Ring-Signaturen sind eine zentrale Funktion zur Anonymisierung von Zahlungen in Monero. Ihre Aufgabe ist die Verschleierung des Senders. Während transparente Blockchains wie Bitcoin unverschämt offen den Sender eines Betrags als diesen preisgeben und für immer nachverfolgbar in das Kassenbuch schreiben, verschleiert die Ring-Signatur von Monero diesen.
In einer Überweisung, Zahlung oder Transaktion – nennen Sie es, wie Sie wollen – gibt es immer Sender, Empfänger und Betrag. Die anonyme Blockchain von Monero hält diese Daten möglichst geheim, indem sie Funktionen wie Stealth-Adressen (Empfängerverschleierung), RingCT (Betragsverschleierung) und das hier besprochene Ringsignaturen-Verfahren verwendet. Für die meisten Menschen hat das Finanzgeheimnis einen hohen Stellenwert.
Aufbau und Funktion
Eine Überweisung besteht in Kryptowährungen aus einem „UTXO“, einem freien Output. Das ist ein beliebiger Betrag, den wir von einer anderen Person oder durch eigenes Mining erhalten haben (z. B. 1,36ɱ). Wenn wir einen freien Output von unserem Konto mittels einer Zahlung jemand anderen senden, verändert sich die Begrifflichkeit: Der UTXO wird zu einem Input. Quasi eine „Eingabe“ in den Zahlungsprozess. Wenn Sie mehr zur allgemeinen Funktion von Zahlungen erfahren möchten, lege ich Ihnen diesen Beitrag ans Herz.
Ringsignaturen sind ein Typ digitaler Signatur, in der eine Gruppe potenzieller Unterzeichner zusammengefasst ist, um eine einzigartige Signatur zu erzeugen. Besonders hieran ist, dass der wahre Unterzeichner aus der Gruppe unerkannt bleibt. Sie wissen nur, dass die Nachricht aus dem Kreis der Unterzeichner kommt. Das ist die Kerneigenschaft dieses kryptografischen Signaturtyps.
Auf Monero angewandt signiert der wahre Sender in einer Zahlung seinen Output (Betrag, z. B. 1,36ɱ) mit einem Einmal-Ausgabeschlüssel. Das berechtigt ihn zur Ausgabe, indem er nachweist, dass er über den Betrag verfügen darf. Der beliebige Output wird somit zudem eindeutig. Nun benötigen wir noch weitere Mitglieder des Rings. Diese stellt uns netterweise der Knoten, mit dem wir verbunden sind, pseudozufällig zur Verfügung. In der heutigen Version von Monero sind das 15 andere Outputs. Für außenstehende Dritte ist nicht unterscheidbar, welcher Betrag der richtige ist, da sie alle legitim erscheinen und gleichgültig sind.
Wie verhindern, dass Beträge mehrfach ausgegeben werden?
Wir haben jetzt eine gültige Signatur, die aus unserer und der von 15 anderen besteht. Wenn Außenstehende nicht unterscheiden können, wer hier zahlt, könnte ein Betrag doch leicht mehrfach ausgegeben werden. Das technische Zauberwort, um diesen Betrug zu verhindern, heißt Key-Image. Diese Technik verhindert, dass wir eigennütziger Weise auch Beträge senden, über die wir nicht oder nicht mehr verfügen (Stichwort Double-Spending, Doppelte Ausgabe).
Von jedem Output, den wir ausgeben, wird ein kryptografisches Abbild, das sogenannte Key-Image – generiert und dieses an die Ring-Signatur angehangen. Für jeden eindeutigen Output gibt es nur ein Key-Image. Da diese Key-Images auf der Blockchain gespeichert werden, können Miner einfach überprüfen, ob dieses bereits verwendet wurde: wenn ja, wird die Zahlung zurückgewiesen, falls nein, wird die Zahlung in die Blockchain aufgenommen. Die Key-Images sind asymmetrische Ableitungen der Outputs, daher ist es nicht möglich, von einem Key Image Rückschlüsse auf den einzigartigen Output zu gewinnen, von dem er erzeugt wurde. Andernfalls wäre die gesamte Ring-Signatur sinnfrei.
Bei einem Output handelt es sich um einen wahllosen Betrag, beispielsweise 1,36 ɱ. Während dieser Betrag natürlich mehrfach vorkommen kann, kann der Output, signiert mit dem Einmal-Ausgabeschlüssel, nur einmal existieren. Dadurch wird auch das Key-Image einmalig.
Fazit
Monero gelingt ein genialer Spagat in der Kryptografie: Das Ziel, den Sender einer Zahlung auf der öffentlichen Blockchain zu anonymisieren, wird durch Ring-Signaturen erreicht und gleichzeitig wird das Problem der Doppelausgaben verhindert. Jüngste Angriffe auf das Monero-Netzwerk in der Gestalt von über 100.000 zusätzlichen Transaktionen täglich (kurz zuvor noch 25.000/Tag) haben gezeigt, dass das System trotz höchster Belastungen funktioniert und erste statistische Analysen zeigen, dass die Anonymität nicht aufgehoben werden konnte (der Annahme folgend, dass jede der zusätzlichen Zahlungen dem Deanonymisieren dienen sollte). Ein weiterer Beitrag hierzu unter dem Stichwort Black Marble.
Die Ring-Signatur, genannte Technik aus der Kryptografie, ist eine der drei anonymisierenden Kernfunktionen in Monero. Die anderen beiden heißen Stealth-Adressen und RingCT – mit Ihnen werden der Empfänger und der Betrag anonymisiert. Ihnen ist gewiss aufgefallen, dass wir in diesem Beitrag nur das Initial einer Zahlung beschrieben haben. Bis zur finalen Zahlung fehlen noch weitere Schritte, die die anderen Techniken beinhalten. Diese werden in weiteren Beiträgen beschrieben.
Ausblicke in die Zukunft von Monero
Ist die Ring-Signatur bereits die Spitze der technologischen Errungenschaften? Nein, denn am Horizont entwickelt eine Gruppe gerade ein neues Schlüssel-Konzept und in dessen Umfeld auch das Full-Chain-Membership-Proof (kurz FCMP). Seraphis würde das Ring-Signatur-Modell fortführen, aber von 16 Ringmitgliedern auf 128 erhöhen. FCMP wäre nicht mehr auf Ring-Signaturen angewiesen. Zur Erklärung der beiden Neuerungen folgen weitere Beiträge.
