Monero RingCT: Vertrauliche Transaktionen erklärt
Monero RingCT: Vertrauliche Transaktionen einfach erklärt
Öffnen Sie einen beliebigen Bitcoin-Block-Explorer, und Sie können den exakten Betrag jeder jemals getätigten Transaktion ablesen — auf das Satoshi genau. Geben Sie eine Adresse ein, sehen Sie deren Guthaben, verfolgen, woher die Coins kamen, und wohin sie weiterflossen. Diese Transparenz ist gewollt — und genau der Grund, warum ein Gehaltseingang, eine Spende oder eine einzige unbedachte Einzahlung eine ganze Wallet deanonymisieren kann. Monero geht den umgekehrten Weg: Auf seiner Blockchain bleibt schon der Betrag selbst verborgen. Die Technologie, die das möglich macht, heißt RingCT — kurz für Ring Confidential Transactions.
RingCT ist der Grund, warum eine Monero-Transaktion im öffentlichen Ledger als kryptografisches Commitment erscheint statt als lesbare Zahl. Sie ging im Januar 2017 live und wurde noch im selben Jahr für alle Transaktionen verpflichtend. Jedes XMR, das Sie über eine Wallet versenden — oder über einen kontofreien Dienst wie MoneroSwapper beziehen — ist dadurch geschützt. Dieser Artikel erklärt, was RingCT leistet, mit welcher Mathematik das Netzwerk eine Transaktion prüfen kann, ohne die Beträge zu sehen, wie sich das Verfahren über Bulletproofs und Bulletproofs+ weiterentwickelt hat und wohin es mit FCMP++ als Nächstes geht.
Warum es entscheidend ist, den Betrag zu verbergen
Privatsphäre auf einer Blockchain ist keine einzelne Funktion, sondern besteht aus drei Problemen, die alle gleichzeitig gelöst werden müssen. Lassen Sie auch nur eines davon offen, sickern die beiden anderen durch dieses Leck hindurch. Monero packt alle drei an — und RingCT ist für das dritte zuständig.
- Wer gesendet hat: Darum kümmern sich Ring-Signaturen. Sie unterzeichnen eine Transaktion im Namen einer Gruppe möglicher Absender, sodass ein Beobachter nicht erkennen kann, welcher Input der echte ist.
- Wer empfangen hat: Dafür sorgt die Stealth-Address-Technik, die für jede Zahlung eine einmalige Einweg-Adresse erzeugt, damit Gelder nie auf einer wiederverwendbaren öffentlichen Adresse landen.
- Wie viel gesendet wurde: Das übernimmt RingCT. Es verschlüsselt den Betrag in einem Pedersen-Commitment und lässt trotzdem jeden Node bestätigen, dass die Bilanz aufgeht.
Bevor es RingCT gab, verbarg Monero zwar Absender und Empfänger, ließ die Beträge aber im Klartext stehen. Um überhaupt etwas Betragsschutz zu erreichen, zwang das Protokoll Transaktionen in feste Stückelungen — etwa 0,01, 0,1, 1, 10 —, so ähnlich, wie Sie etwas mit passend abgezähltem Münzgeld bezahlen. Das verriet erstaunlich viel. Die Menge plausibler Lockvogel-Outputs für einen 7,3-XMR-Output ist weit kleiner als die für einen verborgenen Output, weil die Decoys zur Stückelung passen mussten. Sichtbare Beträge erlaubten es Analysten außerdem, Transaktionen zu verknüpfen, indem sie gleiche Werte über die Kette hinweg verfolgten.
Vertrauliche Beträge schließen dieses Loch. Sobald der Wert verschlüsselt ist, sieht jeder Output strukturell aus wie jeder andere — und genau das ist die Grundlage der Fungibilität: die Eigenschaft, dass eine XMR-Einheit gegen jede andere austauschbar ist, ohne „belastete“ Historie, die ein Händler oder eine Börse ablehnen könnte. Diese Frage wird Jahr für Jahr wichtiger. Nachdem Binance XMR Anfang 2024 aus dem Handel nahm und mehrere europäische Börsen nachzogen, wurde das Argument für einen Coin, dessen einzelne Einheiten sich weder durchleuchten noch auf eine schwarze Liste setzen lassen, nur stärker. Im EU-Raum verstärkt die MiCA-Verordnung diesen Druck zusätzlich, weil sie regulierten Plattformen den Umgang mit anonymitätswahrenden Coins erschwert.
Was RingCT genau ist und wie es funktioniert
Die „CT“-Hälfte von RingCT — Confidential Transactions — verbirgt die Beträge und beruht auf einem kryptografischen Baustein namens Pedersen-Commitment. Die „Ring“-Hälfte verzahnt dieses Verbergen der Beträge mit Moneros bestehendem Ring-Signatur-Verfahren, sodass auch der Absender anonym bleibt. Am einfachsten betrachtet man beide Ideen getrennt.
Pedersen-Commitments: eine Zahl verschlüsseln, mit der man weiterrechnen kann
Ein Commitment ist eine Methode, einen Wert festzulegen, ohne ihn preiszugeben — und ohne ihn später noch ändern zu können. Ein Pedersen-Commitment auf einen Betrag sieht so aus: C = xG + aH. Dabei ist a der tatsächliche Betrag, x ein zufälliger Geheimwert (der sogenannte Blinding-Faktor) und G sowie H sind feste Punkte auf einer elliptischen Kurve. Der Blinding-Faktor macht das Commitment undurchsichtig: Ohne ihn würden zwei Outputs desselben Werts völlig unterschiedlich aussehende Commitments erzeugen, sodass man ihre Gleichheit nicht erkennt.
Die entscheidende Eigenschaft ist, dass diese Commitments additiv beziehungsweise homomorph sind. Addieren Sie die Commitments aller Inputs einer Transaktion und stellen sie der Summe der Commitments aller Outputs plus Gebühr gegenüber: Wenn die echten Beträge ausgeglichen sind, sind beide Summen Commitments auf denselben Gesamtwert. Der Absender stimmt die Blinding-Faktoren so ab, dass Inputs minus Outputs ein Commitment auf null ergeben. Jeder Node im Netzwerk kann diese Gleichung prüfen — und damit bestätigen, dass keine Coins entstanden oder vernichtet wurden —, ohne je einen einzigen Betrag der Transaktion zu erfahren.
Der ganze Trick von RingCT besteht darin, dass das Netzwerk die Bilanz auf das Satoshi genau beweisen kann, während es mathematisch außerstande ist, irgendeinen einzelnen Posten zu lesen.
Range Proofs: verhindern, dass jemand Coins aus dem Nichts erschafft
Die homomorphe Bilanz hat eine gefährliche Lücke. Weil die Beträge verborgen sind, könnte ein böswilliger Absender versuchen, sich auf einen negativen Betrag festzulegen — der dank modularer Arithmetik zu einer riesigen positiven Zahl „umschlägt“ und ihm erlauben würde, XMR aus dem Nichts zu zaubern. Um das zu unterbinden, trägt jeder vertrauliche Output einen Range Proof: eine kryptografische Garantie, dass der festgelegte Betrag innerhalb eines gültigen Bereichs liegt — zwischen null und 2⁶⁴ —, ohne zu verraten, an welcher Stelle dieses Bereichs er sich befindet.
In den Range Proofs steckte stets der größte Teil von RingCTs Umfang und Kosten — und hier fanden auch die größten Verbesserungen statt. Die ursprüngliche Implementierung von 2017 nutzte Borromean-Ring-Signaturen: korrekt, aber sperrig. Eine typische Transaktion mit zwei Outputs trug rund 13 KB Range-Proof-Daten mit sich, was Monero-Transaktionen groß und die Gebühren vergleichsweise hoch machte. Dieses Verfahren zu ersetzen, war seither die zentrale Optimierungsgeschichte des Protokolls.
Die Entwicklung von RingCT: Bulletproofs, Bulletproofs+ und CLSAG
RingCT ist nichts Starres — es wurde über Moneros etwa halbjährliche Hard Forks mehrfach neu konstruiert, jedes Mal kleiner und schneller, bei gleichbleibenden Privatsphäre-Garantien. Die wichtigsten Upgrades:
| Upgrade | Aktiviert | Was sich änderte |
|---|---|---|
| RingCT (Borromean) | Jan. 2017, verpflichtend Sep. 2017 | Führte verborgene Beträge über Pedersen-Commitments und Borromean-Range-Proofs ein. |
| Bulletproofs | Okt. 2018 | Ersetzte die Borromean-Proofs; verkleinerte den Range Proof einer 2-Output-Tx von ~13 KB auf ~2,5 KB, schrumpfte die Gesamtgröße um ~80 % und die Gebühren um über 95 %. |
| CLSAG | Okt. 2020 | Ersetzte die MLSAG-Ring-Signaturen; ~25 % kleinere Signaturen und spürbar schnellere Verifikation. |
| Bulletproofs+ | Aug. 2022 | Verfeinerte Bulletproofs für nochmals weniger Umfang und schnellere Prüfung; dieselbe Fork hob die Ring-Größe auf 16 und führte View-Tags ein. |
Bulletproofs, ausgerollt im Hard Fork vom Oktober 2018, war der Wendepunkt. Durch den Wechsel zu einem Range Proof logarithmischer Größe brach die an jede Transaktion angehängte Datenmenge ein, und die mittleren Gebühren fielen von Dollarbeträgen auf Bruchteile eines Cents. Es ist die einzelne Änderung, die am meisten dafür verantwortlich ist, dass Monero heute günstig zu nutzen ist. Bulletproofs+ presste im August 2022 eine weitere Marge heraus und beschleunigte die Verifikation — was zählt, weil jeder Node jeden Proof prüfen muss.
Die Seite der Ring-Signaturen entwickelte sich parallel. CLSAG (Concise Linkable Spontaneous Anonymous Group signatures) ersetzte im Oktober 2020 die ältere MLSAG-Konstruktion und machte die absenderverbergende Komponente rund ein Viertel kleiner und schneller prüfbar. Dieselbe Fork vom August 2022, die Bulletproofs+ brachte, hob auch die verpflichtende Ring-Größe von 11 auf 16 an — jeder ausgegebene Output verbirgt sich nun unter 15 statt 10 Decoys — und führte View-Tags ein, eine kleine Optimierung, mit der Wallets beim Durchsuchen der Kette nach eingehenden Geldern den Großteil der Arbeit überspringen können.
Wie eine RingCT-Transaktion Schritt für Schritt aufgebaut wird
Es hilft zu sehen, wie sich die Teile zusammenfügen, wenn Ihre Wallet XMR versendet. Nichts davon erfordert Ihr Zutun — die Wallet erledigt es in ein, zwei Sekunden —, doch die Abfolge zu verstehen, nimmt dem, was tatsächlich auf der Kette landet, das Geheimnisvolle.
- Echten Input und Decoys auswählen. Die Wallet wählt den Output, den Sie tatsächlich ausgeben, und holt 15 weitere echte Outputs aus der Kette als Decoys — zusammen ein Ring aus 16 plausiblen Quellen.
- Ein Key Image erzeugen. Aus dem echten Output wird ein eindeutiges Key Image abgeleitet. Es erlaubt dem Netzwerk, einen Double-Spend zu erkennen, lässt sich aber nicht darauf zurückführen, von welchem Ring-Mitglied es stammt.
- Stealth-Outputs erstellen. Für jeden Empfänger berechnet die Wallet eine einmalige Stealth-Adresse, damit sich die Zahlung nicht mit der öffentlichen Adresse des Empfängers verknüpfen lässt.
- Die Beträge committen. Jeder Output-Betrag wird in ein Pedersen-Commitment mit zufälligem Blinding-Faktor verpackt, und die Blinding-Faktoren werden so ausbalanciert, dass Inputs minus Outputs minus Gebühr auf null committen.
- Die Range Proofs anhängen. Für jeden Output wird ein Bulletproofs+-Range-Proof erzeugt, der belegt, dass der verborgene Betrag nicht negativ ist und im gültigen Bereich liegt.
- Mit CLSAG signieren und senden. Die CLSAG-Ring-Signatur autorisiert die Ausgabe im Namen des gesamten Rings, und die Transaktion wird weitergereicht — über Dandelion++ verbreitet, um die ursprüngliche IP zu verschleiern, bevor sie den öffentlichen Mempool erreicht.
Was am Ende auf der Blockchain landet, enthält keinen lesbaren Absender, keinen lesbaren Empfänger und keinen lesbaren Betrag — nur Commitments, Proofs und einen Ring von Möglichkeiten — und ist dennoch von jedem Node vollständig prüfbar.
Was vertrauliche Transaktionen für Sie in der Praxis bedeuten
Der praktische Nutzen von RingCT ist Fungibilität und Schutz vor Überwachung — und er zeigt sich in konkreten Situationen. Nehmen Sie eine Freiberuflerin, die in Krypto bezahlt wird. Auf einer transparenten Kette sieht jeder Kunde das gesamte Guthaben der Wallet und jede andere Zahlung, die sie je erhalten hat; eine einzige geleakte Adresse legt alles offen. Bei Monero ist die eingehende Zahlung ein Stealth-Output mit verborgenem Betrag — der Kunde erfährt nichts über die von ihm gesendete Transaktion hinaus.
Es verändert auch, wie „Chain-Analyse“ gegen Sie funktioniert. Firmen, die Blockchain-Forensik verkaufen, haben ihr Geschäft auf dem Clustern von Adressen und dem Verfolgen von Beträgen aufgebaut. RingCT entfernt das Betragssignal vollständig, Ring-Signaturen vernebeln die Quelle, und Stealth-Adressen kappen die Verbindung zum Ziel. Es gibt kein Guthaben nachzuschlagen und keine saubere Geldspur zu verfolgen — genau deshalb bleibt das Tracing von Privacy-Coins ein ungelöstes Problem statt eines fertigen Produkts.
Deshalb kommt es auch darauf an, wie Sie an Ihre Coins gelangen. Kaufen Sie XMR auf einem stark überwachten Handelsplatz, der Ihre Identität an einen bestimmten On-Chain-Output bindet, haben Sie einen bekannten Ausgangspunkt geschaffen — selbst wenn die Kette selbst privat ist. Ein Swap-Dienst wie MoneroSwapper, der kein Konto führt und keine Ausweisdokumente verlangt, hält diesen ersten Schritt sauber, sodass die On-Chain-Vertraulichkeit von RingCT nicht durch eine Papierspur außerhalb der Kette untergraben wird.
Nichts davon ist eine Steuerberatung — und in Deutschland gelten Krypto-Verkäufe weiterhin als private Veräußerungsgeschäfte nach § 23 EStG: Wer XMR länger als ein Jahr hält, kann steuerfrei verkaufen; wer innerhalb der einjährigen Spekulationsfrist veräußert, muss Gewinne versteuern, ganz gleich wie privat die Kette ist. Das Bundeszentralamt für Steuern und die Finanzämter knüpfen die Steuerpflicht an Sie als Person, nicht an die Sichtbarkeit der Blockchain. Was RingCT hingegen leistet: Das Netzwerk selbst funkt Ihre Finanzen nicht an jeden hinaus, der einen Block-Explorer öffnet.
Wohin RingCT als Nächstes geht: FCMP++
Das Verbergen der Beträge durch RingCT ist grundsolide, doch seine Absender-Anonymität hat eine theoretische Obergrenze: Ein Ring aus 16 bedeutet, dass die echte Ausgabe einer von 16 Kandidaten ist, und statistische Analysen können diese Quote gelegentlich anknabbern. Moneros Antwort, in aktiver Entwicklung über 2025 und 2026 hinweg, heißt FCMP++ — Full-Chain Membership Proofs. Statt eine Ausgabe unter 15 Decoys zu verbergen, würde FCMP++ sie unter jedem jemals existierenden ausgabefähigen Output verstecken und damit das Anonymitäts-Set von 16 auf zweistellige Millionen ausweiten.
Entscheidend ist: FCMP++ ersetzt die Ring-Signatur-Komponente, nicht die Confidential-Transaction-Komponente. Die Pedersen-Commitments und Bulletproofs+-Range-Proofs, die die Beträge verbergen, bleiben bestehen; was sich ändert, ist die Art, wie die Zugehörigkeit zur ausgabefähigen Menge bewiesen wird. Weiter draußen sind das Seraphis-Transaktionsprotokoll und das Jamtis-Adressierungsschema darauf ausgelegt, auf diesem Fundament aufzubauen. Die Lehre für Nutzer ist einfach: Der Betragsschutz durch RingCT ist ein gesetzter, ausgereifter Teil von Monero — und das Protokoll stärkt fortlaufend die Teile rundherum.
Häufige Fragen (FAQ)
Was genau verbirgt RingCT?
RingCT verbirgt den Betrag einer Monero-Transaktion. Es verschlüsselt jeden Wert in einem Pedersen-Commitment, sodass die Zahl nie im Klartext auf der Blockchain steht — und lässt dennoch jeden Node prüfen, dass Inputs gleich Outputs plus Gebühr sind. Absender und Empfänger werden von getrennten Mechanismen verborgen — Ring-Signaturen und Stealth-Adressen —, mit denen RingCT zusammenarbeitet.
Wenn Beträge verborgen sind, wie verhindert das Netzwerk Fake-Coins?
Durch zwei Schutzmechanismen. Die homomorphe Eigenschaft der Pedersen-Commitments lässt Nodes bestätigen, dass die verborgenen Inputs und Outputs auf null aufgehen, sodass kein Wert entsteht oder verschwindet. Und ein an jeden Output angehängter Range Proof garantiert, dass der festgelegte Betrag nicht negativ ist und im gültigen Bereich liegt — was den Overflow-Trick blockiert, den verborgene negative Beträge sonst erlauben würden.
Was ist der Unterschied zwischen RingCT und Ring-Signaturen?
Sie lösen verschiedene Probleme und werden oft verwechselt, weil sich die Namen überschneiden. Ring-Signaturen verbergen, wer eine Transaktion gesendet hat, indem sie im Namen einer Gruppe möglicher Absender unterzeichnen. RingCT verbirgt mithilfe vertraulicher Commitments, wie viel gesendet wurde. RingCT verzahnt beides, sodass beide Schutzmechanismen für dieselbe Transaktion gelten.
Hat Bulletproofs RingCT ersetzt?
Nein. Bulletproofs und Bulletproofs+ sind Upgrades innerhalb von RingCT — konkret an der Range-Proof-Komponente. Sie ersetzten die älteren, sperrigeren Borromean-Range-Proofs, verkleinerten die Transaktionsgröße um rund 80 % und die Gebühren um deutlich über 90 %, doch das übergeordnete RingCT-Gerüst und seine verborgenen Beträge blieben gleich.
Wird RingCT entfernt, wenn FCMP++ kommt?
Nein. FCMP++ soll Moneros Ring-Signaturen durch Full-Chain Membership Proofs ersetzen und das Absender-Anonymitäts-Set dramatisch vergrößern. Die Mechanik für vertrauliche Beträge — Pedersen-Commitments und Bulletproofs+-Range-Proofs — bleibt voraussichtlich bestehen. Anders gesagt: FCMP++ stärkt die Absender-Privatsphäre, ohne den Betragsschutz von RingCT rückgängig zu machen.
Ist die Nutzung von Monero in Deutschland legal?
Ja. Besitz, Senden und Empfangen von Monero sind in Deutschland und im gesamten EU-Raum legal. Was sich verändert hat, ist der regulatorische Druck auf zentrale Handelsplätze: Unter der MiCA-Verordnung und den FATF-Vorgaben ziehen sich viele KYC-Börsen aus dem XMR-Handel zurück, weshalb mehrere Anbieter den Coin delistet haben. Das betrifft den Handel über regulierte Plattformen, nicht das Protokoll selbst oder dessen private Nutzung. Steuerlich gelten die üblichen Regeln für private Veräußerungsgeschäfte.
Fazit
RingCT ist das stille Arbeitspferd von Moneros Privatsphäre: Es verwandelt jeden Betrag auf der Kette in ein Commitment, das das Netzwerk verifizieren, aber niemand lesen kann — und das, während Range Proofs das Angebot ehrlich halten. Zusammen mit Ring-Signaturen, die den Absender verbergen, und Stealth-Adressen, die den Empfänger verbergen, ist es der Grund, warum ein Monero-Output aussieht wie jeder andere und sich nicht durchleuchten, auf eine schwarze Liste setzen oder nach Wert verfolgen lässt. Über Bulletproofs, Bulletproofs+ und CLSAG ist es nur günstiger und schneller geworden, und mit FCMP++ am Horizont vertieft sich die Privatsphäre rundherum weiter. Wenn Sie Coins wollen, die diesen Schutz vom Moment des Erwerbs an tragen, können Sie Monero anonym kaufen über MoneroSwapper und RingCT vom ersten Transaktionsmoment an den Rest erledigen lassen.
🌍 Lesen in