Как работают кольцевые подписи Monero
Как работают кольцевые подписи Monero
Каждый раз, когда подтверждается транзакция в Bitcoin, адрес отправителя, адрес получателя и точная сумма навсегда впечатываются в публичный реестр, который любой может прочитать в любой момент. Monero создавался, чтобы сломать эту модель, и кольцевая подпись (ring signature) — именно тот элемент, который берёт на себя основную работу на стороне отправителя. По правилам сети, действующим в 2025 году, каждая транзакция Monero прячет настоящего отправителя среди 16 возможных — фиксированный размер кольца обязателен для всех пользователей с хардфорка августа 2022 года. И эта одинаковость — не мелочь, а вся суть. Когда вы получаете XMR через сервис без логов вроде MoneroSwapper, монеты наследуют эту защиту автоматически: ничего включать вручную не нужно.
В этом разборе мы пройдём по тому, чем кольцевая подпись является на самом деле, как Monero собирает её для каждой траты, почему key image останавливает двойное расходование, не раскрывая вас, и как грядущее обновление FCMP++ планирует расширить набор анонимности с 16 участников до всего блокчейна целиком. Никаких предварительных знаний криптографии не требуется — нужна лишь готовность проследить, как части складываются в целое.
Почему приватность отправителя — это сложная задача
Спрятать сумму в транзакции с современной математикой сравнительно просто. А вот спрятать, кто кому платит, гораздо труднее, потому что блокчейн обязан позволять каждому проверить: тратятся реальные монеты, и они ещё не были потрачены раньше — и всё это без доверенного арбитра. Monero решает задачу тремя независимыми слоями, которые работают вместе:
- Скрытые адреса (stealth addresses) прячут получателя. Каждый платёж уходит на свежий одноразовый адрес, выведенный прямо в сети, так что публичный адрес получателя никогда не появляется в реестре.
- RingCT прячет сумму. Конфиденциальные транзакции заворачивают значение в криптографическое обязательство (commitment), доказанное корректным с помощью доказательств диапазона, а не читаемого числа.
- Кольцевые подписи прячут отправителя. Это тот слой, который делает неоднозначным, какой именно прошлый выход тратится на самом деле.
Уберите любой из слоёв — и остальные два потекут. Если бы отправитель был виден, то знания о скрытом адресе получателя хватило бы, чтобы восстановить граф платежей. Поэтому Monero считает все три слоя обязательными, а не опциональными функциями. Результат — взаимозаменяемость (fungibility): свойство, при котором каждый XMR равноценен любому другому XMR, потому что ни один не несёт прослеживаемой истории.
Что такое кольцевая подпись на самом деле
Сама идея появилась задолго до Monero. Кольцевая подпись, впервые формализованная Ривестом, Шамиром и Тауманом в 2001 году, позволяет одному участнику группы подписать сообщение так, что любой проверяющий может убедиться: «кто-то из этой группы подписал», — ничего не узнавая о том, кто именно из них. Нет ни лидера группы, ни церемонии настройки, ни способа задним числом снять неоднозначность — подписант «спонтанно» формирует группу из уже существующих открытых ключей.
Monero адаптирует эту идею к тратам. Когда вы тратите выход (полученный ранее кусок XMR), кошелёк не указывает на него напрямую. Вместо этого он собирает кольцо: ваш настоящий выход плюс 15 ложных (decoys), взятых из прошлых выходов других людей в блокчейне. Подпись доказывает, что один из этих 16 выходов действительно ваш и его можно потратить, но наблюдатель не способен определить, какой именно.
Ложные выходы и как они выбираются
15 ложных выходов берутся не случайно. Если бы их выбирали равномерно по всей истории цепочки, настоящий выход — почти всегда недавний — статистически выделялся бы. Кошелёк Monero вместо этого выбирает приманки из гамма-распределения, настроенного так, чтобы имитировать реальное поведение трат: оно отдаёт предпочтение недавно созданным выходам примерно с той же частотой, с какой люди их действительно тратят. Исследователи многократно подвергали этот алгоритм отбора нагрузочным проверкам, а Monero Research Lab несколько раз дорабатывала его, чтобы закрыть эвристики, основанные на времени.
Поскольку каждый кошелёк использует один и тот же алгоритм и один и тот же размер кольца — 16, ваша транзакция по структуре выглядит точно так же, как и у всех остальных. Однородность здесь — это защитная мера: выброс легко отследить, а вот участника идеально однородной толпы — нет.
Key image: остановка двойных трат без раскрытия отправителя
Вот в чём изящество. Если проверяющий не может сказать, какой выход вы тратите, как сеть мешает вам потратить один и тот же выход дважды? Ответ — это key image (образ ключа): уникальная криптографическая метка, детерминированно выведенная из одноразового приватного ключа вашего выхода.
Каждый выход может породить ровно один корректный key image, и эта метка не раскрывает, какой участник кольца её сгенерировал. Когда ваша транзакция транслируется, каждый узел записывает key image. Если тот же самый key image когда-либо появится снова, сеть отвергнет вторую транзакцию как двойную трату. Так система получает гарантию целостности реестра в стиле UTXO, сохраняя при этом неоднозначность отправителя: key image связываем сам с собой, но не с вашей личностью.
CLSAG: схема подписи, которую Monero использует сегодня
Конкретный алгоритм, на котором работает Monero, — это CLSAG (Concise Linkable Spontaneous Anonymous Group signatures). Он заменил более старую конструкцию MLSAG в хардфорке октября 2020 года. Обновление было не косметическим: CLSAG сократил размер подписи примерно на 25% и ускорил проверку приблизительно на 10–20%. А это значит — меньше размер транзакций, ниже комиссии и легче нагрузка на каждый узел, проверяющий цепочку.
«Linkable» (связываемая) относится к поведению key image, описанному выше; «spontaneous» (спонтанная) и «anonymous group» (анонимная группа) отражают тот самый одноранговый, безлидерский характер кольца. В связке с RingCT для сумм и Bulletproofs+ для компактных доказательств диапазона (активированных в том же хардфорке августа 2022 года, что зафиксировал размер кольца на отметке 16) именно CLSAG делает современную транзакцию Monero одновременно приватной и небольшой.
Сборка кольцевой подписи, шаг за шагом
Полезно увидеть последовательность действий, которую кошелёк проходит, когда вы нажимаете «Отправить». Криптография тут непростая, но сам рабочий процесс прямолинеен:
- Выбор настоящего выхода. Кошелёк находит выход, которым вы владеете и для которого у вас есть ключ траты, достаточно крупный, чтобы покрыть платёж плюс комиссию.
- Сбор 15 ложных выходов. С помощью сэмплера на гамма-распределении кошелёк подбирает 15 других выходов из блокчейна, чтобы они встали рядом с вашим в кольце.
- Вычисление key image. Выведенная из приватного ключа настоящего выхода, эта метка позволит сети обнаружить любую будущую двойную трату того же выхода.
- Построение подписи CLSAG. Кошелёк формирует единую подпись по всему кольцу, корректную лишь потому, что у вас есть ключ к одному из участников, — но без указания, к какому именно.
- Прикрепление обязательств RingCT и доказательств диапазона. Bulletproofs+ доказывают, что скрытые суммы неотрицательны и корректно сходятся по балансу, не раскрывая при этом сами значения.
- Трансляция через Dandelion++. Транзакция распространяется по приватному паттерну ретрансляции, который скрывает, какой узел первым её породил, и осложняет деанонимизацию на уровне IP в мемпуле.
Кольцевая подпись не шифрует вашу транзакцию — она делает её неотличимой от 15 правдоподобных альтернатив. Приватность здесь рождается из неоднозначности, а не из сокрытия данных.
Кольцевые подписи в сравнении с другими подходами к приватности
Monero — не единственный проект, берущийся за приватность в блокчейне, но у его подхода свои компромиссы по сравнению с основными альтернативами. Таблица ниже подытоживает, как кольцевые подписи смотрятся на их фоне.
| Подход | Сильные стороны | Ограничения |
|---|---|---|
| Кольцевые подписи Monero (CLSAG + RingCT) | Приватность по умолчанию для каждой транзакции; нет доверенной настройки; зрелое и проверенное боем решение с 2017 года | Набор анонимности ограничен размером кольца (16); транзакции крупнее, чем в прозрачных цепочках |
| zk-SNARK (например, защищённые пулы Zcash) | Очень большой набор анонимности при защите; маленькие доказательства | Приватность опциональна, поэтому большинство транзакций остаются прозрачными; некоторым схемам требовалась доверенная настройка |
| CoinJoin / миксинг (надстройки над Bitcoin) | Работает на существующей прозрачной цепочке; не нужны изменения протокола | Опционален и требует координации; фирмы по анализу цепочек активно кластеризуют и «размешивают» участников обратно |
| Прозрачные реестры (Bitcoin, Ethereum) | Полностью проверяемые; легко верифицировать | Никакой приватности отправителя, получателя или суммы; вечный публичный граф платежей |
Определяющее отличие — слово по умолчанию. В CoinJoin или защищённых пулах приватность — это то, что пользователь должен активно выбрать, и то меньшинство, которое его выбирает, тем самым выделяется. В Monero нет прозрачного режима, в который можно «выйти»: каждая трата использует кольцевую подпись, поэтому жаждущая приватности толпа — это вся база пользователей разом. Именно это лежит в основе взаимозаменяемости.
Честная слабость — это размер набора анонимности. Шестнадцать участников — несопоставимо лучше нуля, но это конечное число. Достаточно ресурсный противник, способный исключить приманки за счёт внешней информации, сужает поле. И именно это ограничение призвано стереть следующее обновление протокола.
Что впереди: FCMP++ и набор анонимности размером со всю цепочку
Самое значимое изменение, идущее к приватности отправителя в Monero, — это FCMP++ (Full-Chain Membership Proofs, доказательства принадлежности по всей цепочке). Вместо доказательства «мой выход — один из этих 16» отправитель доказывает «мой выход — один из всех выходов, что когда-либо существовали в цепочке». При уже более чем 100 миллионах записанных на сегодня выходов это превращает набор анонимности из 16 в набор размером со весь блокчейн.
FCMP++ использует иную криптографическую конструкцию — Curve Trees, которая позволяет доказывающему продемонстрировать принадлежность к огромному множеству компактным, эффективно проверяемым доказательством. Что важно, как и существующие инструменты Monero, она обходится без какой-либо доверенной настройки — а та исторически была камнем преткновения для схем на базе SNARK.
На протяжении 2025 года FCMP++ прошёл код-ревью и независимые криптографические аудиты, профинансированные сообществом, и его выход намечен вместе с более широкой переработкой протокола транзакций Seraphis и схемой адресации Jamtis. Вместе они нацелены полностью упразднить ограниченное кольцо. Пока соответствующий хардфорк не активируется в основной сети, 16-участниковое кольцо, описанное в этом разборе, остаётся ровно тем, как работают живые транзакции, — так что в получении или хранении XMR сегодня ничего не меняется.
Чтобы прочувствовать масштаб на практике: набор анонимности размером со всю цепочку означает, что эвристики выбора приманок, гамма-распределения и многолетний спор о «правильном» размере кольца разом становятся бессмысленными. Вопрос «который из 16 настоящий?» сменяется вопросом «который из ста с лишним миллионов настоящий?» — а на него у аналитика нет полезного ответа.
Приватность Monero на фоне давления на биржи
Для русскоязычной аудитории технические гарантии кольцевых подписей приобретают особый практический вес на фоне регуляторного давления. Крупные централизованные биржи в последние годы одна за другой делистят XMR, ссылаясь на требования AML и невозможность предоставлять прослеживаемую историю транзакций регуляторам. С точки зрения ФНС или ЦБ РФ актив без публичного графа платежей — это головная боль для контроля, но для самого пользователя ровно эта непрослеживаемость и есть гарантия конфиденциальности.
Важно понимать границу: кольцевые подписи защищают данные внутри блокчейна, а не точку входа. Если вы покупаете XMR на бирже с обязательным KYC, связь «ваша личность ↔ адрес вывода» уже зафиксирована вне цепочки, и никакая криптография задним числом её не сотрёт. Именно поэтому путь приобретения без логов и без аккаунта имеет значение: он закрывает тот самый внешний боковой канал, через который чаще всего и происходит деанонимизация, а не взлом самой математики.
FAQ
Можно ли проследить кольцевую подпись Monero до настоящего отправителя?
По самой подписи — нет. Подпись доказывает, что один из 16 участников кольца и есть настоящий отправитель, не помечая, кто именно, а key image нельзя связать с вашей личностью. Попытки деанонимизации обычно опираются на внешние метаданные — утечки IP, KYC-записи бирж или слабые эвристики прошлых лет, — а не на взлом криптографии. Использование пути приобретения без KYC и хорошо настроенного собственного узла закрывает большинство этих боковых каналов.
Какой сейчас размер кольца в Monero?
Шестнадцать. Каждая транзакция включает ваш настоящий выход плюс 15 приманок, и этот размер зафиксирован и обязателен для всех пользователей с хардфорка августа 2022 года. Единый размер кольца — сам по себе мера приватности, потому что переменные размеры позволяли бы «снимать отпечаток» с транзакций по их структуре.
Чем кольцевая подпись отличается от RingCT?
Они защищают разные вещи. Кольцевая подпись прячет, кто тратит, а RingCT (Ring Confidential Transactions) прячет, сколько тратится. В каждой транзакции они работают вместе — рядом со скрытыми адресами, которые прячут получателя. Все три слоя необходимы для полной приватности.
Почему я не могу просто потратить выход Monero напрямую, без приманок?
Технически, по правилам протокола, вы могли бы, но это публично раскрыло бы, какой именно выход вы тратите, и связало бы его с вашей предыдущей транзакцией — разрушив приватность и для вас, и для всех, чей выход ранее использовал ваш в качестве приманки. Поэтому Monero навязывает кольцо на уровне консенсуса: способа отправить «прозрачную» транзакцию Monero просто не существует.
Сделает ли FCMP++ мои уже имеющиеся XMR более приватными автоматически?
Да, как только он активируется. Поскольку приватность в Monero — это свойство протокола, а не отдельных монет, будущее обновление с доказательствами принадлежности по всей цепочке распространит больший набор анонимности на траты, совершённые после хардфорка, и от держателей не потребуется никаких действий. Монеты, которыми вы владеете сегодня, не «помечены» — они просто тратятся по тем правилам, что действуют на момент транзакции.
Заключение
Кольцевые подписи — это причина, по которой отправитель Monero может доказать своё право потратить, не раскрывая, какой выход он тратит: одна подпись CLSAG по кольцу из 16, закреплённая key image, который блокирует двойные траты, никого не разоблачая. В паре со скрытыми адресами и RingCT они делают приватность значением по умолчанию, а не функцией, которую вы выбираете, — и именно это придаёт XMR взаимозаменяемость. С FCMP++ на горизонте набор анонимности готовится вырасти из фиксированного кольца до всей цепочки целиком.
Понять механизм — первый шаг; второй — приобрести XMR, не сдав ту самую приватность, о которой вы только что узнали. MoneroSwapper позволяет купить Monero анонимно без аккаунта и без логов, так что ваши монеты приходят уже под защитой каждого описанного здесь слоя — в тот момент, когда они попадают в ваш кошелёк, кольцо смыкается вокруг них.
🌍 Читать на