilfe einer Gamma-Verteilung, die echte Ausgabemuster nachahmt; dann fügt sie deine echte Ausgabe hinzu und formt so einen Ring aus 16.
2. Commitments bauen: Eingangs- und Ausgangsbeträge werden hinter Pedersen-Commitments versteckt, und ein Pseudo-Output-Commitment wird erzeugt, damit der Prüfer bestätigen kann, dass Eingänge gleich Ausgängen sind, ohne die Werte zu sehen.
3. Schlüsselbild berechnen: Die Wallet leitet das Schlüsselbild für die auszugebende Ausgabe ab, das das Netzwerk später gegen seine Menge bereits ausgegebener Schlüsselbilder prüft.
4. Mit CLSAG signieren: Die Wallet erzeugt eine einzige aggregierte Ringsignatur über den Ring aus Einmal-Schlüsseln und Commitment-Schlüsseln und schließt die kryptografische Schleife nur deshalb, weil sie einen einzigen echten privaten Schlüssel hält.
5. Bereichsbeweise anhängen: Bulletproofs+ beweist, dass jeder Ausgangsbetrag in einem gültigen Bereich liegt, damit niemand mit einem negativen Output Coins aus dem Nichts erschaffen kann.
6. Verbreiten und verifizieren: Die Transaktion verbreitet sich über Dandelion++, um ihre Ursprungs-IP zu verschleiern, und die Nodes verifizieren die CLSAG-Signatur, die Commitments, die Bereichsbeweise und die Einmaligkeit des Schlüsselbilds, bevor sie sie weiterleiten.

Tipp: Du konfigurierst nichts davon. Ringgröße, Köderauswahl und das Signaturverfahren werden allesamt vom Konsens erzwungen, sodass zwei Wallets auf derselben Netzwerkversion ununterscheidbare Transaktionen erzeugen.

Ein Beispiel aus der Praxis

Stell dir vor, du tauschst über MoneroSwapper 0,5 BTC in XMR und sendest später einen Teil dieses Monero an eine Hardware-Wallet. In dem Moment, in dem du auf „Senden" drückst, stellt deine Wallet einen Ring aus 16 Ausgaben zusammen. Deine echte Ausgabe ist mit dabei, aber genauso 15 unbeteiligte Ausgaben anderer Nutzer, die nie ihre Teilnahme zugestimmt haben und nie erfahren werden, dass sie teilgenommen haben.

Die CLSAG-Signatur, die deine Wallet generiert, beweist jedem Node auf der Erde, dass du rechtmäßig eine dieser 16 kontrollierst – ohne zu verraten, welche. Eine Börse, die die Kette beobachtet, eine Blockchain-Analysefirma oder ein neugieriger Beobachter sehen eine gültige Transaktion mit 16 gleichermaßen plausiblen Quellen. Es gibt keine Heuristik, die zuverlässig die echte herauspickt – und genau das ist der Sinn der Sache.

Stell das einer transparenten Kette wie Bitcoin gegenüber, bei der der exakt ausgegebene Eingang öffentlich ist. Auf Bitcoin trägt diese 0,5 BTC eine dauerhafte, nachverfolgbare Historie mit sich. Auf Monero kappt CLSAG die Verbindung bei jedem einzelnen Sprung – und genau deshalb leiten datenschutzbewusste Nutzer Werte überhaupt erst durch Monero.

Der Blick nach vorn: FCMP++ und Seraphis

CLSAG ist hervorragend, aber es hat eine strukturelle Obergrenze: Die Anonymitätsmenge ist auf die Ringgröße gedeckelt. Bei 16 Mitgliedern versteckt sich deine echte Ausgabe zwischen 15 Ködern – stark, aber endlich. Moneros Forschungsgemeinschaft hat jahrelang an etwas Größerem gebaut.

FCMP++ (Full-Chain Membership Proofs) ist der geplante Nachfolger. Statt sich zwischen 16 Ausgaben zu verstecken, beweist FCMP++ die Mitgliedschaft gegenüber jeder Ausgabe, die jemals auf der Kette existiert hat – eine Anonymitätsmenge in zweistelliger Millionenhöhe statt 16. Entwicklung und Auditierung schritten über das Jahr 2025 stetig voran, das Upgrade ist für eine künftige Hard Fork vorgesehen. Wenn es landet, werden Ringsignaturen, wie wir sie kennen – CLSAG eingeschlossen –, in Rente geschickt.

Neben FCMP++ steht das Transaktionsprotokoll Seraphis und das Adressierungsschema Jamtis, die gemeinsam modernisieren, wie Monero-Ausgaben geformt und adressiert werden. Die Erkenntnis ist nicht, dass CLSAG überholt wäre – es sichert das Netzwerk genau jetzt und wird das noch eine ganze Weile tun –, sondern dass Monero niemals aufhört, seine Privatsphäre-Garantien zu verbessern. CLSAG war selbst ein Nachfolger von MLSAG, und der Kreislauf geht weiter.

FAQ

Wofür steht CLSAG?

CLSAG steht für Concise Linkable Spontaneous Anonymous Group-Signaturen. Jedes Wort beschreibt eine Eigenschaft: Die Signatur ist kompakt, Doppelausgaben sind erkennbar, zwischen den Ringmitgliedern ist keine Koordination nötig, der echte Unterzeichner bleibt verborgen, und der Beweis wird im Namen einer Gruppe statt eines einzelnen identifizierbaren Schlüssels erbracht.

Seit wann nutzt Monero CLSAG?

CLSAG wurde im Monero-Mainnet während der Hard Fork „Oxygen Orion" am 17. Oktober 2020 bei Blockhöhe 2.210.720 aktiviert. Es ersetzte MLSAG, das RingCT-Transaktionen seit Januar 2017 abgesichert hatte.

Wie viel kleiner machte CLSAG die Monero-Transaktionen?

Eine typische Transaktion mit zwei Eingängen schrumpfte um rund 25 %, und die Verifizierung wurde etwa 10–20 % schneller. Die Einsparung stammt daher, dass zwei Antwort-Skalare pro Ringmitglied auf einen reduziert werden, was sowohl die on-chain gespeicherten Daten als auch die Arbeit der Nodes bei der Verifizierung verringert.

Schwächt CLSAG Moneros Privatsphäre oder Sicherheit?

Nein. CLSAG bietet dieselbe Sender-Mehrdeutigkeit und denselben Schutz vor Doppelausgaben wie MLSAG. Seine Sicherheit wurde formal bewiesen und unabhängig auditiert, einschließlich der Widerstandsfähigkeit gegen Angriffe, bei denen ein Angreifer einige der Schlüssel im Ring kontrolliert. Es ist schlicht eine effizientere Version derselben Garantien.

Wird CLSAG ersetzt werden?

Letztlich ja. Das Upgrade FCMP++ (Full-Chain Membership Proofs) ist darauf ausgelegt, Ringsignaturen vollständig zu ersetzen und die Anonymitätsmenge von 16 Ringmitgliedern auf die gesamte Blockchain auszuweiten. Es befand sich über das Jahr 2025 in aktiver Entwicklung und Auditierung und zielt auf eine künftige Hard Fork – bis dahin sichert CLSAG das Netzwerk.

Fazit

CLSAG ist eines jener Upgrades, die beweisen, dass gute Kryptografie zugleich unsichtbar und wirkungsvoll sein kann. Es machte jede Monero-Transaktion kleiner, günstiger und schneller verifizierbar, während es die Sender-Privatsphäre und den Schutz vor Doppelausgaben bewahrte, die den Coin ausmachen – und das alles, ohne dass Nutzer auch nur einen Finger rühren mussten. Es zu verstehen entzaubert, was „unauffindbar" eigentlich bedeutet: keine Magie, sondern eine sorgfältig konstruierte Ringsignatur mit angeflanschtem Schlüsselbild.

Wenn du diese Privatsphäre nutzen möchtest, ist der einfachste Weg, Monero zu erwerben, ohne überhaupt erst deine Identität preiszugeben. Du kannst über MoneroSwapper ganz ohne Konto und ohne KYC Monero anonym kaufen – und jede Ausgabe, die du empfängst, wird in dem Moment, in dem du sie ausgibst, von genau den hier beschriebenen CLSAG-Signaturen verteidigt.