So funktionieren Monero-Ringsignaturen
So funktionieren Monero-Ringsignaturen
Jedes Mal, wenn eine Bitcoin-Transaktion bestätigt wird, landen die Adresse des Senders, die Adresse des Empfängers und der exakte Betrag in einem öffentlichen Kassenbuch, das jeder für alle Zeit nachlesen kann. Monero wurde gebaut, um genau dieses Modell zu durchbrechen — und die Ringsignatur ist das Bauteil, das auf der Senderseite die meiste Arbeit leistet. Nach den Netzwerkregeln von 2025 versteckt jede Monero-Transaktion den echten Absender unter 16 möglichen Ausgebern — eine feste Ringgröße, die seit dem Hard Fork im August 2022 für alle Nutzer verbindlich ist. Diese Einheitlichkeit ist kein Detail am Rande, sie ist der ganze Sinn der Sache. Wenn du XMR über einen protokollfreien Dienst wie MoneroSwapper beziehst, erben deine Coins diesen Schutz automatisch — du musst nichts dafür aktivieren.
Dieser Leitfaden zeigt dir, was eine Ringsignatur eigentlich ist, wie Monero sie für jede Ausgabe zusammenbaut, warum das Key Image Double-Spends verhindert, ohne dich zu enttarnen, und wie das kommende FCMP++-Upgrade die Anonymitätsmenge von 16 auf die gesamte Blockchain heben will. Vorwissen in Kryptografie brauchst du nicht — nur die Bereitschaft, dem Zusammenspiel der einzelnen Teile zu folgen.
Warum die Privatsphäre des Senders das schwere Problem ist
Den Betrag einer Transaktion zu verstecken, ist mit moderner Mathematik vergleichsweise einfach. Zu verbergen, wer wem zahlt, ist deutlich schwerer. Denn eine Blockchain muss jedem erlauben, zu überprüfen, dass die ausgegebenen Coins echt sind und nicht bereits ausgegeben wurden — und das ganz ohne vertrauenswürdigen Schiedsrichter. Monero löst das mit drei unabhängigen Schichten, die zusammenarbeiten:
- Stealth-Adressen verbergen den Empfänger. Jede Zahlung geht an eine frische Einmal-Adresse, die on-chain abgeleitet wird, sodass die öffentliche Adresse des Empfängers nie im Kassenbuch auftaucht.
- RingCT verbirgt den Betrag. Confidential Transactions verpacken den Wert in ein kryptografisches Commitment, dessen Gültigkeit über Range Proofs statt über eine lesbare Zahl bewiesen wird.
- Ringsignaturen verbergen den Sender. Das ist die Schicht, die mehrdeutig macht, welche frühere Ausgabe tatsächlich verwendet wird.
Nimm eine der Schichten weg, und die anderen beiden lecken. Wäre der Sender sichtbar, würde schon die Kenntnis der Stealth-Adresse des Empfängers reichen, um einen Zahlungsgraphen zu rekonstruieren. Genau deshalb behandelt Monero alle drei als Pflicht und nicht als optionale Funktionen — das Ergebnis ist Fungibilität: die Eigenschaft, dass jeder XMR mit jedem anderen XMR austauschbar ist, weil keiner eine nachverfolgbare Vorgeschichte trägt.
Was eine Ringsignatur wirklich ist
Das Konzept ist älter als Monero. Eine Ringsignatur, erstmals 2001 von Rivest, Shamir und Tauman formalisiert, erlaubt es einem Mitglied einer Gruppe, eine Nachricht so zu signieren, dass jeder Prüfer bestätigen kann „jemand aus dieser Gruppe hat unterschrieben" — ohne zu erfahren, welches Mitglied es war. Es gibt keinen Gruppenleiter, keine Setup-Zeremonie und keine Möglichkeit, die Mehrdeutigkeit nachträglich aufzuheben — der Signierende bildet „spontan" eine Ad-hoc-Gruppe aus bereits existierenden öffentlichen Schlüsseln.
Monero überträgt diese Idee aufs Ausgeben. Wenn du eine Ausgabe verwendest (einen Brocken XMR, den du früher erhalten hast), zeigt deine Wallet nicht direkt darauf. Stattdessen stellt sie einen Ring zusammen: deine echte Ausgabe plus 15 Köder, die aus den früheren Ausgaben anderer Leute auf der Blockchain gezogen werden. Die Signatur beweist, dass eine dieser 16 Ausgaben wirklich dir zum Ausgeben gehört — aber ein Beobachter kann nicht sagen, welche.
Köder und wie sie ausgewählt werden
Die 15 Köder sind nicht zufällig. Würden sie gleichverteilt über die gesamte Historie der Kette gezogen, würde die echte Ausgabe — fast immer eine kürzlich erstellte — statistisch herausstechen. Moneros Wallet zieht Köder stattdessen aus einer Gamma-Verteilung, die echtes Ausgabeverhalten nachahmt und kürzlich erstellte Ausgaben ungefähr in dem Tempo bevorzugt, in dem die Leute sie tatsächlich ausgeben. Forscher haben diesen Auswahlalgorithmus immer wieder auf Herz und Nieren geprüft, und das Monero Research Lab hat ihn mehrfach verfeinert, um zeitbasierte Heuristiken auszuschließen.
Weil jede Wallet denselben Algorithmus und dieselbe Ringgröße von 16 verwendet, sieht deine Transaktion strukturell genauso aus wie die aller anderen. Einheitlichkeit ist hier ein Privatsphäre-Feature: Ein Ausreißer lässt sich leicht verfolgen, ein Mitglied einer vollkommen homogenen Menge nicht.
Das Key Image: Double-Spends stoppen, ohne den Ausgeber zu verraten
Jetzt kommt der clevere Teil. Wenn ein Prüfer nicht erkennen kann, welche Ausgabe du verwendest — wie hindert das Netzwerk dich dann daran, dieselbe Ausgabe zweimal auszugeben? Die Antwort ist das Key Image: ein eindeutiger kryptografischer Marker, der deterministisch aus dem Einmal-Privatschlüssel deiner Ausgabe abgeleitet wird.
Jede Ausgabe kann genau ein gültiges Key Image erzeugen, und dieses Image verrät nichts darüber, welches Ringmitglied es generiert hat. Wird deine Transaktion gesendet, speichert jeder Node das Key Image. Taucht dasselbe Key Image jemals wieder auf, lehnt das Netzwerk die zweite Transaktion als Double-Spend ab. So bekommt das System die Integritätsgarantie eines UTXO-Kassenbuchs und bewahrt zugleich die Mehrdeutigkeit des Senders — das Key Image ist mit sich selbst verknüpfbar, aber nicht mit deiner Identität.
CLSAG: das Signaturverfahren, das Monero heute nutzt
Der konkrete Algorithmus, den Monero ausführt, heißt CLSAG — Concise Linkable Spontaneous Anonymous Group Signatures. Er löste im Hard Fork vom Oktober 2020 die ältere MLSAG-Konstruktion ab. Das Upgrade war nicht bloß Kosmetik: CLSAG verkleinerte die Signaturgröße um rund 25 % und drückte die Verifizierungszeit um etwa 10 bis 20 %. Das bedeutet kleinere Transaktionen, niedrigere Gebühren und eine geringere Last für jeden Node, der die Kette validiert.
„Linkable" bezieht sich auf das oben beschriebene Verhalten des Key Image; „spontaneous" und „anonymous group" stehen für den spontanen Ring ohne Anführer. Kombiniert mit RingCT für die Beträge und Bulletproofs+ für kompakte Range Proofs (aktiviert im selben August-2022-Fork, der die Ringgröße auf 16 festschrieb) ist CLSAG das, was eine moderne Monero-Transaktion zugleich privat und klein macht.
Eine Ringsignatur Schritt für Schritt bauen
Es hilft, die Abfolge zu sehen, die deine Wallet durchläuft, wenn du auf „Senden" tippst. Die Kryptografie dahinter ist anspruchsvoll, der Ablauf selbst aber überschaubar:
- Die echte Ausgabe auswählen. Deine Wallet identifiziert eine Ausgabe, die du kontrollierst und für die du den Ausgabeschlüssel besitzt — groß genug, um Zahlung plus Gebühr zu decken.
- 15 Köder einsammeln. Mit dem Gamma-Verteilungs-Sampler wählt die Wallet 15 weitere Ausgaben aus der Blockchain, die neben deiner im Ring sitzen.
- Das Key Image berechnen. Aus dem Privatschlüssel der echten Ausgabe abgeleitet, erlaubt dieser Marker dem Netzwerk, jeden künftigen Double-Spend derselben Ausgabe zu erkennen.
- Die CLSAG-Signatur konstruieren. Die Wallet baut eine einzige Signatur über den gesamten Ring, die nur deshalb gültig ist, weil du den Schlüssel zu einem Mitglied hältst — ohne zu markieren, zu welchem.
- RingCT-Commitments und Range Proofs anhängen. Bulletproofs+ beweisen, dass die verborgenen Beträge nicht negativ sind und sich korrekt ausgleichen, ohne die Werte preiszugeben.
- Über Dandelion++ aussenden. Die Transaktion verbreitet sich mit einem privatsphärewahrenden Relay-Muster, das verschleiert, welcher Node sie zuerst losschickte, und so eine IP-basierte Deanonymisierung auf Mempool-Ebene erschwert.
Die Ringsignatur verschlüsselt deine Transaktion nicht — sie macht deine Transaktion ununterscheidbar von 15 plausiblen Alternativen. Privatsphäre entsteht hier aus Mehrdeutigkeit, nicht aus dem Verstecken der Daten.
Ringsignaturen im Vergleich zu anderen Privatsphäre-Ansätzen
Monero ist nicht das einzige Projekt, das sich der On-Chain-Privatsphäre annimmt, aber sein Ansatz hat klare Vor- und Nachteile gegenüber den wichtigsten Alternativen. Die Tabelle fasst zusammen, wie sich Ringsignaturen im Vergleich schlagen.
| Ansatz | Stärken | Grenzen |
|---|---|---|
| Monero-Ringsignaturen (CLSAG + RingCT) | Standardmäßig privat bei jeder Transaktion; kein Trusted Setup; ausgereift und seit 2017 praxiserprobt | Anonymitätsmenge auf die Ringgröße (16) begrenzt; größere Transaktionen als transparente Ketten |
| zk-SNARKs (z. B. Zcash Shielded Pools) | Sehr große Anonymitätsmenge im geschützten Modus; kleine Beweise | Privatsphäre ist opt-in, also bleiben die meisten Transaktionen transparent; manche Designs brauchten ein Trusted Setup |
| CoinJoin / Mixing (Bitcoin-Overlays) | Funktioniert auf einer bestehenden transparenten Kette; keine Protokolländerung nötig | Optional und koordiniert; Chain-Analyse-Firmen clustern und entmischen Teilnehmer aktiv |
| Transparente Kassenbücher (Bitcoin, Ethereum) | Vollständig prüfbar; einfach zu verifizieren | Keine Privatsphäre für Sender, Empfänger oder Betrag; dauerhafter öffentlicher Zahlungsgraph |
Der entscheidende Unterschied steckt im Wort Standard. Bei CoinJoin oder Shielded Pools muss ein Nutzer Privatsphäre aktiv wählen — und die Minderheit, die das tut, fällt auf. Bei Monero gibt es keinen transparenten Modus, in den man ausweichen könnte: Jede Ausgabe nutzt eine Ringsignatur, also ist die privatsphäresuchende Menge die gesamte Nutzerbasis. Genau das untermauert die Fungibilität.
Die ehrliche Schwäche ist die Anonymitätsmenge. Sechzehn Mitglieder sind dramatisch besser als null, aber sie sind endlich. Ein ausreichend ausgestatteter Angreifer, der Köder über externe Informationen ausschließen kann, verengt das Feld. Genau diese Begrenzung soll das nächste Protokoll-Upgrade ausradieren.
Privatsphäre im deutschen Kontext
In Deutschland trifft Moneros Designphilosophie auf eine Kultur, die Datenschutz seit Jahrzehnten ernst nimmt. Das vom Bundesverfassungsgericht geprägte Recht auf informationelle Selbstbestimmung — die Idee, dass jeder selbst über die Preisgabe seiner Daten entscheidet — ist im Kern dasselbe Versprechen, das eine Ringsignatur technisch einlöst: nicht mehr offenlegen, als wirklich nötig ist.
Praktisch spürbar wurde diese Debatte, als 2024 mehrere große Börsen XMR für Nutzer im Europäischen Wirtschaftsraum entfernten — ein Vorgeschmack auf die Verschärfungen, die mit der MiCA-Verordnung und der Aufsicht durch die BaFin einhergehen. Gerade dann zeigt sich der Wert eines protokollbasierten Schutzes: Wenn Coins ihre Privatsphäre aus dem Protokoll selbst beziehen statt aus dem Wohlwollen eines Vermittlers, bleibt die Fungibilität erhalten, egal welche Plattform gerade listet oder delistet.
Der Weg nach vorn: FCMP++ und eine kettengroße Anonymitätsmenge
Die bedeutendste Änderung, die auf Moneros Sender-Privatsphäre zukommt, ist FCMP++ — Full-Chain Membership Proofs. Statt zu beweisen „meine Ausgabe ist eine von diesen 16", beweist der Ausgeber „meine Ausgabe ist eine von allen Ausgaben, die jemals existiert haben" auf der Kette. Bei inzwischen weit über 100 Millionen aufgezeichneten Ausgaben verwandelt das eine Anonymitätsmenge von 16 in eine Anonymitätsmenge der gesamten Blockchain.
FCMP++ nutzt eine andere kryptografische Struktur — eine Curve-Trees-Konstruktion, die es einem Beweisführer erlaubt, die Mitgliedschaft in einer riesigen Menge mit einem kompakten, effizient prüfbaren Beweis zu belegen. Entscheidend dabei: Wie Moneros bestehende Werkzeuge kommt es ohne Trusted Setup aus, was bei SNARK-basierten Designs historisch ein Knackpunkt war.
Über das Jahr 2025 hinweg durchlief FCMP++ Code-Reviews und unabhängige kryptografische Audits, die von der Community finanziert wurden, und es soll zusammen mit der breiteren Seraphis-Überarbeitung des Transaktionsprotokolls und dem Jamtis-Adressschema kommen. Gemeinsam zielen sie darauf, den begrenzten Ring vollständig in Rente zu schicken. Bis der entsprechende Hard Fork im Mainnet aktiv wird, bleibt der hier beschriebene 16er-Ring exakt die Art, wie Live-Transaktionen funktionieren — am Erwerb oder Halten von XMR ändert sich heute also nichts.
Für ein praktisches Gefühl der Größenordnung: Eine kettenweite Anonymitätsmenge bedeutet, dass Köder-Auswahlheuristiken, Gamma-Verteilungen und die langjährige Debatte über die „richtige" Ringgröße allesamt gegenstandslos werden. Die Frage „Welche der 16 ist echt?" wird ersetzt durch „Welche der über hundert Millionen ist echt?" — eine Frage, auf die ein Analyst keine brauchbare Antwort findet.
FAQ
Lässt sich eine Monero-Ringsignatur zum echten Absender zurückverfolgen?
Aus der Signatur selbst nicht. Die Signatur beweist, dass eines von 16 Ringmitgliedern der echte Ausgeber ist, ohne zu markieren welches, und das Key Image lässt sich nicht mit deiner Identität verknüpfen. Deanonymisierungsversuche stützen sich in der Regel auf externe Metadaten — IP-Lecks, KYC-Daten von Börsen oder schwache Köder-Heuristiken aus früheren Zeiten — statt die Kryptografie zu brechen. Ein KYC-freier Bezugsweg und ein gut gepflegter Node schließen die meisten dieser Seitenkanäle.
Wie groß ist die aktuelle Monero-Ringgröße?
Sechzehn. Jede Transaktion enthält deine echte Ausgabe plus 15 Köder, und diese Größe ist seit dem Hard Fork im August 2022 für alle Nutzer fest und verbindlich. Eine einheitliche Ringgröße ist selbst eine Privatsphäre-Maßnahme, denn variable Ringgrößen würden es erlauben, Transaktionen anhand ihrer Struktur mit einem Fingerabdruck zu versehen.
Worin unterscheidet sich eine Ringsignatur von RingCT?
Sie schützen verschiedene Dinge. Die Ringsignatur verbirgt, wer ausgibt, während RingCT (Ring Confidential Transactions) verbirgt, wie viel ausgegeben wird. Sie arbeiten in jeder Transaktion zusammen, flankiert von Stealth-Adressen, die den Empfänger verbergen. Alle drei Schichten sind für vollständige Privatsphäre erforderlich.
Warum kann ich eine Monero-Ausgabe nicht einfach direkt ohne Köder ausgeben?
Protokolltechnisch könntest du das theoretisch, doch dabei würdest du öffentlich genau die Ausgabe offenlegen, die du verwendest, und sie mit deiner früheren Transaktion verknüpfen — was die Privatsphäre für dich und für jeden zerstört, dessen Ausgabe zuvor deine als Köder genutzt hat. Deshalb erzwingt Monero den Ring auf Konsensebene — es gibt keine Möglichkeit, eine „transparente" Monero-Transaktion zu senden.
Macht FCMP++ meine bestehenden XMR automatisch privater?
Ja, sobald es aktiv ist. Weil Privatsphäre bei Monero eine Eigenschaft des Protokolls und nicht einzelner Coins ist, würde ein künftiges Upgrade auf Full-Chain Membership Proofs die größere Anonymitätsmenge auf alle Ausgaben nach dem Fork ausweiten, ganz ohne Zutun der Halter. Die Coins, die du heute hältst, sind nicht „markiert" — sie werden schlicht nach den Regeln ausgegeben, die zum Zeitpunkt der Transaktion gerade gelten.
Fazit
Ringsignaturen sind der Grund, warum ein Monero-Sender beweisen kann, dass er das Recht zum Ausgeben besitzt, ohne zu verraten, welche Ausgabe er verwendet — eine einzige CLSAG-Signatur über einen Ring aus 16, verankert durch ein Key Image, das Double-Spends blockiert, ohne irgendjemanden zu enttarnen. Zusammen mit Stealth-Adressen und RingCT machen sie Privatsphäre zum Standard statt zu einer Funktion, die man erst zuschalten muss — und genau dieser Standard verleiht XMR seine Fungibilität. Mit FCMP++ am Horizont steht die Anonymitätsmenge davor, von einem festen Ring auf die ganze Kette zu wachsen.
Den Mechanismus zu verstehen ist der erste Schritt; der zweite ist, XMR zu erwerben, ohne die Privatsphäre aufzugeben, über die du gerade gelernt hast. Mit MoneroSwapper kannst du Monero anonym kaufen — ohne Konto und ohne Logs, sodass deine Coins bereits durch jede hier beschriebene Schicht geschützt ankommen. In dem Moment, in dem sie in deiner Wallet landen, schließt sich der Ring um sie.
🌍 Lesen in