Wasabi auf Tails: CoinJoin ohne Spuren einrichten

Wasabi Wallet auf Tails OS ist die konsequenteste Kombination für CoinJoin mit maximaler Privatsphäre: Das amnesische Betriebssystem schreibt standardmäßig nichts auf die Festplatte, der gesamte Traffic läuft über Tor, und nach dem Herunterfahren bleibt keine Spur im RAM. Der Koordinator sieht nur eine Tor-Exit-IP — kein Klarname, keine Heimadresse, kein Gerät.

Diese Anleitung geht durch den vollständigen Einrichtungsprozess: einmalige Installation im Persistent Storage, Startskript, Koordinatorkonfiguration und den Mix-Workflow für ein solides Anonymitätsset.

1 — Warum Tails?

Tails ist ein Live-Betriebssystem, das von einem USB-Stick bootet und keine dauerhaften Spuren hinterlässt. Für CoinJoin ergibt sich daraus ein klares Sicherheitsprofil:

• RAM-only: Das System läuft vollständig im Arbeitsspeicher. Keine Festplatten-Schreibzugriffe — nach dem Shutdown sind alle Session-Daten weg.
• Tor für allen Traffic: Tails leitet standardmäßig sämtlichen Netzwerkverkehr durch das Tor-Netzwerk. Der CoinJoin-Koordinator sieht nur eine Tor-Exit-IP.
• Persistent Storage (verschlüsselt): Ein optionaler, LUKS-verschlüsselter Bereich auf dem USB-Stick für dauerhafte Dateien. Hier landen das Wasabi-Binary und die Wallet-Daten — so muss die Software nicht nach jedem Reboot neu heruntergeladen werden.
• Kein Adminpasswort nötig: Für die Installation und den Betrieb von Wasabi ist kein Root-Zugriff erforderlich.

2 — Installation (einmalig)

Die Installation erfolgt einmalig im Persistent Storage. Bei jedem folgenden Boot ist Wasabi sofort verfügbar — kein erneuter Download.

Download und GPG-Verifikation

Zuerst ins Persistent-Verzeichnis wechseln, die aktuelle Version herunterladen und die GPG-Signatur prüfen. Die Verifikation ist Pflicht — nur so ist sichergestellt, dass das Binary nicht manipuliert wurde.

cd ~/Persistent
VER="2.7.2"
curl -L "https://github.com/WalletWasabi/WalletWasabi/releases/download/v${VER}/Wasabi-${VER}-linux-x64.tar.gz" \
     -o "Wasabi-${VER}-linux-x64.tar.gz"
curl -L "https://github.com/WalletWasabi/WalletWasabi/releases/download/v${VER}/Wasabi-${VER}-linux-x64.tar.gz.asc" \
     -o "Wasabi-${VER}-linux-x64.tar.gz.asc"
curl -L "https://raw.githubusercontent.com/WalletWasabi/WalletWasabi/master/PGP.txt" \
     -o PGP.txt
gpg --import PGP.txt
gpg --verify "Wasabi-${VER}-linux-x64.tar.gz.asc" "Wasabi-${VER}-linux-x64.tar.gz"

Erwarteter Fingerprint (zkSNACKs Ltd.):

6FB3 872B 5D42 292F 5992 0797 8563 4832 8949 861E

Eine Ausgabe wie Good signature from "zkSNACKs Ltd." reicht — die Warnung "Dieser Schlüssel ist nicht vertrauenswürdig beglaubigt" ist in Tails normal, weil der zkSNACKs-Schlüssel nicht im lokalen Web-of-Trust verankert ist. Entscheidend ist, dass der Fingerprint exakt übereinstimmt.

Entpacken und aufräumen

Das Archiv hat eine CI-Pfadstruktur (home/runner/work/...), die aufgeräumt werden muss. Die Startdatei heißt wassabee — nicht WalletWasabi.Desktop.

tar -pxzf "Wasabi-${VER}-linux-x64.tar.gz"
mv ~/Persistent/home/runner/work/WalletWasabi/WalletWasabi/build/linux-x64 ~/Persistent/Wasabi
rm -rf ~/Persistent/home

Symlink für Wallet-Daten

Wasabi speichert Wallet-Daten standardmäßig unter ~/.walletwasabi — ein flüchtiger Pfad im RAM. Um die Wallet über Reboots zu erhalten, wird ein Symlink auf das Persistent Storage gelegt:

mkdir -p ~/Persistent/.walletwasabi
ln -s ~/Persistent/.walletwasabi ~/.walletwasabi

Damit landen Wallet-Dateien, Einstellungen und der Blockchain-Sync-Cache dauerhaft auf dem USB-Stick — geschützt durch die LUKS-Verschlüsselung des Persistent Storage.

3 — Startskript und Desktop-Launcher

Startskript

Das Startskript stellt sicher, dass der Symlink bei jedem Boot korrekt gesetzt ist, und startet Wasabi mit den richtigen Flags:

#!/bin/bash
# ~/Persistent/start-wasabi.sh

if [ ! -L ~/.walletwasabi ]; then
    ln -s ~/Persistent/.walletwasabi ~/.walletwasabi
fi

COORDINATOR="https://coinjoin.kruw.io"
~/Persistent/Wasabi/wassabee \
    --UseTor=EnabledOnlyRunning \
    --CoordinatorUri="$COORDINATOR"

chmod +x ~/Persistent/start-wasabi.sh

Desktop-Launcher (optional)

Damit Wasabi in der Aktivitäten-Übersicht von Tails erscheint, wird ein .desktop-Eintrag über das Dotfiles-Feature angelegt. Dotfiles müssen im Persistent Storage aktiviert sein.

mkdir -p /live/persistence/TailsData_unlocked/dotfiles/.local/share/applications
cat > /live/persistence/TailsData_unlocked/dotfiles/.local/share/applications/wasabi.desktop << 'EOF'
[Desktop Entry]
Type=Application
Name=Wasabi (CoinJoin)
Exec=/home/amnesia/Persistent/start-wasabi.sh
Terminal=false
Categories=Network;Finance;
EOF

Der Launcher erscheint nach dem nächsten Reboot in der Aktivitäten-Übersicht. Alternativ lässt sich das Skript jederzeit direkt aus dem Terminal starten.

4 — Koordinator: Kruw

Der Standard-CoinJoin-Koordinator von zkSNACKs wurde im Mai 2024 abgeschaltet — Wasabi ohne externen Koordinator verbindet sich nicht. Drittanbieter-Koordinatoren sind non-custodial: Sie koordinieren die Rounds, halten aber keine Coins.

Das Startskript verwendet Kruw (coinjoin.kruw.io): 0 % Koordinatorgebühren, aktive Runden mit hoher Teilnehmerzahl, bewährt in der Community.

Alternative: OpenCoordinator (api.opencoordinator.org) — beide sind frei wählbar, indem die Variable COORDINATOR im Startskript angepasst wird.

ps aux | grep coordinator | grep -v grep

Vor dem Mix lohnt ein Blick auf wabisator.com: Dort sind aktive Rounds, Teilnehmerzahlen und Wartezeiten des Koordinators einsehbar. Wenige Teilnehmer bedeuten ein schwaches Anonymitätsset — bei geringer Aktivität lieber warten oder zu Stoßzeiten mixen.

5 — Wallet erstellen

Beim ersten Start: Add Wallet → Create New Wallet. Wasabi generiert einen 12-Wort-Seed (BIP39).

Nach der Erstellung wird die Wallet durch den Koordinator registriert. Der erste Filter-Download (BIP158) dauert einige Minuten — Wasabi synchronisiert dabei nicht die volle Blockchain, sondern nur kompakte Filter.

6 — Mix-Workflow

Ablauf Schritt für Schritt

1 In Wasabi eine Empfangs-Adresse unter Receive erzeugen.

2 Von der Hardware-Wallet den zu mixenden Betrag an diese Adresse senden. Mindestbetrag beachten (aktuell ~0,01 BTC, abhängig von der Round-Konfiguration des Koordinators).

3 Mindestens 1 Bestätigung abwarten, bis der UTXO in Wasabi erscheint.

4 Unter Privacy den UTXO auswählen und Play drücken. Auto-Mix ist per Default deaktiviert — manueller Start.

5 Auf Privacy Progress 100 % warten — Wasabi meldet „Hurray! All your funds are private!" sobald alle Coins das gesetzte Ziel erreicht haben. Je nach Koordinator-Aktivität dauert das zwischen wenigen Minuten und mehreren Stunden.

6 Unter Send den gemixten Output an eine frische Adresse der Hardware-Wallet senden. Keine direkte Weiterleitung an eine Börse oder anderen identitätsbindenden Dienst.

7 Tails herunterfahren. Persistent Storage ist verschlüsselt — die Wallet-Daten bleiben sicher auf dem USB-Stick.

7 — Troubleshooting

Die häufigsten Probleme und ihre Lösung:

• Koordinator verbindet nicht: Einen Schrägstrich (/) ans Ende der Koordinator-URL anhängen: https://coinjoin.kruw.io/. Manche Koordinatoren erwarten den Trailing Slash.
• Fehler beim Start, keine Ausgabe: Wasabi über das Terminal starten statt über den Desktop-Launcher — so sind Fehlermeldungen sichtbar:

  bash ~/Persistent/start-wasabi.sh

• Koordinator-Feld in den Einstellungen leer: Das ist normal und kein Bug. Der Wert wird per Startflag übergeben und ist aktiv, auch wenn die GUI nichts anzeigt. Kontrolle per ps aux | grep coordinator | grep -v grep.
• Sync dauert sehr lange: Beim ersten Start müssen die BIP158-Filter heruntergeladen werden. Das kann je nach Tor-Verbindungsgeschwindigkeit 10–30 Minuten dauern. Geduld — Tor auf Tails ist manchmal langsam.
• Wallet nach Reboot verschwunden: Prüfen, ob der Symlink korrekt gesetzt ist. Das Startskript setzt ihn bei jedem Start neu — wenn Wasabi ohne das Skript gestartet wurde, kann der Symlink fehlen. Lösung: immer über start-wasabi.sh starten.

Privatsphäre ist kein Luxus — sie ist die Voraussetzung für echtes Eigentum.