Decoy-Auswahl bei Monero vs. abgeschirmte Transaktionspools bei Zcash: Ein technischer Vergleich

Zwei Philosophien, ein Ziel

Monero und Zcash sind die beiden bekanntesten datenschutzorientierten Kryptowährungen, doch ihre Ansätze zum Schutz der Privatsphäre könnten unterschiedlicher kaum sein. Monero setzt auf Ring-Signaturen mit einer sorgfältig gestalteten Decoy-Auswahl, während Zcash abgeschirmte Transaktionspools (Shielded Pools) mit zk-SNARKs verwendet. Beide Ansätze haben tiefgreifende Auswirkungen auf Sicherheit, Benutzerfreundlichkeit und die tatsächliche Wirksamkeit des Datenschutzes.

Dieser Artikel taucht in die technischen Details beider Systeme ein und analysiert, wie sie in der Praxis funktionieren. Dabei geht es nicht darum, einen Gewinner zu küren, sondern die Kompromisse und Designentscheidungen zu verstehen, die jedes System geformt haben.

Moneros Decoy-Mechanismus im Detail

Bei jeder Monero-Transaktion muss der Sender beweisen, dass er einen bestimmten Output (eine Einheit von Monero, die er empfangen hat) besitzt und ausgeben möchte. Anstatt diesen Output direkt zu benennen, was den Sender identifizieren würde, erstellt das Monero-Protokoll eine Ring-Signatur, die den echten Output zusammen mit einer Reihe von Decoys (Ködern) präsentiert.

Seit dem letzten Protokoll-Upgrade beträgt die obligatorische Ringgröße 16. Das bedeutet, dass bei jeder Transaktion der echte Output unter 15 zufällig ausgewählten anderen Outputs versteckt wird. Ein externer Beobachter sieht 16 mögliche Quellen für die Transaktion und kann ohne zusätzliche Informationen nicht bestimmen, welcher der echte ist.

Die Auswahl der Decoys ist keineswegs trivial und hat sich im Laufe der Jahre erheblich weiterentwickelt. Frühe Implementierungen verwendeten eine gleichmäßige Zufallsverteilung, was sich als problematisch erwies, da echte Transaktionen einem charakteristischen zeitlichen Muster folgen: Neuere Outputs werden statistisch häufiger ausgegeben als ältere. Wenn die Decoy-Auswahl dieses Muster nicht widerspiegelt, könnte ein Angreifer anhand des Alters der Outputs den echten von den Decoys unterscheiden.

Das aktuelle Decoy-Auswahlverfahren verwendet eine Gamma-Verteilung, die das tatsächliche Ausgabeverhalten von Monero-Nutzern nachbildet. Neuere Outputs werden mit höherer Wahrscheinlichkeit als Decoys ausgewählt, was das Muster der echten Ausgaben imitiert. Zusätzlich werden verschiedene Heuristiken angewendet, um bekannte Schwachstellen zu vermeiden, etwa die Auswahl von Outputs, die nachweislich bereits ausgegeben wurden.

Statistische Angriffe auf Ring-Signaturen

Trotz der ausgefeilten Decoy-Auswahl sind Ring-Signaturen nicht immun gegen statistische Analysen. Mehrere akademische Arbeiten haben gezeigt, dass unter bestimmten Umständen die Wahrscheinlichkeit, den echten Output zu identifizieren, über den theoretischen Wert von eins zu sechzehn hinausgehen kann.

Der bekannteste Angriffsvektor ist die Zeitanalyse. Obwohl die Gamma-Verteilung das allgemeine Ausgabemuster nachbildet, gibt es Szenarien, in denen der jüngste Output in einem Ring mit hoher Wahrscheinlichkeit der echte ist. Wenn ein Nutzer Monero empfängt und kurz darauf ausgibt, ist der entsprechende Output der jüngste in seinem Ring und damit statistisch verdächtig.

Ein weiterer Angriffsvektor sind sogenannte Poisoned Outputs oder vergiftete Outputs. Ein Angreifer, der eine große Anzahl von Transaktionen durchführt, erzeugt viele Outputs, die als Decoys in den Ringen anderer Nutzer erscheinen. Da der Angreifer weiß, dass diese Outputs ihm gehören und nicht die echten Quellen der fremden Transaktionen sein können, reduziert sich das effektive Anonymitätsset für diese Transaktionen.

Der EAE-Angriff (Eve-Alice-Eve) ist besonders relevant: Wenn Eve sowohl die Quelle als auch das Ziel einer Zahlung durch Alice kontrolliert, kann sie den Zeitpunkt des Eingangs und des Ausgangs korrelieren und die Ring-Signatur potenziell deanonymisieren. Dieses Szenario ist in der Praxis relevanter als man annehmen könnte, etwa wenn ein Nutzer Monero von einer Börse abholt und an eine andere Börse sendet.

Zcashs abgeschirmte Transaktionspools erklärt

Zcash verfolgt einen fundamental anderen Ansatz. Anstatt den echten Output unter Decoys zu verstecken, verwendet Zcash zk-SNARKs (Zero-Knowledge Succinct Non-interactive Arguments of Knowledge), um die gesamte Transaktion kryptografisch zu verschleiern. In einem abgeschirmten Transaktionspool (Shielded Pool) beweist der Sender mittels eines ZK-Beweises, dass er über gültige Mittel verfügt und die Transaktion korrekt ist, ohne den Sender, den Empfänger oder den Betrag offenzulegen.

Zcash hat im Laufe der Jahre mehrere Versionen seiner Shielded Pools eingeführt. Der Sprout-Pool (2016) war die erste Generation, gefolgt vom Sapling-Pool (2018) mit deutlich verbesserter Effizienz, und dem aktuellen Orchard-Pool (2022), der das Halo-2-Beweissystem verwendet und kein Trusted Setup mehr erfordert.

Im Orchard-Pool ist das Anonymitätsset theoretisch alle Outputs im Pool. Dies ist ein fundamentaler Vorteil gegenüber Ring-Signaturen mit fester Ringgröße: Es gibt keine Decoys, deren Auswahl analysiert werden könnte, da der Beweis lediglich zeigt, dass der ausgegebene Output irgendwo im gesamten Pool existiert.

Der kryptografische Beweis wird mittels Halo 2 erstellt, einem rekursiven Beweissystem, das ohne Trusted Setup auskommt. Dies adressiert eine der wichtigsten Kritiken an früheren Zcash-Versionen, bei denen die Sicherheit des gesamten Systems von der ordnungsgemäßen Durchführung einer Trusted-Setup-Zeremonie abhing.

Das Opt-in-Problem: Zcashs Achillesferse

Die vielleicht gravierendste Schwäche von Zcash liegt nicht in seiner Kryptografie, sondern in seinem Designansatz: Datenschutz ist optional. Zcash unterstützt sowohl transparente als auch abgeschirmte Transaktionen, und historisch hat die überwältigende Mehrheit der Nutzer transparente Transaktionen verwendet.

Dies hat weitreichende Konsequenzen für das effektive Anonymitätsset. Wenn nur ein kleiner Prozentsatz der Transaktionen abgeschirmt ist, schrumpft das Anonymitätsset dramatisch. Zudem ermöglichen die Übergänge zwischen transparenten und abgeschirmten Pools (Shielding und Deshielding) potenzielle Korrelationsangriffe. Wenn ein Nutzer einen bestimmten Betrag abschirmt und kurz darauf ein ähnlicher Betrag wieder transparent wird, liegt die Verbindung nahe.

Monero hat dieses Problem bewusst vermieden, indem es Datenschutz zur Pflicht machte. Seit der Einführung von RingCT im Januar 2017 sind alle Monero-Transaktionen vertraulich, es gibt keine transparente Option. Das bedeutet, dass jeder Monero-Nutzer automatisch zum Anonymitätsset aller anderen Nutzer beiträgt, unabhängig von seinen eigenen Datenschutzpräferenzen.

Zcash hat dieses Problem erkannt und arbeitet daran, standardmäßig abgeschirmte Transaktionen zu fördern. Der Zcash Posterity Fund und verschiedene Wallet-Entwickler haben Fortschritte gemacht, aber die historische Datenlage und die Beibehaltung transparenter Transaktionen bleiben strukturelle Schwächen.

Kryptografische Annahmen und Vertrauensmodelle

Die Sicherheit beider Systeme basiert auf unterschiedlichen kryptografischen Annahmen. Moneros Ring-Signaturen basieren auf dem Problem des diskreten Logarithmus auf elliptischen Kurven, einer gut erforschten und als robust geltenden mathematischen Grundlage. Die Sicherheit hängt nicht von der Integrität einer initialen Zeremonie ab, und ein Bruch der kryptografischen Annahme würde nicht die rückwirkende Deanonymisierung ermöglichen, solange die Blockchain-Daten nicht dauerhaft gespeichert wurden.

Zcashs Orchard-Pool verwendet das Halo-2-Beweissystem, das auf der Sicherheit elliptischer Kurven und spezifischer algebraischer Eigenschaften basiert. Während das Trusted-Setup-Problem gelöst wurde, ist die Kryptografie von Halo 2 neuer und weniger kampferprobt als die von Monero verwendeten Primitiven. Dies ist kein Argument gegen Halo 2, sondern ein Hinweis auf das unterschiedliche Risikoprofil.

Ein wichtiger Unterschied betrifft die Auswirkungen eines kryptografischen Bruchs. Wenn die Ring-Signaturen von Monero gebrochen würden, wäre die Anonymität vergangener Transaktionen gefährdet, aber es könnten keine neuen Coins erschaffen werden. Wenn die ZK-Beweise von Zcash gebrochen würden, könnte ein Angreifer theoretisch unbemerkt neue Coins erschaffen, da die Beträge in abgeschirmten Pools nicht transparent verifizierbar sind. Zcash adressiert dieses Risiko durch Supply-Auditing-Mechanismen, aber das grundlegende Vertrauensmodell unterscheidet sich.

Praktische Leistungsvergleiche

Die praktische Leistung beider Systeme unterscheidet sich erheblich. Monero-Transaktionen mit Ring-Signaturen sind vergleichsweise schnell zu erstellen und zu verifizieren. Eine typische Monero-Transaktion ist etwa 1,5 bis 2 KB groß und wird in Sekundenbruchteilen verifiziert.

Zcash-Transaktionen im Orchard-Pool erfordern die Erstellung eines ZK-Beweises, was deutlich rechenintensiver ist. Auf einem modernen Smartphone kann die Beweis-Erstellung mehrere Sekunden dauern. Die resultierende Transaktion ist jedoch kompakter, da kein Ring von Decoy-Outputs mitgeführt werden muss.

Für die Blockchain-Größe und Skalierbarkeit haben beide Ansätze unterschiedliche Implikationen. Moneros Ring-Signaturen wachsen linear mit der Ringgröße, was die Skalierung durch größere Ringe begrenzt. Zcashs ZK-Beweise haben eine konstante Größe unabhängig vom Anonymitätsset, was theoretisch eine bessere Skalierung ermöglicht.

Die Konvergenz: FCMPs als Synthese

Interessanterweise bewegt sich Monero mit den geplanten Full-Chain Membership Proofs (FCMPs) in eine Richtung, die Elemente beider Ansätze vereint. FCMPs würden es ermöglichen, die Mitgliedschaft eines Outputs in der gesamten Blockchain zu beweisen, ohne Ring-Signaturen mit fester Größe zu verwenden, wobei Monero seinen eigenen kryptografischen Ansatz beibehält und nicht auf zk-SNARKs setzt.

Mit FCMPs würde Monero das Anonymitätsset auf die gesamte Blockchain ausdehnen, ähnlich wie Zcashs Shielded Pools, aber mit dem entscheidenden Vorteil, dass alle Transaktionen zwingend privat sind. Die Kombination aus universeller Vertraulichkeit und einem Anonymitätsset, das die gesamte Blockchain umfasst, würde ein Datenschutzniveau schaffen, das keines der beiden aktuellen Systeme allein bietet.

Fazit: Pflicht versus Wahlfreiheit beim Datenschutz

Die technische Analyse zeigt, dass sowohl Monero als auch Zcash ausgefeilte kryptografische Systeme entwickelt haben. Zcashs ZK-Beweise sind mathematisch eleganter und bieten ein theoretisch größeres Anonymitätsset innerhalb des Shielded Pools. Moneros Ring-Signaturen sind einfacher und kampferprobter, aber durch die feste Ringgröße in ihrem Anonymitätsset begrenzt.

Der entscheidende Unterschied liegt jedoch nicht in der Kryptografie, sondern in der Philosophie: Moneros obligatorischer Datenschutz stellt sicher, dass jeder Nutzer das gesamte Netzwerk stärkt, während Zcashs optionaler Ansatz das Anonymitätsset fragmentiert und Korrelationsangriffe an den Schnittstellen zwischen transparenten und abgeschirmten Pools ermöglicht.

Für Nutzer, die maximalen Datenschutz bei Kryptowährungs-Transaktionen suchen, bleibt Monero aufgrund seines obligatorischen Datenschutzes die überzeugendere Wahl. Die kommenden Verbesserungen durch FCMPs und Seraphis werden diesen Vorsprung voraussichtlich weiter ausbauen.

Tauschen Sie Ihre Kryptowährungen anonym gegen Monero auf MoneroSwapper, ohne persönliche Daten preiszugeben und ohne KYC-Überprüfung.