Giải thích chữ ký CLSAG của Monero

Ngày 17 tháng 10 năm 2020, tại block số 2.210.720, Monero lặng lẽ thay toàn bộ động cơ mật mã đứng sau mỗi giao dịch. Đợt hard fork mang tên "Oxygen Orion" đã cho chữ ký vòng MLSAG cũ về hưu và thay bằng CLSAG — kết quả là giao dịch nhỏ đi khoảng 25% và quá trình xác minh nhanh hơn 10–20% chỉ sau một đêm. Nếu bạn từng gửi XMR, hay từng chuyển Bitcoin sang Monero qua một dịch vụ như MoneroSwapper, thì giao dịch của bạn đã được một chữ ký CLSAG bảo vệ mà bạn chẳng hề hay biết.

Phần lớn mọi người coi quyền riêng tư của Monero như một chiếc hộp đen: coin đi vào, coin không thể truy vết đi ra. Nhưng cái "phép màu" che giấu ai đã gửi cái gì thực ra có tên và có cấu trúc hẳn hoi. CLSAG chính là mảnh ghép cho phép bạn chứng minh "tôi sở hữu một trong những output này và tôi đang tiêu nó đúng một lần" — mà không hề tiết lộ output nào là của bạn. Bài viết này sẽ mổ xẻ CLSAG là gì, nó vận hành ra sao, tại sao nó thay thế người tiền nhiệm, và nó nằm ở đâu trên lộ trình của Monero khi những bằng chứng mới hơn như FCMP++ đang tới gần mạng lưới.

CLSAG thực ra là viết tắt của cái gì

CLSAG là một từ viết tắt, và mỗi chữ cái mô tả một tính chất có thật của lược đồ. Nó là viết tắt của Concise Linkable Spontaneous Anonymous Group signatures — tạm hiểu là chữ ký nhóm ẩn danh tự phát có thể liên kết và súc tích. Thiết kế này ra đời từ một bài nghiên cứu năm 2019 của Brandon Goodell, Sarang Noether cùng một cộng tác viên có biệt danh RandomRun, và nó đã được bình duyệt cũng như kiểm toán trước khi lên mainnet.

• Concise (súc tích): chữ ký rất gọn. Một chữ ký CLSAG tạo ra ít scalar trên mỗi thành viên vòng hơn hẳn so với lược đồ mà nó thay thế — đây chính là chỗ tiết kiệm dung lượng.
• Linkable (có thể liên kết): nếu cùng một output bị tiêu hai lần, mạng lưới sẽ phát hiện được. Việc này thực hiện qua key image, một dấu vân tay tất định ngăn double-spend mà không lộ ra người tiêu.
• Spontaneous (tự phát): không cần buổi lễ thiết lập nào, cũng không cần sự hợp tác giữa những người có output xuất hiện trong vòng của bạn. Bạn có thể lôi mồi nhử từ blockchain vào mà họ không hề hay biết hay đồng ý.
• Anonymous (ẩn danh): người xác minh có thể khẳng định chữ ký hợp lệ nhưng không thể biết thành viên nào trong vòng thực sự đã cho phép giao dịch.
• Group (nhóm): chữ ký được tạo nhân danh một nhóm — tức cái vòng — chứ không phải một khóa đơn lẻ có thể nhận dạng.

Ghép những tính chất đó lại, bạn có được cốt lõi quyền riêng tư người gửi của Monero: một chữ ký hợp lệ chứng minh rằng ai đó trong một tập ứng viên hợp lý đã cho phép, trong khi vẫn giữ kín người ký thật và khiến double-spend trở nên bất khả thi.

CLSAG vận hành ra sao bên dưới nắp capô

Để hiểu CLSAG, bạn cần hiểu một chữ ký vòng đang cố đạt được điều gì, rồi mới thấy CLSAG làm bằng chứng nhỏ lại bằng cách nào. Giao dịch Monero dùng RingCT, vốn kết hợp hai thứ phải cùng giữ kín: ai đang tiêu (sự mơ hồ về người gửi) và bao nhiêu (tính bảo mật của số tiền). CLSAG lo nửa đầu. Bulletproofs+ lo nửa sau.

Bài toán của chữ ký vòng

Khi bạn tiêu một output Monero, ví của bạn dựng nên một cái vòng: output thật của bạn cộng với một số output mồi nhử lấy từ chuỗi. Kể từ bản nâng cấp "Fluorine Fermi" tháng 8 năm 2022, kích thước vòng được cố định ở mức 16, nghĩa là mỗi lần tiêu đều ẩn mình giữa 15 mồi nhử. Một người quan sát bên ngoài thấy 16 output ứng viên và không tài nào biết được cái nào đang thực sự bị tiêu.

Thách thức nằm ở chỗ phải ký theo cách chứng minh được "tôi nắm khóa riêng tư của một trong 16 output này" mà không để lộ là cái nào. Một chữ ký vòng làm đúng điều đó. Mẹo ở đây là dựng nên một vòng lặp các thử thách mật mã chỉ khép kín lại khi người ký biết một khóa riêng tư thật, trong khi mọi mắt xích nhìn từ bên ngoài đều giống hệt nhau.

Key image và lớp chống tiêu hai lần

Mối nguy với một người tiêu ẩn danh là double-spend: nếu không ai thấy được bạn đã tiêu output nào, thì điều gì ngăn bạn tiêu lại nó lần nữa? Câu trả lời là key image. Mỗi output có đúng một key image hợp lệ, được tính bằng khóa riêng tư nhân với một hàm hash-to-point của khóa công khai. Nó ràng buộc về mặt toán học với output nhưng chẳng tiết lộ gì về việc thành viên vòng nào đã tạo ra nó.

Mọi key image từng được sử dụng đều được ghi lại on-chain. Khi một giao dịch mới tới, các node kiểm tra xem key image của nó đã từng xuất hiện chưa. Nếu rồi, giao dịch bị từ chối vì là double-spend. Đây chính là thứ khiến mô hình ẩn người gửi của Monero trở nên an toàn — tính liên kết được, tức chữ "L" trong CLSAG.

Việc gộp gọn làm chữ ký nhỏ lại như thế nào

Đây là trái tim lý giải vì sao CLSAG "súc tích". Trong một giao dịch RingCT, mỗi thành viên vòng gắn với hai khóa công khai: khóa output dùng một lần (chứng minh quyền sở hữu) và một cam kết số tiền (chứng minh giá trị đầu vào và đầu ra cân bằng nhau). Lược đồ trước đó, MLSAG, ký riêng rẽ trên cả hai khóa, tạo ra hai scalar phản hồi cho mỗi thành viên vòng.

CLSAG gộp cả hai về thành một vòng duy nhất. Nó dùng các hệ số gộp — được suy ra một cách tất định bằng cách hash cái vòng cùng các cam kết của nó — để gấp hai khóa lại thành một phương trình xác minh kết hợp. Kết quả là một scalar phản hồi cho mỗi thành viên vòng thay vì hai, cộng với một thử thách khởi đầu duy nhất và key image.

Với một vòng 11 thành viên, MLSAG cần khoảng 22 scalar phản hồi cho mỗi đầu vào; CLSAG chỉ cần chừng 12. Riêng thay đổi đó đã cắt một giao dịch hai đầu vào điển hình đi khoảng một phần tư.

Quan trọng hơn cả, bản chứng minh an toàn cho thấy việc gộp này không làm suy yếu bất cứ điều gì. CLSAG vẫn không thể giả mạo và vẫn ẩn danh dưới đúng những giả định như trước, kể cả trước một kẻ tấn công có thể tự chọn một số khóa trong vòng. Bạn có một chữ ký nhỏ hơn, nhanh hơn mà không phải đánh đổi gì về quyền riêng tư hay an ninh — một chiến thắng sạch sẽ hiếm có trong mật mã học.

CLSAG đối đầu MLSAG: điều gì đã đổi

MLSAG (Multilayered Linkable Spontaneous Anonymous Group signatures) đã vận hành RingCT từ lúc ra mắt tháng 1 năm 2017 cho tới đợt fork năm 2020. CLSAG là bản thay thế trực tiếp, cắm-vào-là-chạy, giữ nguyên mô hình tin cậy trong khi cắt bớt phần mỡ thừa. Bảng dưới đây tóm tắt những khác biệt thực tế.

Chữ ký nhỏ hơn không chỉ là chuyện thẩm mỹ. Trọng lượng giao dịch thấp hơn đồng nghĩa phí thấp hơn, blockchain ít phình to hơn, và thời gian đồng bộ của node nhanh hơn. Bởi vì mọi giao dịch Monero đều trông giống nhau về mặt cấu trúc, những khoản tiết kiệm đó cộng dồn trên toàn mạng lưới và cải thiện tính thay thế được (fungibility) — không giao dịch nào nổi bật là rẻ hơn hay đắt hơn dựa trên lịch sử của nó.

CLSAG khớp vào một giao dịch Monero ra sao

CLSAG không bao giờ làm việc một mình. Nó là một bộ phận của giao dịch RingCT, bên cạnh địa chỉ tàng hình (stealth address), cam kết số tiền và bằng chứng phạm vi (range proof). Dưới đây là vòng đời rút gọn của một lần tiêu, từ khoảnh khắc ví quyết định gửi cho tới lúc một node chấp nhận.

1. Chọn mồi nhử: ví chọn 15 output mồi từ chuỗi bằng một phân phối gamma mô phỏng các kiểu chi tiêu thật, rồi thêm output thật của bạn vào để tạo thành một vòng 16 thành viên.
2. Dựng cam kết: số tiền đầu vào và đầu ra được giấu sau các cam kết Pedersen, và một cam kết đầu ra giả (pseudo-output) được sinh ra để người xác minh khẳng định được đầu vào bằng đầu ra mà không cần nhìn thấy giá trị.
3. Tính key image: ví suy ra key image cho output đang bị tiêu, thứ mà mạng lưới sau đó sẽ đối chiếu với tập key image đã tiêu của mình.
4. Ký bằng CLSAG: ví tạo ra một chữ ký vòng đã gộp duy nhất trên vòng các khóa dùng một lần và khóa cam kết, khép kín vòng lặp mật mã chỉ nhờ vào việc nó nắm một khóa riêng tư thật.
5. Đính kèm range proof: Bulletproofs+ chứng minh mọi số tiền đầu ra đều nằm trong một phạm vi hợp lệ, để không ai có thể tạo coin từ hư không bằng một đầu ra âm.
6. Phát đi và xác minh: giao dịch lan truyền qua Dandelion++ nhằm che giấu IP gốc, và các node xác minh chữ ký CLSAG, các cam kết, các range proof cùng tính duy nhất của key image trước khi chuyển tiếp.

Mẹo: bạn chẳng bao giờ phải cấu hình bất cứ thứ gì trong số này. Kích thước vòng, cách chọn mồi nhử và lược đồ chữ ký đều do consensus áp đặt, nên hai chiếc ví trên cùng một phiên bản mạng sẽ tạo ra những giao dịch không thể phân biệt được.

Một ví dụ ngoài đời thực

Hãy hình dung bạn đổi 0,5 BTC sang XMR qua MoneroSwapper rồi sau đó gửi một phần số Monero đó sang một ví cứng. Ngay khoảnh khắc bạn bấm gửi, ví của bạn lắp ráp một vòng gồm 16 output. Output thật của bạn nằm trong đó, nhưng cùng với nó là 15 output chẳng liên quan từ những người dùng khác — những người chưa từng đồng ý tham gia và sẽ chẳng bao giờ biết là họ đã "tham gia".

Chữ ký CLSAG mà ví của bạn sinh ra chứng minh với mọi node trên Trái Đất rằng bạn hợp pháp kiểm soát một trong 16 cái đó — mà không nói là cái nào. Một sàn giao dịch đang theo dõi chuỗi, một công ty phân tích blockchain, hay một kẻ tò mò chỉ thấy một giao dịch hợp lệ với 16 nguồn gốc đều hợp lý ngang nhau. Không có thuật toán dò tìm (heuristic) nào chỉ ra được cái thật một cách đáng tin cậy — và đó chính xác là điểm mấu chốt.

Hãy so với một chuỗi minh bạch như Bitcoin, nơi đầu vào chính xác đang bị tiêu là công khai. Trên Bitcoin, 0,5 BTC đó mang theo một lịch sử vĩnh viễn, có thể truy vết. Trên Monero, CLSAG cắt đứt liên kết ở mọi chặng, và đó là lý do vì sao những người dùng coi trọng riêng tư lại định tuyến giá trị qua Monero ngay từ đầu.

Quyền riêng tư và bối cảnh pháp lý tại Việt Nam

Với người dùng ở Việt Nam, hiểu CLSAG không chỉ là chuyện kỹ thuật. Ngân hàng Nhà nước Việt Nam tới nay vẫn không công nhận tiền mã hóa là phương tiện thanh toán hợp pháp, trong khi khung pháp lý cho tài sản số đang dần được xây dựng. Trong bối cảnh đó, việc dữ liệu giao dịch của bạn có bị phơi bày công khai hay không là một câu hỏi rất thực tế.

Trên một chuỗi minh bạch, bất kỳ ai — từ Tổng cục Thuế cho tới một bên thứ ba bất kỳ — về lý thuyết đều có thể lần theo dòng tiền từ địa chỉ này sang địa chỉ khác. CLSAG đảo ngược mặc định đó: thay vì "mọi thứ công khai trừ phi bạn cố che", Monero đặt nền là "không lộ gì trừ phi bạn tự nguyện tiết lộ". Bạn vẫn có thể chứng minh quyền sở hữu hay nguồn gốc một khoản tiền khi cần — chẳng hạn để kê khai theo quy định — bằng view key, nhưng quyền kiểm soát nằm trong tay bạn chứ không phải mặc định nằm trên sổ cái công cộng.

Điều đáng nhớ ở đây không phải là dùng Monero để né tránh nghĩa vụ, mà là quyền riêng tư về tài chính là một quyền chính đáng. UBCKNN và các cơ quan quản lý vẫn đang định hình luật chơi, và CLSAG đơn giản là công nghệ giúp giao dịch của bạn không trở thành một cuốn sổ mở cho cả thế giới đọc.

Chặng đường phía trước: FCMP++ và Seraphis

CLSAG xuất sắc, nhưng nó có một trần cấu trúc: tập ẩn danh bị giới hạn ở kích thước vòng. Với 16 thành viên, lần tiêu thật của bạn ẩn giữa 15 mồi nhử — mạnh, nhưng hữu hạn. Cộng đồng nghiên cứu của Monero đã dành nhiều năm để xây một thứ lớn hơn.

FCMP++ (Full-Chain Membership Proofs) là người kế nhiệm đã được hoạch định. Thay vì ẩn giữa 16 output, FCMP++ chứng minh tư cách thành viên đối chiếu với mọi output từng tồn tại trên chuỗi — một tập ẩn danh lên tới hàng chục triệu thay vì chỉ 16. Quá trình phát triển và kiểm toán tiến triển đều đặn suốt năm 2025, với bản nâng cấp được nhắm cho một đợt hard fork trong tương lai. Khi nó cập bến, các chữ ký vòng như ta biết hiện nay, bao gồm cả CLSAG, sẽ về hưu.

Song hành cùng FCMP++ là giao thức giao dịch Seraphis và lược đồ địa chỉ Jamtis, hai thứ cùng nhau hiện đại hóa cách các output Monero được hình thành và định địa chỉ. Bài học rút ra không phải là CLSAG đã lỗi thời — nó đang bảo vệ mạng lưới ngay lúc này và sẽ còn làm vậy trong một thời gian nữa — mà là Monero không bao giờ ngừng cải thiện những bảo đảm riêng tư của mình. Bản thân CLSAG cũng từng là người kế nhiệm của MLSAG, và vòng tuần hoàn ấy vẫn tiếp diễn.

Câu hỏi thường gặp

CLSAG là viết tắt của cái gì?

CLSAG là viết tắt của Concise Linkable Spontaneous Anonymous Group signatures. Mỗi từ mô tả một tính chất: chữ ký súc tích, double-spend phát hiện được, không cần phối hợp giữa các thành viên vòng, người ký thật bị che giấu, và bằng chứng được tạo nhân danh một nhóm thay vì một khóa có thể nhận dạng.

Monero bắt đầu dùng CLSAG khi nào?

CLSAG được kích hoạt trên mainnet Monero trong đợt hard fork "Oxygen Orion" ngày 17 tháng 10 năm 2020, tại block số 2.210.720. Nó thay thế MLSAG, vốn đã bảo vệ các giao dịch RingCT kể từ tháng 1 năm 2017.

CLSAG làm giao dịch Monero nhỏ đi bao nhiêu?

Một giao dịch hai đầu vào điển hình co lại khoảng 25%, và việc xác minh nhanh hơn chừng 10–20%. Phần tiết kiệm đến từ việc gộp hai scalar phản hồi trên mỗi thành viên vòng xuống còn một, qua đó giảm cả dữ liệu lưu trên chuỗi lẫn công sức các node bỏ ra để xác minh.

CLSAG có làm suy yếu quyền riêng tư hay an ninh của Monero không?

Không. CLSAG mang lại đúng mức độ mơ hồ về người gửi và lớp chống double-spend như MLSAG. An ninh của nó đã được chứng minh chính thức và kiểm toán độc lập, bao gồm cả khả năng kháng các cuộc tấn công khi kẻ địch kiểm soát một số khóa trong vòng. Nó hoàn toàn chỉ là một phiên bản hiệu quả hơn của cùng những bảo đảm cũ.

CLSAG có bị thay thế không?

Cuối cùng thì có. Bản nâng cấp FCMP++ (Full-Chain Membership Proofs) được thiết kế để thay thế hoàn toàn chữ ký vòng, mở rộng tập ẩn danh từ 16 thành viên vòng lên toàn bộ blockchain. Nó đã ở trong quá trình phát triển và kiểm toán tích cực suốt năm 2025, nhắm tới một đợt hard fork tương lai, nhưng CLSAG vẫn bảo vệ mạng lưới cho tới lúc đó.

Kết luận

CLSAG là một trong những bản nâng cấp chứng minh rằng mật mã tốt có thể vừa vô hình vừa có sức nặng. Nó làm mọi giao dịch Monero nhỏ hơn, rẻ hơn và nhanh hơn khi xác minh, đồng thời vẫn giữ trọn quyền riêng tư người gửi và lớp chống double-spend vốn định nghĩa nên đồng coin này — tất cả mà người dùng không phải nhấc một ngón tay. Hiểu nó sẽ giải ảo cho hai chữ "không thể truy vết": đó không phải phép màu, mà là một chữ ký vòng được dựng cẩn thận với một key image gắn kèm.

Nếu bạn muốn đưa quyền riêng tư đó vào thực tế, con đường dễ nhất là sở hữu Monero mà không phải trao danh tính của mình ngay từ đầu. Bạn có thể mua Monero ẩn danh qua MoneroSwapper, không cần tài khoản và không cần KYC, và mỗi output bạn nhận về sẽ được bảo vệ bởi chính những chữ ký CLSAG được mô tả ở đây ngay khoảnh khắc bạn tiêu nó.