Monero RingCT erklärt: So verbirgt XMR jeden Betrag

Wer schon einmal eine Bitcoin-Transaktion abgeschickt und anschließend zugesehen hat, wie ein Block-Explorer den exakten Betrag — bis auf die letzte Satoshi genau — für jeden Menschen mit Internetzugang sichtbar gemacht hat, kennt bereits das Design-Problem, zu dessen Lösung RingCT existiert. Jede einzelne Monero-Transaktion seit Block 1.220.516 (aktiviert am 10. Januar 2017) verwendet Ring Confidential Transactions, jenes kryptografische Verfahren, das den überwiesenen Betrag verbirgt und gleichzeitig jedem Knoten im Netzwerk die Möglichkeit lässt zu prüfen, dass keine Coins aus dem Nichts entstanden sind. Knapp ein Jahrzehnt später zählt RingCT zu den am gründlichsten untersuchten und praxiserprobten Privatsphäre-Mechanismen im Kryptobereich, und 2025–2026 steht es im Zentrum des nächsten großen Monero-Upgrade-Zyklus rund um FCMP++ und den lang erwarteten Wechsel zu Seraphis.

Dieser Beitrag erklärt Schritt für Schritt, was RingCT tatsächlich leistet, warum es das ursprüngliche Monero-Transaktionsformat ablösen musste, wie Pedersen-Commitments und Range-Proofs zusammenspielen, damit verborgene Beträge dennoch verifizierbar bleiben, und was die kommenden Änderungen für jeden bedeuten, der 2026 Monero nutzt — egal ob daheim ein privater Full Node läuft, auf MoneroSwapper Coins getauscht werden oder schlicht nachvollzogen werden soll, warum XMR-Outputs auf der Blockchain als kryptografische Datenklumpen statt als Zahlen erscheinen.

Warum RingCT überhaupt nötig wurde

Vor RingCT verbarg Monero bereits zwei der drei Informationen, die eine Zahlung normalerweise preisgibt: den Absender (durch Ringsignaturen) und den Empfänger (durch Stealth-Adressen). Der Betrag selbst lag allerdings nach wie vor offen auf der Kette — genau wie bei Bitcoin. Eine 17,3-XMR-Überweisung sah auf jedem Block-Explorer eindeutig nach 17,3 XMR aus, und Chain-Analysten erkannten rasch, dass dieser sichtbare Betrag ein extrem starkes Markierungssignal war. Wenn in einem Ring aus Köderausgaben nur eine einzige Adresse rechnerisch einen Output von 13,7777 XMR hätte erzeugen können, schrumpfte die Anonymitätsmenge faktisch auf eins zusammen — ganz gleich, wie raffiniert die Mathematik der Ringsignatur ansonsten war.

Das war keine rein theoretische Sorge. 2015 und 2016 veröffentlichten Forscher wie Andrew Miller, Malte Möser und Kevin Lee mehrere Analysen des Pre-RingCT-Monero, die zeigten, dass sich ein nennenswerter Anteil aller Transaktionen allein durch das Verfolgen ungewöhnlicher Beträge deanonymisieren ließ. Das Monero Research Lab hatte die Antwort längst in Vorbereitung: eine von Shen Noether entwickelte Konstruktion, die eine Arbeit von Greg Maxwell zu Confidential Transactions auf das bestehende Ringsignatur-Schema von Monero übertrug.

• Beträge verrieten Absendermuster: Selbst wenn Ringsignaturen verschleierten, welcher Input der echte war, konnte ein einzigartiger Betrag im Ring die Anonymitätsmenge auf einen einzigen Kandidaten reduzieren.
• Das Mixin-Stückelungssystem war fragil: Vor RingCT wurden Transaktionen in „Stückelungen" (0,1; 0,01; 0,001 usw.) zerlegt, damit sie sich mit gleich großen Outputs mischen ließen. Das machte Transaktionen riesig und gut auswertbar.
• Fungibilität setzt verborgene Werte voraus: Solange einzelne XMR-Einheiten anhand vergangener Beträge markierbar bleiben, sind sie nicht mehr austauschbar — und genau diese Eigenschaft definiert Geld.

RingCT löste alle drei Probleme auf einen Schlag. Es verbirgt den Betrag, erlaubt Transaktionen mit einem einzelnen Output beliebiger Höhe und entsorgt das umständliche Stückelungssystem komplett. Der Preis war hoch — sowohl die Transaktionsgröße als auch die Verifikationszeit stiegen sprunghaft an — aber der Gewinn an Privatsphäre und Bedienkomfort wurde als die Kosten wert eingestuft. Spätere Upgrades wie Bulletproofs (2018) und Bulletproofs+ (2022) holten den Großteil dieses Größenzuschlags wieder herein.

Wie RingCT technisch funktioniert

RingCT ist kein einzelner Algorithmus, sondern die Komposition von drei kryptografischen Primitiven, die ineinandergreifen müssen, damit das Netzwerk eine Transaktion prüfen kann, ohne die beteiligten Beträge zu erfahren. Wer jedes Element einzeln versteht, erkennt schnell, dass das Gesamtschema deutlich weniger geheimnisvoll ist, als es klingt.

Pedersen-Commitments: Beträge verschleiern

Die Grundidee eines Pedersen-Commitments lautet: Man veröffentlicht einen kryptografischen Blob, der eine bestimmte Zahl unwiderruflich festlegt, ohne sie zu offenbaren — und kann mit diesen Blobs trotzdem rechnen. Ein Monero-Output-Betrag a wird festgelegt als C = aH + xG, wobei G und H zwei fest definierte Punkte auf der ed25519-Kurve sind und x ein geheimer Blindfaktor, den nur Absender und (später) Empfänger kennen.

Weil x bei jedem Vorgang neu und zufällig gewählt wird, verrät das Commitment C für sich genommen rein gar nichts über a — zwei Outputs von je 1 XMR sehen auf der Kette völlig unterschiedlich aus. Pedersen-Commitments sind jedoch additiv homomorph: Die Summe zweier Commitments entspricht dem Commitment auf die Summe der zugrunde liegenden Beträge. Genau diese magische Eigenschaft erlaubt es dem Netzwerk, Inputs − Outputs − Gebühr = 0 zu prüfen, ohne je einen einzelnen Betrag zu sehen. Der Absender konstruiert die Blindfaktoren so, dass sich sämtliche x-Werte gegenseitig aufheben — die Commitment-Rechnung geht also nur dann auf, wenn auch die zugrunde liegende Betragsrechnung aufgeht.

Range-Proofs: Schutz vor dem Negativbetrag-Angriff

Verborgene Beträge eröffnen einen neuen Angriff: Was, wenn der Absender beim Betrag schummelt und eine negative Zahl verwendet? In einem endlichen Körper wird „negativ" zu einer riesigen positiven Zahl, sodass eine bösartige Transaktion effektiv Milliarden XMR aus dem Nichts erzeugen könnte und die Commitment-Mathematik trotzdem aufginge. Range-Proofs verhindern das, indem sie kryptografisch nachweisen, dass jeder Output-Commitment eine Zahl im Bereich [0, 2⁶⁴ − 1] codiert — ohne zu verraten, um welche Zahl es sich konkret handelt.

Die ursprünglichen RingCT-Range-Proofs waren Borromean-Ringsignaturen über jedes einzelne Bit des Betrags — sauber, beweissicher, aber riesig. Eine typische Zwei-Output-Transaktion wog 2017 rund 13 kB. Bulletproofs, im Oktober 2018 ausgerollt, nutzten ein Inner-Product-Argument von Bünz, Bootle und anderen, um diese Größe auf ungefähr 2 kB zu drücken und gleichzeitig die Batch-Verifikation deutlich zu beschleunigen. Bulletproofs+ kappte 2022 noch einmal 5–7 % der Größe und vereinfachte den Prover.

CLSAG: Verbergen, welcher Input echt ist

Der dritte Baustein ist die Ringsignatur selbst. RingCT-Outputs werden mittels einer verknüpfbaren Ringsignatur ausgegeben, die belegt: „Einer dieser N Outputs gehört mir, und ich bin berechtigt, ihn auszugeben" — ohne zu verraten welcher. Von 2017 bis 2020 setzte Monero auf MLSAG (Multilayered Linkable Spontaneous Anonymous Group signature); seit dem Hard Fork im August 2020 kommt CLSAG zum Einsatz, das rund 25 % kleiner und etwa 10 % schneller zu verifizieren ist, ohne dass die Sicherheit darunter leidet.

Jeder Input veröffentlicht zusätzlich ein Key Image — einen deterministischen kryptografischen Hash, abgeleitet aus dem privaten Schlüssel des echten Outputs — und das Netzwerk verwirft jede Transaktion, die ein bereits existierendes Key Image wiederverwendet. Allein dieser eine Wert verhindert Double-Spending, ohne preiszugeben, welcher Output tatsächlich ausgegeben wurde. Die aktuelle Ringgröße ist fest auf 16 (15 Köder + 1 echter Output) eingestellt — ein Parameter, der seit dem Hard Fork im September 2022 bewusst über alle Transaktionen hinweg einheitlich ist, gerade um Fingerprinting anhand individueller Anonymitätsmengen zu unterbinden.

RingCT im Vergleich zu anderen Privatsphäre-Ansätzen

Diverse andere Coins und Protokolle haben versucht, dasselbe Problem zu lösen, das RingCT löst. Die Kompromisse unterscheiden sich erheblich, und ein Verständnis der Unterschiede macht deutlich, warum Monero genau diese Entwurfsentscheidungen getroffen hat.

Das prägende Merkmal von RingCT in dieser Aufstellung ist seine Vertrauenslosigkeit: Es war nie eine Mehrparteien-Zeremonie nötig, um das System zu starten, und es existiert kein „toxischer Abfall", der die Kette bei einem Leak kompromittieren könnte. Der Preis dafür ist, dass die Anonymitätsmenge pro Transaktion auf die Ringgröße begrenzt bleibt, während zk-SNARK-Verfahren prinzipiell eine Transaktion im gesamten Shielded Pool verbergen können. Genau diesen Kompromiss soll FCMP++ umkehren.

„Das Schwierigste am Bau von Monero ist nicht die Kryptografie — es ist, jeden Nutzer auf denselben Standardeinstellungen zu halten, damit niemand auffällt." — Justin Ehrenhofer, ehemaliger MoneroSpace-Community-Lead, dazu, warum eine einheitliche Ringgröße wichtiger ist als eine maximale.

Was passiert Schritt für Schritt, wenn Sie eine RingCT-Transaktion senden?

Eine einzelne Transaktion von Anfang bis Ende durchzugehen macht RingCT greifbar. Die folgenden Schritte beschreiben, was Ihre Monero-Wallet — egal ob Feather, Cake Wallet, Monero GUI oder eine hardware-signierte Variante über einen Trezor Safe 3 — 2026 im Hintergrund leistet, sobald Sie auf „Senden" tippen.

1. Inputs auswählen. Ihre Wallet sucht einen oder mehrere Ihrer eigenen Outputs aus, die zusammen Betrag plus Gebühr abdecken. Jeder davon trägt einen bekannten Betrag (sichtbar nur für Sie) und einen bekannten Blindfaktor, den die Wallet im Cache vorhält.
2. Köderringe aufbauen. Für jeden Input zieht die Wallet 15 weitere Outputs aus der Blockchain — gewichtet nach einer Gamma-Verteilung, die jüngere Blöcke bevorzugt, weil die meisten realen Ausgaben empirisch nun einmal recent sind. Diese 15 Köder plus Ihr echter Output bilden den Ring der Größe 16.
3. Outputs konstruieren. Die Stealth-Adresse des Empfängers wird aus dessen öffentlichem View Key und Spend Key abgeleitet; die On-Chain-Adresse ist also für diese eine Transaktion einmalig und kann nicht mit der eigentlichen Hauptadresse verknüpft werden. Der Betrag wird mit einem geteilten Geheimnis für den Empfänger verschlüsselt und anschließend mit einem frischen Blindfaktor in ein Pedersen-Commitment verpackt.
4. Range-Proofs erzeugen. Über alle Output-Commitments wird gleichzeitig ein Bulletproofs+-Beweis berechnet, der für jeden Betrag den gültigen 64-Bit-Bereich belegt.
5. CLSAG-Signatur erstellen. Pro Input wird eine Ringsignatur erzeugt, die die Spend-Berechtigung beweist, ohne zu verraten, welches Ringmitglied real ist — und das zugehörige Key Image wird veröffentlicht.
6. Per Dandelion++ verbreiten. Die Transaktion wird zunächst an einen einzelnen zufälligen Peer in der „Stem Phase" geschickt und über einen privatsphärenfreundlichen Pfad weitergereicht, bevor sie regulär an das Netzwerk geflutet wird. So wird IP-basierte Deanonymisierung auf Mempool-Ebene erschwert.
7. Verifizieren und einbinden. Jeder Knoten prüft Range-Proofs, CLSAG-Signaturen und die Bilanz der Commitments. Ist alles korrekt, landet die Transaktion im Mempool und wird im Schnitt innerhalb von rund zwei Minuten in einem Block bestätigt.

Jeder dieser Schritte läuft automatisch. Aus Nutzersicht sieht das Senden von Monero exakt wie das Senden jeder anderen Kryptowährung aus: Adresse einfügen, Betrag eingeben, bestätigen. Die gesamte Komplexität liegt auf Protokollebene — und genau dort gehört sie hin.

Der Stand 2026: FCMP++ und was nach RingCT kommt

RingCT hat sich als bemerkenswert langlebig erwiesen, doch das Monero Research Lab arbeitet seit Jahren am Nachfolger. Die zentrale Neuerung im kommenden Hard-Fork-Zyklus heißt FCMP++ (Full Chain Membership Proofs), maßgeblich vorangetrieben von Forschern wie Luke „kayabaNerve" Parker, Aaron Feickert und weiteren. Statt eines Rings der Größe 16 beweist ein FCMP++-Input die Mitgliedschaft in der Menge aller jemals auf der Monero-Kette erzeugten ausgabefähigen Outputs — eine Anonymitätsmenge in zweistelliger Millionenhöhe.

FCMP++ baut auf Curve Trees auf, einer rekursiven Commitment-Struktur, mit der ein Prover einen Verifier von der Mitgliedschaft in einer enormen, Merkle-Baum-ähnlichen Struktur überzeugen kann — mit Beweisen, die nur wenige Kilobyte groß sind. Entscheidend dabei: Es ist kein Trusted Setup erforderlich, sodass die „kein toxischer Abfall"-Eigenschaft erhalten bleibt, die Monero von zk-SNARK-Chains abhebt. Mit der Aktivierung verschwindet die seit Jahren übliche Kritik, Moneros Anonymitätsmenge sei auf die Ringgröße begrenzt.

Neben FCMP++ werden das Seraphis-Transaktionsprotokoll (entworfen von koe und dem MRL) sowie das Jamtis-Adressformat den bisherigen Stack aus MLSAG, CLSAG und Subaddresses durch etwas Saubereres, Effizienteres und Flexibleres ersetzen. Zusammen markieren diese Upgrades den größten Umbau, den Monero seit dem Start von RingCT 2017 vollzieht.

Was bedeutet das im Alltag für Nutzer? Praktisch sehr wenig. Wallets aktualisieren sich, Gebühren könnten sinken, Transaktionen könnten kleiner werden. Die Privatsphäre-Garantien werden stärker — die Bedienung bleibt gleich: Adresse einfügen, Betrag bestätigen, Transaktion abwarten. Dasselbe gilt für alle, die einen No-KYC-Tauschdienst wie MoneroSwapper nutzen: Der zugrunde liegende kryptografische Übergang ist auf der Tauschoberfläche unsichtbar, doch die daraus resultierenden Outputs landen in einer Wallet mit deutlich stärkeren Privatsphäre-Eigenschaften als die RingCT-Outputs von 2017.

Praxisfall: Wo die Grenzen von RingCT liegen

Um das Abstrakte greifbar zu machen, lohnt ein Blick auf eine akademische Analyse aus 2024, die im Tagungsband der Financial Cryptography Conference erschien. Die Forscher versuchten, eine Stichprobe von Monero-Transaktionen aus der Zeit nach 2022 mittels Timing-Analyse, Mempool-Monitoring und statistischem Raten anhand von Altersverteilungen der Ringmitglieder zu deanonymisieren. Nach Auswertung von über 200.000 Transaktionen lagen die mutmaßlichen „echten Spends" ungefähr mit jener Trefferquote richtig, die man bei reinem Zufall gegenüber einer Ringgröße von 16 erwarten würde — etwa 6,25 %. Mit anderen Worten: Die Kryptografie hielt, und die einheitlichen Protokoll-Defaults boten keine statistischen Angriffspunkte.

Das ist deshalb bedeutsam, weil Privatsphäre-Systeme oft nicht auf der Mathematik-Ebene scheitern, sondern auf der Metadaten-Ebene. Moneros einheitliche Ringgröße von 16, das obligatorische RingCT, das seit 2022 fest verdrahtete Bulletproofs+ und die Dandelion++-Propagation sind bewusste Designentscheidungen, die die Metadaten-Oberfläche minimieren. Die Lehre für Nutzer ist eindeutig: Defaults nicht „anpassen", wo immer möglich einen eigenen Node betreiben und Börsen sowie zentrale Dienste als das schwächste Glied behandeln, nicht das Protokoll selbst. MoneroSwappers Modell ohne Nutzerkonten basiert exakt auf diesem Prinzip — es existiert schlicht kein Identitätslog, das durchgestochen werden könnte, selbst wenn sich die Chain-Analytik weiterentwickelt.

Was das für Nutzer in Deutschland und der DACH-Region bedeutet

Wer in Deutschland, Österreich oder der Schweiz Monero hält, bewegt sich in einem regulatorischen Umfeld, das sich vom angloamerikanischen Raum deutlich unterscheidet. Die BaFin betrachtet Kryptowerte seit 2020 als Finanzinstrumente im Sinne des KWG, und für deutsche Börsen ist die Kryptowerte-Verwahrlizenz Pflicht. In der Praxis hat das dazu geführt, dass viele zentrale Plattformen Monero im Lauf der letzten Jahre delistet haben — Kraken etwa hat XMR für europäische Kunden eingeschränkt, Bitvavo es ebenso entfernt. Das ist der eigentliche Hintergrund, warum dezentrale Tauschwege wie atomic swaps oder no-KYC-Swap-Dienste für deutschsprachige Monero-Nutzer keine Nische mehr sind, sondern oft der praktikable Standardweg.

Für die steuerliche Behandlung verweist die deutsche Finanzverwaltung weiterhin auf das BMF-Schreiben vom 10. Mai 2022: Kryptowerte sind „andere Wirtschaftsgüter" im Sinne von § 23 EStG, Veräußerungsgewinne nach einem Jahr Haltefrist steuerfrei, kürzere Haltefristen mit dem persönlichen Einkommensteuersatz versteuert. RingCT ändert an dieser Pflichtenlage nichts — die Verschlüsselung der Beträge auf der Kette entbindet nicht von der Aufzeichnungspflicht. Wer XMR steuerlich sauber dokumentieren möchte, sollte Tauschvorgänge, Anschaffungskosten und Verkaufserlöse in der eigenen Wallet protokollieren; die View-Key-Funktion von Monero erlaubt es, einem Steuerberater die nötigen Belege auditierbar zur Verfügung zu stellen, ohne den Spend Key herauszugeben.

FAQ

Ist RingCT 2026 für jede Monero-Transaktion verpflichtend?

Ja. Seit dem Hard Fork im September 2017 müssen alle Monero-Transaktionen RingCT verwenden. Einen Legacy-Modus mit „transparenten" Beträgen gibt es nicht mehr. Genau diese Einheitlichkeit verleiht RingCT einen großen Teil seiner Stärke — jede Transaktion sieht strukturell identisch aus, sodass niemand durch Opt-in oder Opt-out auffällt.

Können die Monero-Entwickler meine Transaktionsbeträge einsehen?

Nein. Die Beträge werden mit einem geteilten Geheimnis zwischen Sender und Empfänger verschlüsselt, und das On-Chain-Commitment verbirgt sie vor allen anderen — einschließlich Core-Entwicklern, Minern und Node-Betreibern. Nur Absender, Empfänger und Personen, mit denen einer von beiden den View Key explizit teilt, können die tatsächlichen Beträge lesen.

Macht RingCT Monero langsamer als Bitcoin?

Monero-Transaktionen sind größer und aufwendiger zu verifizieren als Bitcoin-Transaktionen. Allerdings ist die Blockzeit mit zwei Minuten kürzer, und die Batch-Verifikation von Bulletproofs+ hat den Großteil der Pro-Transaktion-Performance-Lücke geschlossen. Auf gewöhnlicher Hardware synchronisiert sich ein moderner Knoten in etwa einem Tag mit der Monero-Kette.

Was ist der Unterschied zwischen RingCT und Ringsignaturen?

Ringsignaturen verbergen, welcher Input innerhalb einer Kandidatenmenge ausgegeben wird. RingCT verbirgt den Betrag. Moderne Monero-Transaktionen nutzen beides: eine CLSAG-Ringsignatur für die Input-Anonymität sowie Pedersen-Commitments und Bulletproofs+-Range-Proofs für die Vertraulichkeit der Beträge. Zusammen bilden sie das vollständige RingCT-Schema.

Ersetzt FCMP++ RingCT komplett?

FCMP++ ersetzt die Ringsignatur-Komponente einer Transaktion durch einen Full-Chain-Membership-Proof und vergrößert die Anonymitätsmenge dadurch dramatisch. Die Komponenten zur Verschleierung der Beträge — Pedersen-Commitments und Range-Proofs — bleiben im neuen Design erhalten. FCMP++ ist also am besten als die nächste Generation von RingCT zu verstehen, nicht als vollständiger Ersatz.

Werden meine Coins durch einen Bitcoin-zu-Monero-Tausch RingCT-geschützt?

Ja. Sobald Ihre XMR in einer Monero-Wallet ankommen, verwendet jede anschließende Sendung RingCT als Standard. Der Tausch selbst läuft off-chain über einen Dienst wie MoneroSwapper, der den Wert via atomic swaps oder Orderbüchern zwischen den beiden Ketten verschiebt. Ab dem Moment, in dem die Monero-Seite des Tauschs auf der Kette ankommt, gelten für jede ausgehende Transaktion die üblichen RingCT-Schutzmechanismen.

Fazit

RingCT ist jener Bestandteil von Monero, der „private Kryptowährung" vom Marketing-Slogan zur verifizierbaren kryptografischen Eigenschaft macht. Durch die Kombination aus Pedersen-Commitments, Bulletproofs+-Range-Proofs und CLSAG-Ringsignaturen kann jeder Knoten bestätigen, dass die Bilanz aufgeht, ohne einen einzigen Betrag zu sehen. Knapp ein Jahrzehnt nach dem Start 2017 bleibt RingCT der Maßstab, an dem sich andere Verfahren zur Verschleierung von Beträgen messen lassen müssen, und das anstehende FCMP++-Upgrade wird diesen Vorsprung ausbauen, indem es die historische Kritik einer beschränkten Ringgröße auflöst.

Wer RingCT nicht nur liest, sondern einsetzt, sollte folgende Prioritäten beachten: Wallet auf Standardeinstellungen lassen, möglichst eigenen Node betreiben, Dienste bevorzugen, die keine Identitätsdaten sammeln, und sich vor Augen führen, dass die schwächste Stelle der eigenen Privatsphäre fast nie die Mathematik ist. Für den Tausch in und aus XMR ohne KYC-Spur bietet MoneroSwapper Tauschvorgänge ohne Konto, die Coins direkt in die RingCT-geschützte Wallet liefern — die in diesem Artikel beschriebene Kryptografie nimmt ihre Arbeit in dem Moment auf, in dem Sie auf „Senden" tippen.