Assinaturas CLSAG do Monero Explicadas
Assinaturas CLSAG do Monero Explicadas
No dia 17 de outubro de 2020, no bloco 2.210.720, o Monero trocou em silêncio o motor criptográfico que sustenta cada uma de suas transações. O hard fork "Oxygen Orion" aposentou a antiga assinatura em anel MLSAG e colocou a CLSAG no lugar — e o resultado foi imediato: transações cerca de 25% menores e verificação de 10% a 20% mais rápida, da noite para o dia. Se você já enviou XMR, ou converteu Bitcoin em Monero por um serviço como o MoneroSwapper, sua transação foi protegida por uma assinatura CLSAG sem que você percebesse nada.
A maioria das pessoas trata a privacidade do Monero como uma caixa-preta: moedas entram, moedas irrastreáveis saem. Mas a mágica que esconde quem enviou o quê tem nome e estrutura. A CLSAG é a peça que permite provar "eu sou dono de uma destas saídas e estou gastando ela exatamente uma vez" — sem revelar qual saída é a sua. Este artigo destrincha o que é a CLSAG, como ela funciona, por que substituiu sua antecessora e onde ela se encaixa no roteiro do Monero, agora que provas mais novas como a FCMP++ se aproximam da rede.
O Que CLSAG Significa de Verdade
CLSAG é uma sigla, e cada letra descreve uma propriedade real do esquema. Em inglês, é a abreviação de Concise Linkable Spontaneous Anonymous Group signatures — ou, em português, assinaturas de grupo concisas, vinculáveis, espontâneas e anônimas. O desenho nasceu de um artigo de pesquisa de 2019 escrito por Brandon Goodell, Sarang Noether e um colaborador conhecido como RandomRun, e passou por revisão por pares e auditoria antes de chegar à mainnet.
- Concisa (Concise): a assinatura é compacta. Uma CLSAG produz muito menos escalares por membro do anel do que o esquema que ela substituiu, e é exatamente daí que vem a economia de tamanho.
- Vinculável (Linkable): se a mesma saída for gasta duas vezes, a rede consegue detectar. Isso é feito por meio da key image, uma impressão digital determinística que impede o gasto duplo sem expor quem gastou.
- Espontânea (Spontaneous): não há cerimônia de configuração nem cooperação entre as pessoas cujas saídas aparecem no seu anel. Você puxa iscas direto da blockchain, sem o conhecimento ou o consentimento delas.
- Anônima (Anonymous): quem verifica consegue confirmar que a assinatura é válida, mas não consegue dizer qual dos membros do anel realmente a autorizou.
- Grupo (Group): a assinatura é feita em nome de um grupo — o anel — e não de uma única chave identificável.
Junte essas propriedades e você tem o coração da privacidade do remetente no Monero: uma assinatura válida que prova autorização por alguém dentro de um conjunto de candidatos plausíveis, mantendo o verdadeiro signatário escondido e tornando o gasto duplo impossível.
Como a CLSAG Funciona Por Baixo do Capô
Para entender a CLSAG, você precisa entender o que uma assinatura em anel está tentando alcançar e, em seguida, ver como a CLSAG deixa a prova menor. As transações do Monero usam o RingCT, que combina duas coisas que precisam permanecer privadas ao mesmo tempo: quem está gastando (a ambiguidade do remetente) e quanto (a confidencialidade do valor). A CLSAG cuida da primeira metade. O Bulletproofs+ cuida da segunda.
O problema da assinatura em anel
Quando você gasta uma saída do Monero, sua carteira monta um anel: sua saída real mais um certo número de saídas-isca puxadas da rede. Desde a atualização "Fluorine Fermi", de agosto de 2022, o tamanho do anel está fixado em 16, ou seja, cada gasto se esconde no meio de 15 iscas. Um observador de fora enxerga 16 saídas candidatas e não consegue dizer qual delas está realmente sendo gasta.
O desafio é assinar de um jeito que prove "eu controlo a chave privada de uma destas 16 saídas" sem vazar qual é. Uma assinatura em anel faz exatamente isso. O truque está em construir um laço de desafios criptográficos que só se fecha se quem assina conhecer uma chave privada de verdade, enquanto cada elo parece idêntico visto de fora.
Key images e proteção contra gasto duplo
O perigo de um remetente escondido é o gasto duplo: se ninguém consegue ver qual saída você gastou, o que impede você de gastá-la de novo? A resposta é a key image. Cada saída tem exatamente uma key image válida, calculada como a chave privada multiplicada por um hash-para-ponto da chave pública. Ela está matematicamente amarrada à saída, mas não revela nada sobre qual membro do anel a produziu.
Toda key image já utilizada fica registrada na própria blockchain. Quando uma nova transação chega, os nós checam se a key image dela já apareceu antes. Se já apareceu, a transação é rejeitada como gasto duplo. É isso que torna seguro o modelo de remetente oculto do Monero — a propriedade de vinculabilidade, o "L" de CLSAG.
Como a agregação encolhe a assinatura
Aqui está o coração de por que a CLSAG é "concisa". Numa transação RingCT, cada membro do anel está associado a duas chaves públicas: a chave de saída de uso único (que prova a posse) e um compromisso de valor (que prova que os valores de entrada e saída se equilibram). O esquema anterior, o MLSAG, assinava sobre as duas chaves separadamente, gerando dois escalares de resposta para cada membro do anel.
A CLSAG colapsa isso em um único anel. Ela usa coeficientes de agregação — derivados de forma determinística ao se fazer o hash do anel e de seus compromissos — para dobrar as duas chaves em uma única equação de verificação combinada. O resultado é um escalar de resposta por membro do anel em vez de dois, mais um único desafio inicial e a key image.
Para um anel de 11, o MLSAG precisava de cerca de 22 escalares de resposta por entrada; a CLSAG precisa de aproximadamente 12. Essa única mudança foi o que cortou em torno de um quarto do tamanho de uma transação típica de duas entradas.
O mais importante: a prova de segurança mostra que essa agregação não enfraquece nada. A CLSAG continua infalsificável e anônima sob as mesmas premissas de antes, inclusive contra um adversário que consiga escolher algumas das chaves do anel. Você ganha uma assinatura menor e mais rápida sem nenhuma troca em privacidade ou segurança — uma vitória limpa, coisa rara em criptografia.
CLSAG vs MLSAG: O Que Mudou
O MLSAG (Multilayered Linkable Spontaneous Anonymous Group signatures) alimentou o RingCT desde seu lançamento, em janeiro de 2017, até o fork de 2020. A CLSAG é uma substituição direta, encaixe perfeito, que mantém o mesmo modelo de confiança enquanto corta a gordura. A tabela abaixo resume as diferenças práticas.
| Propriedade | MLSAG (2017–2020) | CLSAG (2020–hoje) |
|---|---|---|
| Escalares por membro do anel | 2 (um por camada de chave) | 1 (agregado) |
| Tamanho típico da assinatura (tx de 2 entradas) | Referência | ~25% menor |
| Velocidade de verificação | Referência | ~10–20% mais rápida |
| Garantia de privacidade | Ambiguidade do remetente + vinculabilidade | Idêntica |
| Segurança contra chaves adversárias | Comprovada | Comprovada (reauditada formalmente) |
| Ativação | Lançamento do RingCT, jan/2017 | Fork Oxygen Orion, out/2020 |
As assinaturas menores importam por muito mais do que estética. Peso de transação menor significa taxas menores, menos inchaço da blockchain e sincronização mais rápida para os nós. Como toda transação do Monero parece estruturalmente igual, essas economias se acumulam pela rede inteira e melhoram a fungibilidade — nenhuma transação se destaca como mais barata ou mais cara por causa do seu histórico.
Como a CLSAG Se Encaixa em Uma Transação Monero
A CLSAG nunca trabalha sozinha. Ela é um componente de uma transação RingCT, ao lado dos endereços furtivos (stealth addresses), dos compromissos de valor e das provas de intervalo. Veja a seguir o ciclo de vida simplificado de um gasto, do momento em que sua carteira decide enviar até o momento em que um nó aceita.
- Selecionar as iscas: a carteira escolhe 15 saídas-isca da rede usando uma distribuição gama que imita padrões reais de gasto e, em seguida, adiciona sua saída real para formar um anel de 16.
- Montar os compromissos: os valores de entrada e saída ficam escondidos atrás de compromissos de Pedersen, e um pseudo-compromisso de saída é gerado para que quem verifica confirme que as entradas batem com as saídas sem ver os valores.
- Calcular a key image: a carteira deriva a key image da saída que está sendo gasta, que a rede depois vai conferir contra o seu conjunto de key images já gastas.
- Assinar com a CLSAG: a carteira produz uma única assinatura em anel agregada sobre o anel de chaves de uso único e chaves de compromisso, fechando o laço criptográfico só porque possui uma chave privada de verdade.
- Anexar as provas de intervalo: o Bulletproofs+ prova que todo valor de saída está dentro de um intervalo válido, para que ninguém crie moedas do nada com uma saída negativa.
- Transmitir e verificar: a transação se propaga via Dandelion++ para ofuscar o IP de origem, e os nós verificam a assinatura CLSAG, os compromissos, as provas de intervalo e a unicidade da key image antes de retransmiti-la.
Dica: você nunca configura nada disso. O tamanho do anel, a seleção de iscas e o esquema de assinatura são todos impostos por consenso, então duas carteiras na mesma versão da rede produzem transações indistinguíveis.
Um Exemplo do Mundo Real
Imagine que você troca 0,5 BTC por XMR pelo MoneroSwapper e, mais tarde, envia parte desse Monero para uma carteira de hardware. No instante em que você aperta "enviar", sua carteira monta um anel de 16 saídas. Sua saída legítima está ali, mas também estão 15 saídas sem relação alguma, de outros usuários que nunca concordaram em participar e nunca vão saber que participaram.
A assinatura CLSAG que sua carteira gera prova a cada nó do planeta que você controla legitimamente uma daquelas 16 — sem dizer qual. Uma corretora vigiando a rede, uma empresa de análise de blockchain ou um curioso qualquer enxerga uma transação válida com 16 origens igualmente plausíveis. Não existe heurística que aponte de forma confiável a verdadeira, o que é exatamente o objetivo.
Compare isso com uma rede transparente como a do Bitcoin, onde a entrada exata que está sendo gasta é pública. No Bitcoin, aqueles 0,5 BTC carregam um histórico permanente e rastreável. No Monero, a CLSAG corta o vínculo a cada salto, e é por isso que usuários preocupados com privacidade fazem o valor passar pelo Monero, para começo de conversa.
Monero, Privacidade e o Olhar do Fisco no Brasil
No Brasil, a popularização das criptomoedas veio acompanhada de uma malha cada vez mais apertada de obrigações. A Instrução Normativa RFB nº 1.888/2019 obriga as exchanges nacionais a reportar à Receita Federal todas as operações de seus clientes, e quem opera por corretoras estrangeiras precisa declarar movimentações acima de R$ 30 mil por mês. O Marco Legal dos Criptoativos (Lei nº 14.478/2022) colocou o setor sob a supervisão do Banco Central, enquanto a CVM cuida dos tokens que se enquadram como valores mobiliários.
Vale separar duas coisas que muita gente confunde. Privacidade não é o mesmo que sonegação. A CLSAG protege os dados de uma transação contra a vigilância indiscriminada de corretoras, empresas de análise de cadeia e bisbilhoteiros — ela não é um passe livre para deixar de cumprir suas obrigações fiscais. A orientação prática é direta: declare seus ganhos e seu patrimônio em cripto à Receita Federal normalmente, como você faria com qualquer outro ativo, e use a privacidade do Monero para proteger sua segurança financeira no dia a dia, não para se esconder do Leão.
Esse ponto importa porque a transparência total de redes como a do Bitcoin tem um custo concreto no Brasil: quem recebe um pagamento em BTC entrega, junto, todo o histórico daquela moeda a quem a recebe depois. Em um país onde sequestros relâmpago e golpes financeiros são realidade, expor o tamanho da sua carteira a cada transação é um risco de segurança pessoal — e é justamente essa exposição que a CLSAG elimina.
O Caminho à Frente: FCMP++ e Seraphis
A CLSAG é excelente, mas tem um teto estrutural: o conjunto de anonimato fica limitado ao tamanho do anel. Com 16 membros, seu gasto real se esconde entre 15 iscas — forte, mas finito. A comunidade de pesquisa do Monero passou anos construindo algo maior.
A FCMP++ (Full-Chain Membership Proofs, ou provas de pertencimento à cadeia inteira) é a sucessora planejada. Em vez de se esconder entre 16 saídas, a FCMP++ prova pertencimento contra todas as saídas que já existiram na rede — um conjunto de anonimato na casa das dezenas de milhões, e não de 16. O desenvolvimento e a auditoria avançaram de forma constante ao longo de 2025, com a atualização mirando um futuro hard fork. Quando ela chegar, as assinaturas em anel como as conhecemos, incluindo a CLSAG, serão aposentadas.
Ao lado da FCMP++ ficam o protocolo de transações Seraphis e o esquema de endereçamento Jamtis, que juntos modernizam a forma como as saídas do Monero são formadas e endereçadas. A conclusão não é que a CLSAG está obsoleta — ela protege a rede agora e ainda vai proteger por um bom tempo —, mas sim que o Monero nunca para de aprimorar suas garantias de privacidade. A própria CLSAG foi sucessora do MLSAG, e o ciclo continua.
Perguntas Frequentes
O que significa CLSAG?
CLSAG significa Concise Linkable Spontaneous Anonymous Group signatures (assinaturas de grupo concisas, vinculáveis, espontâneas e anônimas). Cada palavra descreve uma propriedade: a assinatura é compacta, gastos duplos são detectáveis, não é preciso coordenação entre os membros do anel, o verdadeiro signatário fica escondido e a prova é feita em nome de um grupo, e não de uma única chave identificável.
Quando o Monero começou a usar a CLSAG?
A CLSAG foi ativada na mainnet do Monero durante o hard fork "Oxygen Orion", em 17 de outubro de 2020, no bloco de altura 2.210.720. Ela substituiu o MLSAG, que protegia as transações RingCT desde janeiro de 2017.
Quanto a CLSAG reduziu o tamanho das transações do Monero?
Uma transação típica de duas entradas encolheu cerca de 25%, e a verificação ficou em torno de 10% a 20% mais rápida. A economia vem de agregar dois escalares de resposta por membro do anel em apenas um, o que reduz tanto os dados armazenados na rede quanto o trabalho que os nós fazem para verificar.
A CLSAG enfraquece a privacidade ou a segurança do Monero?
Não. A CLSAG oferece a mesma ambiguidade de remetente e a mesma proteção contra gasto duplo que o MLSAG. Sua segurança foi formalmente comprovada e auditada de forma independente, incluindo resistência a ataques em que um adversário controla algumas das chaves do anel. É, estritamente, uma versão mais eficiente das mesmas garantias.
A CLSAG vai ser substituída?
Com o tempo, sim. A atualização FCMP++ (Full-Chain Membership Proofs) foi projetada para substituir as assinaturas em anel por completo, expandindo o conjunto de anonimato de 16 membros para a blockchain inteira. Ela esteve em desenvolvimento e auditoria ativos ao longo de 2025, mirando um futuro hard fork, mas a CLSAG protege a rede até lá.
Conclusão
A CLSAG é uma daquelas atualizações que provam que boa criptografia pode ser, ao mesmo tempo, invisível e impactante. Ela deixou cada transação do Monero menor, mais barata e mais rápida de verificar, preservando a privacidade do remetente e a proteção contra gasto duplo que definem a moeda — tudo sem que os usuários precisassem mexer um dedo. Entendê-la desmistifica o que "irrastreável" realmente significa: não é mágica, mas uma assinatura em anel cuidadosamente construída, com uma key image acoplada.
Se você quer colocar essa privacidade para trabalhar, o caminho mais fácil é adquirir Monero sem entregar sua identidade já de cara. Você pode comprar Monero de forma anônima pelo MoneroSwapper, sem conta e sem KYC, e cada saída que você receber estará defendida pelas mesmas assinaturas CLSAG descritas aqui no instante em que você for gastá-la.
🌍 Leia em