Vad betyder privacy by default?
Privacy by default betyder att varje Monero-transaktion är privat utan att användaren aktiverar någon inställning. Det skiljer Monero från Bitcoin, Ethereum och Zcash, där privatläget antingen saknas helt eller är ett valfritt tillval som de flesta hoppar över.
På en transparent blockkedja som Bitcoin syns tre fält publikt: vem som skickar, vem som tar emot och hur mycket som överförs. Adressklustring, tajming och börsdata räcker för att kartlägga de flesta plånböcker i efterhand. Chainalysis, Elliptic och CipherTrace säljer den tjänsten till skattemyndigheter och banker.
Monero döljer samma tre fält direkt i protokollet. Ring signatures gör avsändaren kryptografiskt omöjlig att peka ut bland 16 möjliga källor. Stealth addresses skapar en engångsadress för varje betalning, så mottagaren aldrig exponeras. RingCT krypterar beloppet med Pedersen commitments, samtidigt som nätverket matematiskt verifierar att summorna balanserar. Bulletproofs komprimerar det matematiska beviset så att varje transaktion väger cirka 2 kB istället för tidigare 13 kB.
Eftersom alla transaktioner ser likadana ut på kedjan finns inget sätt att plocka ut en delmängd och analysera den. Anonymity set blir lika stort som hela användarbasen. Det ger utbytbarhet, alltså fungibilitet, där varje XMR är kryptografiskt identisk med varje annan XMR. Läs mer om det i artikeln om fungibilitet i krypto.
Designvalet kommer från CryptoNote-specifikationen som publicerades 2013 under pseudonymen Nicolas van Saberhagen. Monero lanserades som fork av Bytecoin den 18 april 2014 och har byggt vidare på samma princip i tolv år. Jämför med grundguiden om Monero för bakgrund till protokollets tillkomst.
Blocktiden ligger på 2 minuter, vilket ger cirka 720 nya block per dygn och en stadig ström av färska outputs att plocka decoys från. Nätverket genomför en schemalagd hardfork ungefär varannan halvår där kryptografiska parametrar uppdateras kollektivt för alla noder. Den senaste stora uppgraderingen i augusti 2022 införde Bulletproofs+, ringstorlek 16 och view tags på samma gång.
Ring signatures. Dölja avsändaren
Ring signatures döljer vem som skickar en Monero-transaktion genom att blanda avsändarens riktiga nyckel med 15 lockbetefnycklar, så kallade decoys, hämtade från tidigare block. Tekniken kommer ursprungligen från Rivest, Shamir och Tauman (2001) och anpassades för blockkedjor i CryptoNote-protokollet.
Ringstorleken har ökats i flera omgångar och ligger sedan augusti 2022 fast på 16. Det betyder att varje utbetalning statistiskt kan ha kommit från en av 16 outputs på kedjan. En extern analytiker får ingen information om vilken av de 16 som är den riktiga.
Fast ringstorlek är ett medvetet designval. Om användaren själv fick välja ringstorlek skulle plånböcker med större ring sticka ut i mängden och göra dem lättare att profilera. Enhetlighet i protokollet är en av Moneros viktigaste principer: alla transaktioner ska se likadana ut på kedjan, oavsett avsändare, plattform eller belopp.
Så väljs decoys
Monero-plånboken väljer decoys enligt en gamma-fördelning som efterliknar typiska utgiftsmönster. Nyligen skapade outputs plockas oftare än äldre, vilket matchar hur riktiga användare spenderar. Utan gamma-fördelning skulle en naiv uniform selection röja den äkta avsändaren via tajming.
Parametrarna i gamma-fördelningen har justerats flera gånger efter statistisk forskning. Den nuvarande kurvan kalibreras mot faktiska spend-mönster från empiriska studier av kedjedata, och decoy-selection-algoritmen öppen källkod i monero-project på GitHub. Användaren kan byta decoy-strategi i plånboken men rekommenderas använda standardinställningen för att inte sticka ut.
Nyckelbild förhindrar dubbelspendering
Varje ring signature publicerar en kryptografisk nyckelbild, key image, som är unik för den output som faktiskt spenderas. Nätverket jämför alla nyckelbilder mot varandra och avvisar dubbletter. Det stoppar dubbelspendering utan att avslöja vilken output i ringen som använts.
CLSAG ersatte MLSAG 2020
Signaturformatet i Monero uppgraderades från MLSAG till CLSAG i oktober 2020 genom hardforken version 12. CLSAG står för Concise Linkable Spontaneous Anonymous Group signatures och minskar ring signature-storleken med cirka 25 procent. Verifieringstiden sjönk med ungefär 10 procent, vilket sänkte avgiften per transaktion och gjorde noddriften billigare.
Fördjupning av matematiken bakom CryptoNote-signaturen och MLSAG-formatet finns på ring signatures-sidan. Där beskrivs också tidigare sårbarheter som EAE-attacken och hur ringstorlek 16 minskar dem.
Stealth addresses. Dölja mottagaren
Stealth addresses döljer mottagaren genom att skapa en ny engångsadress för varje enskild transaktion. Mottagarens publika plånboksadress syns aldrig på blockkedjan, bara den härledda engångsadressen som bara mottagaren kan koppla till sin plånbok.
Tekniken bygger på Diffie-Hellman-utbyte mellan avsändarens slumpmässiga nyckel och mottagarens publika visningsnyckel. Resultatet blir en adress som ser slumpmässig ut för alla observatörer, men som mottagarens privata visningsnyckel kan identifiera och dechiffrera.
Mottagarens plånbok skannar varje nytt block och testar om någon output tillhör adressen. Det kräver full-node-skanning eller en view-only wallet. Ingen annan part på kedjan kan göra samma koppling, eftersom den privata visningsnyckeln aldrig lämnar plånboken.
Konsekvensen är att adressklustring, som är grunden i Bitcoin-analys från företag som Chainalysis, inte fungerar mot Monero. En mottagare som publicerar sin XMR-adress på en blogg eller i en donationsruta får alla betalningar till unika stealth addresses på kedjan. Samma publika adress syns aldrig två gånger.
View tags, införda i augusti 2022, accelererar skanningsprocessen. En view tag är en byte som plånboken jämför först innan full Diffie-Hellman-beräkning körs på en output. Det sänker skanningstiden med cirka 40 procent och gör det lättare att driva lättvikts-plånböcker på mobila enheter.
Tekniska detaljer om nyckelderivering, subadresser och integrated addresses beskrivs på stealth addresses-sidan.
RingCT. Dölja beloppet
RingCT, Ring Confidential Transactions, krypterar det överförda beloppet samtidigt som nätverket matematiskt verifierar att in- och utgående summor balanserar. Funktionen blev obligatorisk i Monero i januari 2017 efter ett mjukt införande från september 2016.
Tekniken kombinerar ring signatures med Pedersen commitments, ett kryptografiskt åtagande till ett värde som går att addera utan att avslöja värdet själv. Avsändaren binder sig till ett belopp via en Pedersen commitment, och nätverket kontrollerar att summan av commitments på input-sidan är lika med summan på output-sidan.
Pedersen commitments i praktiken
En Pedersen commitment kombinerar beloppet med en slumpmässig blindningsfaktor på elliptiska kurvan ed25519. Observatörer ser en 32-bytes-punkt, inte själva beloppet. Addition av commitments ger en ny commitment som är matematiskt ekvivalent med summan av de underliggande beloppen, vilket gör balanskontrollen möjlig utan dekryptering.
Range proofs förhindrar negativa belopp
För att hindra en avsändare från att skapa falska XMR genom negativa belopp krävs ett range proof, ett matematiskt bevis på att varje belopp ligger mellan 0 och 2⁶⁴. Före 2018 användes Borromean range proofs som var stora, efter oktober 2018 ersattes de av Bulletproofs och sedan augusti 2022 av Bulletproofs+.
Bulletproofs+ sedan 2022
Range proofs i dagens Monero använder Bulletproofs+, en variant publicerad 2020 av Chung, Han, Ju, Lin och Wang. Bulletproofs+ är cirka 15 procent mindre än originalbulletproofs och 10 procent snabbare att verifiera. Införandet i Monero skedde i augusti 2022 tillsammans med ringstorlek 16 och view tags.
Detaljerade räkneexempel på Pedersen commitments, blindningsfaktorer och MLSAG-kopplingen finns på RingCT-sidan.
Bulletproofs. Effektivare integritet
Bulletproofs är ett icke-interaktivt zero-knowledge-bevis som komprimerar range proofs i Monero. Tekniken introducerades i Monero i oktober 2018 genom hardforken version 8, och ersattes av en uppdaterad variant kallad Bulletproofs+ i augusti 2022.
Före Bulletproofs vägde en typisk RingCT-transaktion cirka 13 kB. Efter Bulletproofs blev storleken omkring 2 kB, en minskning med 80 procent. Transaktionsavgiften sjönk med liknande marginal, från i genomsnitt 0,60 USD under 2017 till under en cent 2019.
Bulletproofs+ sänkte verifieringstiden ytterligare med cirka 15 procent och gjorde bevisen marginellt mindre. Protokollet kommer från forskning av Bünz, Bootle, Boneh och andra vid Stanford och UCL, publicerad 2018.
Tekniskt komprimerar Bulletproofs range proofs logaritmiskt istället för linjärt i bitlängden. Det gör att bevis för flera outputs kan aggregeras till ett enda, vilket är särskilt effektivt för transaktioner med flera mottagare. En transaktion med två utbetalningar får ett enda aggregerat range proof istället för två separata, vilket sparar ytterligare cirka 30 procent i storlek.
Inget trusted setup behövs, till skillnad från zk-SNARKs i Zcash. Bulletproofs bygger på diskret logaritm-antagandet på ed25519, samma matematiska grund som resten av Monero. Det minskar attackytan och gör protokollet mer robust över tid. Fördjupning i matematiken bakom inner product argument och hur Bulletproofs+ skiljer sig från originalet finns på Bulletproofs-sidan.
Kan Monero spåras?
Monero är inte trivialt spårbart på kedjenivå, men anonymiteten bryts i praktiken oftare genom metadata utanför protokollet än genom kryptografiska svagheter. Tre huvudkategorier av attackvektorer finns dokumenterade: protokollsårbarheter, nätverksläckor och operationssäkerhetsfel.
Protokollsårbarheter omfattar tidiga statistiska attacker mot ringsignaturer. Forskning av Malte Möser med flera vid Princeton och Carnegie Mellon (2018) visade att 62 procent av outputs före RingCT gick att identifiera via newest-output-heuristiken. Efter 2017 års RingCT-införande och gamma-fördelningen som lades till 2018 har den heuristiken blivit praktiskt oanvändbar.
Nätverksläckor uppstår när användarens IP-adress kopplas till en transaktion. En full node som tar emot en transaktion från en specifik peer kan logga IP-adressen, vilket exchange-operatörer eller stater med övervakningskapacitet har tillgång till. Monero hanterar detta genom protokollet Dandelion++, infört i hardforken september 2020, som obfuskerar den första propageringsvägen genom en slumpmässig stem-fas innan transaktionen broadcast:as.
Operationssäkerhetsfel är den vanligaste orsaken till avanonymisering. Exempel är återanvändning av en KYC-börsadress, att skicka XMR till en transparent kedja via en spårbar atomic swap, eller att köra plånboken utan Tor eller I2P. Moneros GUI-plånbok har inbyggt stöd för Tor sedan 0.18-serien.
En annan vanlig fälla är att en användare köper XMR på en KYC-börs, skickar till egen plånbok och sedan tillbaka till samma börs för att sälja. Då vet börsen både ingångs- och utgångsadress trots att kedjan inte avslöjar flödet. Rekommendationen är att separera köp- och säljväg med minst en plånboksrotation och helst byta börs.
Extern metadata, såsom IP-loggning hos exchange, KYC-data, timing-analys av in- och utbetalningar och post-paid-adresser, är det som verkliga brottsutredningar bygger på. US Department of Justice har i flera fall kopplat individer till Monero-transaktioner, men alltid via externa bevis, aldrig genom att knäcka ring signatures eller RingCT kryptografiskt.
Ett konkret exempel är fallet mot Alphabay-administratören 2017, där Monero användes för att dölja delar av flödet. Utredningen byggde på server-beslag, traditionell spaning och operativsäkerhetsmisstag, inte på kedjeanalys av XMR själv. Samma mönster går igen i alla publicerade rättsfall som rör Monero från 2017 till 2025.
För vardaglig användning räcker tre regler för att hålla integriteten intakt. Använd den officiella plånboken med Tor eller I2P aktiverat. Undvik att återanvända samma KYC-börs för både köp och försäljning av samma XMR-summa. Vänta minst 10 block, alltså ungefär 20 minuter, innan utbetalning från börs används i en ny transaktion. De tre reglerna täcker de vanligaste attackvektorerna utan att göra plånbokshantering komplicerad.
Jämför med vanliga kryptovalutors spårbarhet i artikeln om Monero vs Bitcoin.
Kända svagheter och forskning
Moneros anonymitet har granskats av akademiska grupper och kommersiella analysföretag sedan 2014. Monero Research Lab publicerar löpande MRL-rapporter om identifierade svagheter och åtgärdar dem genom schemalagda hardforks ungefär varannan halvår.
MRL-1 från 2014 beskrev grundproblemet att en ring size på 1 inte gav någon anonymitet, vilket ledde till minimum ring size 3 och senare stegvisa ökningar. MRL-4 från 2014 identifierade EAE-attacken, där en motpart med kontroll över både en tidigare och senare transaktion statistiskt kan peka ut den verkliga avsändaren. Minimum ring size höjdes stegvis till 5 (2017), 7 (2018), 11 (2019) och 16 (2022) för att neutralisera attacken.
MRL-0008 publicerad 2019 analyserade effekterna av gamma-fördelad decoy-selection mot tidigare uniforma metoder. Slutsatsen var att gamma-fördelningen reducerade statistisk identifierbarhet med över 90 procent. Rapporten låg till grund för den algoritm som används i dagens plånböcker.
Akademisk forskning från Princeton, Carnegie Mellon och ETH Zürich publicerad 2017 till 2018 visade att pre-RingCT-transaktioner före januari 2017 till stor del gick att avanonymisera. Outputs från den perioden utgör i praktiken ingen skyddande decoy-pool längre, eftersom plånbokens decoy-selection filtrerar bort dem.
Chainalysis har sedan 2020 marknadsfört verktyg mot Monero i säljmaterial till amerikanska myndigheter. Företaget har aldrig publicerat tekniska detaljer om hur verktygen fungerar, och oberoende granskningar från Monero Research Lab och säkerhetsforskare har inte kunnat reproducera något generellt brott mot ring signatures. Metoderna antas bygga på statistisk heuristik, exchange-samarbeten och tajming, inte kryptografi.
CipherTrace, som förvärvades av Mastercard 2021, presenterade 2020 en liknande lösning. Samma mönster gäller: inga publicerade tekniska bevis, ingen extern verifiering. Båda företagen erbjuder spårningstjänster snarare än garanterad avanonymisering.
Forskningsrapporten "An Empirical Analysis of Traceability in the Monero Blockchain" från Princeton (2017) är den oftast citerade akademiska studien av Monero. Rapporten gällde perioden före RingCT och dess slutsatser är inte giltiga för transaktioner efter januari 2017. Moneros utvecklare implementerade åtgärder mot samtliga identifierade svagheter inom sex månader efter publiceringen, vilket är ett av de snabbaste forsknings-till-produktion-svaren i blockkedjevärlden.
Kudelski Security genomförde 2019 en oberoende audit av Bulletproofs-implementationen. Auditen hittade inga kritiska fel men föreslog optimeringar som togs in i senare releaser. Trail of Bits granskade CLSAG-implementationen 2020 och Bulletproofs+-implementationen 2022 med liknande resultat: inga allvarliga sårbarheter och ett litet antal mindre förbättringar.
US Internal Revenue Service utlyste 2020 en bounty på 625 000 USD för verktyg som spårar Monero. Prispengarna gick till Chainalysis och Integra FEC, men ingen teknisk rapport publicerades. Bounties av den typen behandlas av MRL som indikator på var forskningsresurser bör läggas, snarare än som bevis på faktiska kryptografiska genombrott.
Jämförelse med andra privacy coins
Monero skiljer sig från övriga privacy coins främst genom obligatorisk integritet i varje transaktion. Zcash, Dash och Grin använder olika tekniker, men alla bygger på valfri eller partiell anonymisering.
Zcash använder zk-SNARKs, nollkunskapsbevis som kan krypterar hela transaktionsdata. Tekniken är matematiskt starkare än ring signatures, men är valfri. Bara omkring 15 procent av alla Zcash-transaktioner är så kallade shielded och utnyttjar den faktiska anonymiteten. Transparent volym dominerar, vilket gör det enklare att deanonymisera den skärmade delen via heuristik på entry- och exit-punkterna.
Dash erbjuder en funktion som heter PrivateSend, byggd på CoinJoin. Användaren blandar sina mynt med andra användare genom masternoder. Anonymitetssetet är litet (typiskt 2 till 8 andra), och blandningen är helt valfri. De flesta Dash-transaktioner är vanliga transparenta betalningar.
Grin och Beam använder Mimblewimble-protokollet, som aggregerar transaktioner på blocknivå och utelämnar adresser helt. Svagheten är att Mimblewimble kräver interaktion mellan avsändare och mottagare, vilket försvårar användning. Forskning från Ivan Bogatyy (2019) visade också att 96 procent av Grin-transaktioner gick att koppla till avsändare genom att köra noder som samlar rå nätverkstrafik.
Kort sammanfattat har Monero det största dagliga anonymity set (alla transaktioner), Zcash det starkaste kryptografiska bevisen (men litet aktivt set), Dash den svagaste mixern och Grin den mest begränsade användbarheten. En mer detaljerad matris över anonymity set, obligatoriskhet, audithistorik och nätverkseffekt finns i översikten över privacy coins. Fördjupning om skillnaderna mellan Monero och Zcash specifikt finns i Monero vs Zcash.
Framtiden. Seraphis, Jamtis och FCMP
Moneros nästa stora uppgradering består av tre samverkande protokoll under utveckling: Seraphis, Jamtis och FCMP. Tillsammans gör de att hela utgångsmängden på blockkedjan fungerar som anonymity set, istället för dagens fasta ringstorlek 16. Uppgraderingen är den största sedan RingCT infördes 2017 och arbetet leds av Monero Research Lab i öppen utveckling på GitHub.
Seraphis är ett nytt transaktionsprotokoll som ersätter dagens MLSAG- och CLSAG-signaturer. Det är utformat av utvecklaren koe och pågår som en flerårig implementation i Monero Research Lab. Seraphis separerar adresser från transaktionsprotokollet, vilket gör att nya adressformat kan införas utan att protokollet själv måste ändras.
Jamtis är det nya adressformatet som följer med Seraphis. Formatet ger bättre stöd för vyttar, delade kontohierarkier och offline-signering. Nuvarande Monero-adresser är 95 tecken långa, medan Jamtis-adresser är ungefär lika långa men mer flexibla i hur nycklar exponeras.
FCMP, Full Chain Membership Proofs, är den kryptografiska kärnan i uppgraderingen. Istället för att en ring signature ska välja 16 decoys bevisar FCMP att den verkliga avsändaren finns någonstans i hela mängden av outputs på kedjan. Anonymity set växer från 16 till tiotals miljoner, med bibehållen verifieringshastighet via algebraiska bevis byggda på curve trees.
Tidsplanen är iterativ. MRL har publicerat proof-of-concept-implementationer under 2024 och 2025, och FCMP förväntas bli aktiverat i en hardfork under 2026 till 2027 beroende på testresultat. Uppgraderingen är bakåtkompatibel så att nuvarande plånböcker kan migrera utan att förlora historik eller tidigare transaktioner.
Parallellt pågår forskning om post-kvant-säkra privacy-primitiver. Monero Research Lab följer utvecklingen inom lattice-baserad kryptografi och hash-baserade signaturer för att vara förberedd när NIST slutför sina post-kvant-standarder. Nuvarande ed25519-kurva antas hålla mot kvantdatorer minst tolv till femton år framåt, vilket ger MRL tid att införa nya primitiver i lugn takt.
Finansieringen av utvecklingsarbetet sker via Moneros Community Crowdfunding System (CCS), där enskilda utvecklare föreslår uppgifter med en prislapp i XMR. Donationer från användare finansierar arbetet direkt, utan stiftelse eller företag i mitten. Modellen har pågått sedan 2014 och har finansierat både Bulletproofs-implementationen, CLSAG och nuvarande Seraphis-arbete.
För användare innebär övergången att nuvarande plånböcker kommer behöva uppdateras när Seraphis aktiveras. Migreringsprocessen är planerad som en engångshändelse där existerande adresser fortsätter fungera parallellt under en övergångsperiod, typiskt 6 till 12 månader. Därefter sker all ny transaktionsvolym i det nya formatet medan äldre outputs kan spenderas i ett utfasningsläge.
Vanliga frågor om integritet i Monero
Är Monero verkligen anonymt?
Monero är anonymt på protokollnivå. Avsändare, mottagare och belopp är krypterade på blockkedjan genom ring signatures, stealth addresses och RingCT. Avanonymisering kräver operativsäkerhetsmisstag av användaren eller extern metadata, inte analys av själva kedjan. Anonymiteten är obligatorisk och gäller varje transaktion automatiskt.
Kan Chainalysis spåra Monero-transaktioner?
Chainalysis har marknadsfört verktyg mot Monero sedan 2020 men har aldrig publicerat tekniska bevis på generell spårning. Metoderna bygger på statistisk heuristik, tajming och börs-KYC-data, inte kryptografiskt brott mot ring signatures eller RingCT.
Vad är ring size i Monero?
Ring size är antalet möjliga avsändare i en ring signature. Monero använder fast ringstorlek 16 sedan augusti 2022. Det innebär att varje utbetalning statistiskt kan komma från en av 16 tidigare outputs på blockkedjan.
Hur stor är en Monero-transaktion?
En typisk Monero-transaktion är cirka 2 kB efter att Bulletproofs+ infördes i augusti 2022. Det är ungefär 80 procent mindre än den gamla RingCT-storleken från 2017 på 13 kB.
Vad är skillnaden mellan Monero och Zcash integritet?
Monero har obligatorisk integritet genom ring signatures, stealth addresses och RingCT i varje transaktion. Zcash använder zk-SNARKs där integriteten är valfri. Bara cirka 15 procent av alla Zcash-transaktioner är skärmade och utnyttjar den faktiska anonymiteten.
Vad är Seraphis och FCMP i Monero?
Seraphis är ett nytt transaktionsprotokoll under utveckling, Jamtis ett nytt adressformat och FCMP står för Full Chain Membership Proofs. Tillsammans gör de att hela utgångsmängden på blockkedjan fungerar som anonymity set, istället för dagens fasta ringstorlek 16. Uppgraderingen förväntas aktiveras i en hardfork under 2026 till 2027.