Eine Ring Signature erlaubt es einem Mitglied einer Gruppe, eine Transaktion zu signieren, indem der eigene echte Signaturschlüssel kryptografisch mit den öffentlichen Schlüsseln aller anderen Mitglieder vermischt wird, sodass ein Prüfer bestätigen kann, dass die Signatur von jemandem aus dieser Gruppe stammt, aber keine mathematische Möglichkeit hat, herauszufinden von wem genau. Kein Gruppenmitglied muss zustimmen oder mitwirken: Der Unterzeichner sammelt einfach öffentliche Schlüssel, die im Netzwerk bereits sichtbar sind, und kombiniert sie mit seinem eigenen Private Key, um die Signatur zu erzeugen.
Das Konzept existierte schon vor der Blockchain. Die Kryptografen Ron Rivest, Adi Shamir und Yael Tauman führten Ring Signatures 2001 in einem Paper mit dem Titel "How to Leak a Secret" ein und schlugen sie ursprünglich als Möglichkeit vor, mit der ein Insider Informationen anonym durchsickern lassen kann, während er dennoch legitimen Zugang nachweist. Die Nutzung für Transaktionsprivatsphäre kam später, insbesondere über das CryptoNote-Protokoll.
Bei Monero, einem Privacy Coin, der auf CryptoNote basiert, wird jeder Transaktions-Input mit einem Schema namens MLSAG (Multilayered Linkable Spontaneous Anonymous Group Signatures) signiert. Der tatsächlich ausgegebene Output wird mit 15 Decoy-Outputs aus vergangener Blockchain-Aktivität vermischt, wodurch ein Ring aus 16 möglichen Unterzeichnern entsteht. Ein kryptografisches "Key Image", das an den echten Schlüssel gebunden ist, verhindert, dass derselbe Output jemals doppelt ausgegeben wird, ohne zu verraten, welches Ringmitglied die Signatur erzeugt hat. In Kombination mit Stealth Addresses und RingCT, das den übertragenen Betrag mithilfe von Bulletproofs verbirgt, lassen Ring Signatures bei Monero Absender, Empfänger und Betrag gleichzeitig verschleiern.
Der wichtigste Kompromiss ist die Größe: Jeder Decoy fügt der Transaktion zusätzliche Daten hinzu, und statistische Analysen haben die Anonymität in Randfällen gelegentlich eingeschränkt. Das treibt Monero-Entwickler zu einem Nachfolgesystem namens FCMP++, einem Zero-Knowledge-Proof-Ansatz, der die Anonymitätsmenge von einem festen Ring aus 16 auf den gesamten Pool nicht ausgegebener Outputs der Chain erweitern würde.