Stealth-Adresse vs. Ringsignatur in Monero
Stealth-Adresse vs. Ringsignatur in Monero
Im April 2026 wurden im Monero-Netzwerk rund 1,2 Millionen Transaktionen bestätigt — und keine einzige davon hat öffentlich den Sender, den Empfänger oder den genauen Betrag im Klartext auf der Blockchain offengelegt. Diese Eigenschaft entsteht nicht durch einen einzelnen kryptografischen Trick. Sie ruht auf mindestens drei sich überlappenden Schichten, von denen zwei Einsteiger und sogar erfahrene Bitcoiner ständig durcheinanderbringen: die Stealth-Adresse und die Ringsignatur. Beide klingen ähnlich, werden in jeder Monero-Erklärung im gleichen Absatz erwähnt und beide werden gerne pauschal als „das, was Monero anonym macht" abgetan. In Wahrheit schützen sie jedoch unterschiedliche Seiten derselben Transaktion, und wer sie zusammenwirft, kann nicht mehr sauber argumentieren, was ein Beobachter der Blockchain tatsächlich sehen kann und was nicht.
Bei MoneroSwapper bekommen wir diese Frage fast täglich gestellt — meist von Personen, die gerade unsere Tausch-Oberfläche genutzt haben, festgestellt haben, dass keinerlei KYC erforderlich war, und nun den eigentlichen kryptografischen Grund dahinter verstehen wollen. Dieser Artikel zerlegt beide Primitive sauber, zeigt, wo sie sich überschneiden, wo eben nicht, und was jede einzelne Konstruktion preisgeben würde, wenn sie morgen aus dem Protokoll verschwände. Am Ende wissen Sie genau, welches Problem welche Konstruktion löst und warum das Entfernen einer der beiden die gesamten Privatsphäre-Garantien von Monero zum Einsturz bringen würde.
Warum das Verwechseln Ihrem mentalen Modell schadet
Wer Monero-Privatsphäre in eine einzige gedankliche Schublade namens „das Anonymitäts-Zeug" wirft, macht typischerweise drei vorhersehbare Fehler. Solche Personen halten das Teilen eines View-Keys für harmlos, weil „die Ringsignaturen ja sowieso alles schützen", sie nehmen an, eine größere Ringgröße verbessere automatisch auch die Privatsphäre auf der Empfängerseite, und sie glauben, der Empfänger einer Zahlung werde durch dieselbe Konstruktion verborgen wie die Eingabewahl des Senders. Keine dieser Annahmen stimmt, und alle drei führen in der Praxis zu echten operativen Fehlern.
Die Trennung zwischen sender- und empfängerseitiger Privatsphäre ist die mit Abstand nützlichste Unterscheidung, die Sie verinnerlichen können. Das Monero-Protokoll nutzt für jede Seite bewusst unterschiedliche Kryptografie, weil die beiden Probleme grundverschieden sind. Verbergen, wer Ihnen zahlt, bedeutet, die Outputs nicht mit Ihrer veröffentlichten Adresse verknüpfbar zu machen. Verbergen, welchen früheren Output Sie gerade ausgeben, bedeutet, Ihren Input nicht von einer Gruppe von Lockvogel-Outputs unterscheidbar zu machen. Das sind keine symmetrischen Probleme.
- Empfängerseitige Privatsphäre: übernimmt die Stealth-Adresse (einmalige Output-Schlüssel, die aus der veröffentlichten Empfängeradresse abgeleitet werden).
- Senderseitige Privatsphäre: übernimmt die Ringsignatur (konkret CLSAG seit dem Hardfork im Oktober 2020).
- Betragsprivatsphäre: übernimmt RingCT mit Bulletproofs+-Bereichsbeweisen — eine dritte, eigenständige Schicht.
Wenn jemand fragt: „Ist Monero rückverfolgbar?", lautet die ehrliche Antwort: Es kommt darauf an, welche dieser drei Schichten gemeint ist. Eine durchgesickerte View-Key kompromittiert nur die erste. Eine schwache Ringwahl kompromittiert nur die zweite. Und ein hypothetischer Fehler in Bulletproofs+ würde nur die dritte betreffen. Sie versagen unabhängig voneinander — genau deshalb lohnt es sich, sie auch unabhängig voneinander zu verstehen.
Was eine Stealth-Adresse wirklich ist
Eine Stealth-Adresse ist ein einmaliger öffentlicher Schlüssel, den der Sender in dem Moment erzeugt, in dem er Sie bezahlt. Jedes Mal, wenn jemand an dieselbe veröffentlichte Monero-Adresse zahlt, taucht auf der Blockchain ein frischer, mathematisch unverbundener Ziel-Schlüssel auf. Niemals teilen sich zwei Zahlungen ein Ziel — auch dann nicht, wenn beide an dieselbe Wallet, in derselben Minute, vom selben Sender geschickt werden.
Die Konstruktion stützt sich auf Diffie-Hellman auf elliptischen Kurven. Ihre veröffentlichte Adresse kodiert zwei öffentliche Punkte: einen, der mit Ihrem Spend-Key verbunden ist, und einen, der mit Ihrem View-Key verbunden ist. Wenn Alice an Sie zahlt, erzeugt ihre Wallet einen zufälligen ephemeren Skalar, multipliziert ihn mit dem Punkt Ihres View-Keys, um ein gemeinsames Geheimnis abzuleiten, hasht dieses Geheimnis und addiert den Hash zum Punkt Ihres Spend-Keys. Das Ergebnis ist der einmalige Ziel-Schlüssel, der in den Output der Transaktion geschrieben wird. Alice veröffentlicht lediglich ihren ephemeren öffentlichen Punkt — das Geheimnis, aus dem das Ziel abgeleitet wurde, lässt sich aus nichts, was auf der Blockchain steht, rekonstruieren.
Wie Ihre Wallet die für Sie bestimmten Zahlungen findet
Ihre Wallet verwendet Ihren View-Key, um dieselbe Diffie-Hellman-Operation rückwärts gegen jeden Output durchzuführen, den sie sieht. Geht die Rechnung auf, weiß die Wallet, dass dieser Output Ihnen gehört. Geht sie nicht auf, wird der Output stillschweigend ignoriert. Genau deshalb muss eine Monero-Wallet die Kette abscannen, statt eine Adresse in einem Suchindex nachzuschlagen: Es gibt schlicht keine Adresse auf der Blockchain, die man nachschlagen könnte.
Entscheidend: Nur Ihr Spend-Key kann den Output tatsächlich ausgeben. Der View-Key zeigt zwar, welche Outputs Ihnen gehören, kann sie aber nicht bewegen. Das ist der strukturelle Grund, weshalb Monero View-Only-Wallets unterstützt — Buchhalter, Steuerprüfer oder Audit-Dienste können Einnahmen bestätigen, ohne die Möglichkeit zu erhalten, das Guthaben abzuziehen. Für deutsche Unternehmen, die etwa für die GoBD-konforme Belegführung einen Nur-Lese-Zugriff brauchen, ist genau dieses Konzept Gold wert.
Subadressen erweitern dasselbe Prinzip
Die meisten Nutzer geben ihre Primäradresse niemals heraus. Stattdessen verteilen sie Subadressen — separate öffentliche Adressen, die mit einem festen Index aus dem Hauptschlüsselpaar abgeleitet werden. Jede Subadresse ist von der Hauptadresse und von jeder anderen Subadresse nicht verknüpfbar, selbst für jemanden, der alle in der Hand hält. Genau das treibt die Erzeugung individueller Adressen pro Kunde in Händler-Tools, Spendenseiten und unserem eigenen MoneroSwapper-Einzahlungsablauf an: Jeder Auftrag bekommt eine frische Subadresse, sodass Beobachter der Blockchain niemals mehrere Aufträge unter einer einzigen Wallet zusammenfassen können.
Der häufigste Privatsphäre-Fehler, den wir bei Einsteigern sehen, ist das wiederholte Verwenden einer einzigen Primäradresse. Das Protokoll schenkt Ihnen unbegrenzt viele Subadressen — nutzen Sie sie.
Was eine Ringsignatur wirklich ist
Eine Ringsignatur ist eine digitale Signatur, die im Namen einer Gruppe erzeugt wird. Jeder Verifizierer kann bestätigen: „Ein Mitglied dieser Gruppe hat unterschrieben" — er kann aber nicht erkennen, welches. Monero nutzt Ringsignaturen, um zu verbergen, welcher frühere Output als Input einer neuen Transaktion ausgegeben wird.
Wenn Sie ausgeben, wählt Ihre Wallet fünfzehn weitere On-Chain-Outputs aus, die nicht Ihnen gehören, und bündelt sie mit Ihrem echten Input zu einem Ring aus sechzehn. Die Signatur ist genau dann gültig, wenn eines der sechzehn Mitglieder den passenden Spend-Key besitzt — doch weder der Verifizierer noch die öffentliche Blockchain kann erkennen, welches. Ihr Output und fünfzehn unverwandte Lockvögel werden allesamt zu gleich plausiblen Kandidaten für den wahren ausgegebenen Input.
CLSAG und der aktuelle Stand der Technik
Die konkrete Konstruktion in Monero heißt CLSAG (Concise Linkable Spontaneous Anonymous Group signatures) und hat MLSAG mit dem Hardfork im Oktober 2020 abgelöst. CLSAG lieferte etwa 25 % kleinere Transaktionen und rund 20 % schnellere Verifizierung bei gleicher Sicherheit. Die Ringgröße ist seit 2019 ein protokollweit fest verdrahteter Wert — zunächst 11, seit dem Hardfork im August 2022 schließlich 16. Eine einheitliche Ringgröße ist deshalb so wichtig, weil variierende Größen ihrerseits Informationen über die verwendete Wallet-Software, den Transaktionstyp oder das Nutzerverhalten verraten würden.
Key Images verhindern doppeltes Ausgeben
Da niemand erkennen kann, welcher Input echt ist, braucht das Protokoll einen separaten Mechanismus, um das doppelte Ausgeben zu verhindern. Dieser Mechanismus ist das sogenannte Key Image: ein deterministischer Wert, der aus dem Spend-Key und dem einmaligen Output-Schlüssel abgeleitet wird. Jeder Output erzeugt genau ein mögliches Key Image, und das Netzwerk lehnt jede Transaktion ab, deren Key Image schon einmal aufgetaucht ist. Das Image verrät nichts über die Identität des Outputs, garantiert aber die Einmaligkeit der Ausgabe.
Direkter Vergleich: Was jede Konstruktion verbirgt
Die folgende Übersicht macht die Arbeitsteilung explizit. Beachten Sie, dass keine einzelne Primitive alle drei Aspekte — Sender, Empfänger und Betrag — zugleich verbirgt. Monero braucht den vollständigen Stack, um genau jene Privatsphäre zu liefern, die die meisten Nutzer im Kopf haben.
| Eigenschaft | Stealth-Adresse | Ringsignatur (CLSAG) |
|---|---|---|
| Was sie verbirgt | Die Verknüpfung zwischen einer veröffentlichten Adresse und den Output-Zielen auf der Blockchain | Die Verknüpfung zwischen einem On-Chain-Output und der Transaktion, die ihn ausgibt |
| Seite der Transaktion | Empfängerseite (Output) | Senderseite (Input) |
| Zugrundeliegende Primitive | Diffie-Hellman auf elliptischen Kurven + Hashing | Linkable Spontaneous Anonymous Group Signature |
| Stellbarer Parameter | Keiner — die Ableitung ist einmalig pro Output | Ringgröße (aktuell fest bei 16) |
| Was sie aushebelt | Weitergabe des View-Keys an eine feindliche Partei | Poisoned-Output-Angriffe, EAE-Heuristiken, sehr kleine Anonymitätsmengen |
| Was sie NICHT verbirgt | Den Transaktionsbetrag, den Input des Senders | Das Ziel, den Betrag, das Timing |
| Kosten pro Transaktion | Minimal — eine zusätzliche Skalarmultiplikation | Höher — skaliert mit der Ringgröße, dominiert derzeit die Transaktionsgröße |
Eine Beobachtung, bei der es sich lohnt, kurz innezuhalten: Eine Stealth-Adresse ist keine probabilistische Vermutung. Sie ist eine harte kryptografische Garantie, dass das Output-Ziel ohne den View-Key nicht auf die Empfängeradresse zurückgeführt werden kann. Eine Ringsignatur dagegen ist statistisch — das Beobachter-Vertrauen liegt standardmäßig grob bei eins zu sechzehn, und dieser Wert kann gegenüber einem Angreifer schrumpfen, der die Lockvogel-Auswahl beeinflusst oder selbst viele der Ring-Mitglieder besitzt.
Wie sie in einer echten Monero-Transaktion zusammenwirken
Um zu sehen, warum keine der beiden allein ausreicht, gehen wir eine konkrete Zahlung durch. Alice möchte 2 XMR an Bob senden, dessen Monero-Adresse sie von einer öffentlichen Spendenseite hat.
- Alices Wallet berechnet den Stealth-Output. Sie erzeugt einen ephemeren Skalar, führt das Diffie-Hellman gegen Bobs View-Key-Punkt aus und leitet einen einmaligen öffentlichen Ziel-Schlüssel ab. Dieser landet in der Output-Liste der Transaktion. Niemand, der die Blockchain beobachtet, kann diesen Output mit Bobs veröffentlichter Adresse verbinden.
- Alices Wallet wählt den Ring. Um die Zahlung zu finanzieren, muss Alice einen ihrer eigenen früheren Outputs ausgeben. Ihre Wallet wählt diesen echten Output und fünfzehn Lockvögel aus dem neueren und historischen Output-Bestand der Blockchain. Die Lockvogel-Auswahl folgt einer veröffentlichten Gamma-Verteilung, die die Ausgabemuster realer Nutzer nachbildet.
- Alices Wallet signiert mit CLSAG. Die Signatur beweist, dass eines der sechzehn Ring-Mitglieder dem Ausgeben zugestimmt hat. Der Verifizierer erfährt nichts darüber, welches es war. Das mit der Signatur verknüpfte Key Image stellt sicher, dass der echte Output nicht erneut ausgegeben werden kann.
- Alices Wallet verbirgt die Beträge mit RingCT. Inputs und Outputs werden als Pedersen-Commitments kodiert. Bulletproofs+-Bereichsbeweise überzeugen das Netzwerk davon, dass kein Output die Summe der Inputs überschreitet, ohne dass die Zahlen jemals preisgegeben werden.
- Bobs Wallet scannt den neuen Block. Mit seinem View-Key führt Bob Diffie-Hellman gegen jeden Output aus. Wenn die Mathematik zu Alices Zahlung passt, gibt sich der Output zu erkennen. Bob weiß nun, dass er 2 XMR erhalten hat — die Blockchain selbst zeigt jedoch nur einen undurchsichtigen Datenklumpen.
Streichen Sie die Stealth-Adresse, dann würde Bobs Wallet die Zahlung zwar noch finden — aber jede Chain-Analyse-Firma genauso: Jede Zahlung an Bobs Adresse würde am selben Ziel landen, und seine gesamte Einnahmenhistorie wäre öffentlich. Streichen Sie die Ringsignatur, dann zeigt Alices Ausgabe direkt auf genau einen früheren Output und legt den Transaktionsgraphen ihrer Wallet bloß. Streichen Sie RingCT, dann sickern die Beträge durch und machen die anderen beiden Schichten durch Wertkorrelation deutlich leichter anzugreifen. Jede Schicht schützt vor einem anderen Gegner.
Ein praktisches Beispiel: ein MoneroSwapper-Tausch
Stellen Sie sich einen Nutzer aus Hamburg vor, der 0,05 BTC bei MoneroSwapper einzahlt und XMR auf einer frisch erzeugten Subadresse in seiner Feather-Wallet erhält. Zwei Ledger halten Teile dieses Handels fest — und was jeder Beobachter sieht, ist sehr lehrreich.
Auf der Bitcoin-Seite ist die Einzahlungsadresse vollständig sichtbar. Chain-Analyse-Werkzeuge — Chainalysis, Elliptic, TRM Labs, in Deutschland oft auch von Strafverfolgungsbehörden und steuerlich vom BMF zitiert — werden sie als zu einem nicht-verwahrenden Tauschdienst gehörig markieren, sofern für unser Einzahlungsmuster Heuristiken vorhanden sind. Der Betrag, das Timing und die ursprünglichen UTXOs sind allesamt öffentlich. Das ist bei Bitcoin völlig normal und einer der Gründe, weshalb Nutzer überhaupt zu Monero greifen. Die Tausch-Engine schickt die BTC in einen Liquiditätspool, und die Spur auf der BTC-Kette endet de facto an diesem Pool.
Auf der Monero-Seite sieht das Bild grundlegend anders aus. Unsere Auszahlungs-Transaktion erzeugt einen Stealth-Output, der auf die Subadresse des Nutzers verschlüsselt ist. Für einen Beobachter der Blockchain ist dieser Output schlicht ein frischer öffentlicher Schlüssel ohne erkennbare Verbindung zu MoneroSwapper oder zum Nutzer. Die Transaktion gibt einen Ring von sechzehn aus, darunter einer unserer Outputs und fünfzehn Lockvögel — selbst unsere eigene Ausgabe ist also aus dem reinen Kettenzustand heraus nicht eindeutig identifizierbar. RingCT verschleiert den exakten Auszahlungsbetrag. Das Ergebnis: Selbst ein Beobachter, der weiß, dass ein Tausch stattgefunden hat, kann nicht beweisen, welche konkrete Monero-Transaktion im betreffenden Block die Auszahlung war oder welche Subadresse sie empfangen hat.
Diese Asymmetrie — transparenter BTC-Eingang, undurchsichtiger XMR-Ausgang — ist der eigentliche Sinn dahinter, Monero als Privatsphäre-Schicht zu nutzen, statt es als durchgängige Transaktionswährung für jeden einzelnen Bezahlvorgang einzusetzen. Die Stealth-Adresse stellt sicher, dass der Output des Tauschs nicht auf die Adresse des Nutzers zurückverfolgbar ist; die Ringsignatur stellt sicher, dass unsere Auszahlung nicht über die Historie unserer Hot-Wallet rückwärts verkettet werden kann.
Was das für deutsche Nutzer regulatorisch heißt
Ein kurzer regionaler Einschub, weil wir die Frage oft aus dem DACH-Raum gestellt bekommen: Die kryptografischen Privatsphäre-Eigenschaften von Monero entbinden Sie selbstverständlich nicht von Ihren steuerlichen Pflichten in Deutschland, Österreich oder der Schweiz. Das Bundesministerium der Finanzen (BMF) hat im Schreiben vom 10. Mai 2022 (geändert 2025) klargestellt, dass Veräußerungsgewinne aus Kryptowerten — also auch aus einem Tausch zwischen BTC und XMR — als private Veräußerungsgeschäfte im Sinne des § 23 EStG zu behandeln sind. Werden die Coins länger als ein Jahr gehalten, sind Gewinne steuerfrei; darunter gilt die Freigrenze von 1.000 Euro pro Jahr (seit 2024). Die BaFin ordnet Monero zudem als Finanzinstrument im Sinne des KWG ein, was vor allem Anbieter, nicht aber Privatpersonen betrifft.
Praktisch bedeutet das: Sie sollten Ihre Tausch- und Haltezeiten dokumentieren, selbst wenn die Blockchain das nicht für Sie tut. View-Only-Wallets sind dafür der saubere Weg — Sie können einem Steuerberater (oder einer Software wie CoinTracking oder Blockpit) Einsicht geben, ohne den Spend-Key herausgeben zu müssen. Der View-Key bleibt damit sensibel, aber kontrollierbar.
FAQ
Lassen sich Stealth-Adressen deanonymisieren?
Nur durch jemanden, der den View-Key der Empfängeradresse besitzt. Der View-Key zeigt, welche Outputs zu welcher Wallet gehören, kann sie aber nicht ausgeben. Wenn Sie einen View-Key an einen Dritten weitergeben — etwa, um einem Wirtschaftsprüfer Solvenz nachzuweisen —, sieht diese Partei für immer all Ihre eingehenden Zahlungen, inklusive der vergangenen. Behandeln Sie den View-Key wie sensible Daten und nicht wie ein „Nur-Lese-Passwort", das man bedenkenlos veröffentlichen kann.
Warum hat Monero die Ringgröße auf 16 erhöht?
Der Hardfork „Fluorine Fermi" vom August 2022 hob die Ringgröße von 11 auf 16 an, um die Anonymitätsmenge pro Ausgabe zu vergrößern. Sechzehn liegt grob im Sweet Spot, ab dem zusätzliche Lockvögel nur noch abnehmenden Privatsphäre-Gewinn bei steigenden Transaktionsgrößen-Kosten bringen. Die nächste Generation, FCMP++ (Full-Chain Membership Proofs), soll feste Ringgrößen durch Beweise über die gesamte Output-Menge ersetzen — die Anonymitätsmenge wäre dann effektiv die gesamte Blockchain.
Verschwinden Ringsignaturen mit FCMP++?
Ja, irgendwann. FCMP++ ist der geplante Nachfolger von CLSAG für die senderseitige Privatsphäre und befindet sich Stand 2026 in aktiver Entwicklung. Es wird eine andere kryptografische Konstruktion verwenden — Curve Trees in Verbindung mit einem SAL-Beweis —, um die Zugehörigkeit eines Inputs zur gesamten UTXO-Menge zu beweisen, statt nur zu einem 16er-Ring. Stealth-Adressen sind davon nicht betroffen und bleiben im Einsatz. Genau weil die beiden Schichten von Anfang an unabhängig waren, lässt sich die eine austauschen, ohne die andere anzufassen.
Ist die eine für den Alltag wichtiger als die andere?
Beim Empfangen von Zahlungen macht die Stealth-Adresse fast die gesamte Arbeit — ohne sie würde jede öffentlich geteilte Adresse jede jemals erhaltene Zahlung offenlegen. Beim Ausgeben ist es die Ringsignatur, die verhindert, dass der Transaktionsgraph Ihrer Wallet zu einer öffentlichen Akte wird. Beide sind wichtig, aber in unterschiedlichen Szenarien. Ein Händler, der Monero annimmt, stützt sich stärker auf Stealth-Adressen. Ein privatsphärebewusster Sender stützt sich stärker auf Ringsignaturen.
Braucht ein Tauschdienst wie MoneroSwapper einen meiner Schlüssel?
Nein. Der Nutzer liefert ausschließlich die Ziel-Monero-Adresse (oder Subadresse). Die Tausch-Engine leitet den Stealth-Output genauso ab wie jeder andere Sender es täte — ohne Zugriff auf den Spend-Key oder den View-Key des Nutzers. Genau das ist der strukturelle Grund, weshalb No-KYC-Monero-Tausche überhaupt möglich sind: Die Kryptografie verlangt nicht, dass der Dienst den Nutzer identifiziert, und die Privatsphäre des Nutzers hängt nicht davon ab, dass der Dienst Geheimnisse für sich behält.
Fazit
Stealth-Adressen und Ringsignaturen sind nicht zwei Namen für ein und dieselbe Sache. Sie lösen die gegenüberliegenden Hälften des Privatsphäre-Problems — die eine verbirgt, wohin das Geld geht, die andere, woher es kam — und sie versagen unter unterschiedlichen Bedrohungsmodellen. Diese Trennung zu verstehen ist der Unterschied zwischen dem Umgang mit Monero als magischer Blackbox und der Fähigkeit, die eigene Privatsphäre tatsächlich durchzudenken. Wenn Sie beide Schichten einsetzen wollen, ohne sich mit den Implementierungs-Details zu beschäftigen, ist genau das der Zweck von MoneroSwapper: anonyme, KYC-freie Tausche, die Ihnen jedes Mal einen frischen Stealth-Output liefern, geschützt durch einen 16er-Ring.