كيف تعمل التوقيعات الحلقية في Monero

في كل مرة تُؤكَّد فيها معاملة على شبكة Bitcoin، يُختَم عنوان المُرسِل وعنوان المُستقبِل والمبلغ بدقّة على دفتر حسابات عام يستطيع أيّ شخص قراءته إلى الأبد. بُنِيت Monero خصّيصًا لكسر هذا النموذج، والتوقيع الحلقي (ring signature) هو الجزء الذي يحمل العبء الأكبر على جانب المُرسِل. وفقًا لقواعد الشبكة المعمول بها في 2025، تُخفي كل معاملة على Monero هويّة المُنفِق الحقيقي بين 16 مُنفِقًا محتملًا — وهو حجم حلقة ثابت مفروض على جميع المستخدمين منذ التحديث الصلب (hard fork) في أغسطس 2022. هذه الوحدة في الحجم ليست تفصيلًا عابرًا؛ بل هي جوهر الفكرة كلّها. وعندما تحصل على XMR عبر خدمة لا تحتفظ بسجلّات مثل MoneroSwapper، فإن العملات ترث هذه الحماية تلقائيًا، دون أن يكون عليك تفعيل أيّ شيء.

يأخذك هذا الدليل خطوة بخطوة نحو فهم ما هو التوقيع الحلقي فعليًا، وكيف تبني Monero واحدًا لكل عملية إنفاق، ولماذا توقِف «صورة المفتاح» (key image) الإنفاق المزدوج دون أن تكشف هويّتك، وكيف تخطّط ترقية FCMP++ القادمة لتوسيع مجموعة إخفاء الهويّة من 16 لتشمل البلوكتشين بأكمله. لا يُفترَض أن لديك خلفية مسبقة في التشفير — كل ما تحتاجه هو الرغبة في تتبُّع كيفية تركّب القطع معًا.

لماذا خصوصية المُرسِل هي المسألة الأصعب

إخفاء المبلغ في معاملةٍ ما أمرٌ سهل نسبيًا بفضل الرياضيات الحديثة. أما إخفاء مَن يدفع لمَن فهو أصعب بكثير، لأن البلوكتشين مُلزَم بأن يتيح للجميع التحقّق من أن العملات المُنفَقة حقيقية ولم يسبق إنفاقها — وكل ذلك دون حَكَمٍ موثوق يتوسّط بين الأطراف. تحلّ Monero هذه المعضلة عبر ثلاث طبقات مستقلّة تعمل معًا:

• العناوين الخفيّة (stealth addresses) تُخفي المُستقبِل. كل دفعة تذهب إلى عنوان جديد لمرّة واحدة يُشتقّ على السلسلة، بحيث لا يظهر العنوان العام للمُستقبِل في دفتر الحسابات أبدًا.
• RingCT يُخفي المبلغ. تغلّف المعاملات السرّية القيمة داخل التزامٍ تشفيري (cryptographic commitment)، يُثبَت أنه صحيح عبر براهين المدى (range proofs) بدلًا من رقمٍ مقروء.
• التوقيعات الحلقية تُخفي المُرسِل. هذه هي الطبقة التي تجعل من غير الواضح أيّ مُخرَجٍ سابق هو الذي يُنفَق فعلًا.

أزِل أيّ طبقةٍ من هذه الثلاث، وستتسرّب الطبقتان الأخريان. فلو كان المُرسِل مرئيًا، لكان معرفة العنوان الخفيّ للمُستقبِل كافيًا لإعادة بناء رسم بياني كامل للمدفوعات. ولهذا تتعامل Monero مع الطبقات الثلاث جميعها بوصفها إلزامية لا اختيارية — والنتيجة هي قابلية الاستبدال (fungibility)، أي الخاصيّة التي تجعل كل وحدة XMR قابلة للتبادل مع أيّ وحدة أخرى لأن أيًّا منها لا يحمل تاريخًا قابلًا للتتبُّع.

ما هو التوقيع الحلقي بالضبط

الفكرة أقدم من Monero نفسها. التوقيع الحلقي، الذي صاغه رسميًا للمرّة الأولى كلٌّ من Rivest وShamir وTauman عام 2001، يتيح لعضوٍ واحد ضمن مجموعةٍ أن يوقّع رسالة، بحيث يستطيع أيّ مُتحقِّق أن يؤكّد «أن أحد أفراد هذه المجموعة قد وقّعها» دون أن يعرف شيئًا عن هويّة هذا الفرد. لا يوجد قائد للمجموعة، ولا مراسم إعداد مُسبَقة، ولا طريقة لإلغاء هذا الغموض لاحقًا — فالمُوقِّع يشكّل «تلقائيًا» مجموعة مؤقّتة من مفاتيح عامّة موجودة أصلًا.

تُكيّف Monero هذه الفكرة لتلائم الإنفاق. فعندما تُنفِق مُخرَجًا (وهو جزء من XMR استلمتَه سابقًا)، لا تُشير محفظتك إليه مباشرةً. بل تجمّع حلقة: مُخرَجك الحقيقي إلى جانب 15 طُعمًا (decoys) مسحوبة من مُخرَجات سابقة تخصّ أشخاصًا آخرين على البلوكتشين. يُثبت التوقيع أن أحد هذه المُخرَجات الـ16 يخصّك فعلًا ولك حقّ إنفاقه، لكن لا يستطيع أيّ مُراقِب أن يحدّد أيًّا منها.

الطُّعوم وكيف يتمّ اختيارها

الطُّعوم الخمسة عشر ليست عشوائية. فلو اختيرت بتوزيعٍ منتظم عبر كامل تاريخ السلسلة، لبرز المُخرَج الحقيقي — وهو دائمًا تقريبًا مُخرَج حديث — إحصائيًا بشكلٍ لافت. لذلك تأخذ محفظة Monero عيّناتها من الطُّعوم وفق توزيع غاما (gamma distribution) مُعايَر ليُحاكي سلوك الإنفاق الواقعي، إذ يميل لصالح المُخرَجات المُنشَأة حديثًا بمعدّلٍ قريب من معدّل إنفاق الناس لها فعلًا. وقد أخضع الباحثون خوارزمية الاختيار هذه لاختبارات إجهاد متكرّرة، وعمد مختبر أبحاث Monero (Monero Research Lab) إلى تحسينها عدّة مرّات لسدّ الثغرات القائمة على التوقيت.

ولأن كل محفظة تستخدم الخوارزمية ذاتها وحجم الحلقة ذاته البالغ 16، تبدو معاملتك مطابقة في بنيتها لمعاملة أيّ شخصٍ آخر. الوحدة في الشكل خاصيّة خصوصية بحدّ ذاتها: من السهل تتبُّع الشاذّ، أما الفرد ضمن حشدٍ متجانس تمامًا فلا.

صورة المفتاح: إيقاف الإنفاق المزدوج دون كشف المُنفِق

هنا تكمن البراعة. إن كان المُتحقِّق عاجزًا عن معرفة أيّ مُخرَجٍ تُنفِقه، فكيف تمنع الشبكة إنفاقك المُخرَج نفسه مرّتين؟ الجواب هو «صورة المفتاح» — وسمٌ تشفيري فريد يُشتقّ على نحوٍ حتمي من المفتاح الخاص لمرّة واحدة العائد لمُخرَجك.

يستطيع كل مُخرَج أن يُنتج صورة مفتاح صحيحة واحدة فقط، وهذه الصورة لا تكشف شيئًا عن عضو الحلقة الذي ولّدها. وعندما تُبثّ معاملتك، تسجّل كل عُقدة في الشبكة صورة المفتاح. فإن ظهرت صورة المفتاح ذاتها مرّةً أخرى في أيّ وقت، رفضت الشبكة المعاملة الثانية بوصفها إنفاقًا مزدوجًا. وهكذا يحصل النظام على ضمان السلامة الذي يوفّره دفتر حسابات قائم على نموذج UTXO، مع الحفاظ على غموض هويّة المُرسِل — فصورة المفتاح قابلة للربط بنفسها لكن لا بهويّتك.

CLSAG: مخطّط التوقيع الذي تستخدمه Monero اليوم

الخوارزمية المُحدَّدة التي تشغّلها Monero هي CLSAG — اختصارًا لـ Concise Linkable Spontaneous Anonymous Group signatures، أي «توقيعات المجموعة المجهولة التلقائية القابلة للربط والموجزة». وقد حلّت محلّ بناء MLSAG الأقدم في التحديث الصلب لشهر أكتوبر 2020. ولم تكن هذه الترقية شكليّة: فقد قلّصت CLSAG حجم التوقيع بنحو 25%، واختصرت زمن التحقّق بنحو 10 إلى 20%، ما يعني معاملات أصغر، ورسومًا أقل، وعبئًا أخفّ على كل عُقدة تتحقّق من السلسلة.

تشير كلمة «القابلة للربط» (Linkable) إلى سلوك صورة المفتاح الموصوف أعلاه؛ بينما تلتقط «التلقائية» و«المجموعة المجهولة» معنى الحلقة المؤقّتة عديمة القائد. وباجتماعها مع RingCT لإخفاء المبالغ، ومع Bulletproofs+ لبراهين المدى المُدمَجة (التي فُعِّلت في التحديث ذاته في أغسطس 2022 الذي ثبّت حجم الحلقة عند 16)، تكون CLSAG هي ما يجعل معاملة Monero الحديثة خاصّةً وصغيرة الحجم في آنٍ واحد.

بناء التوقيع الحلقي خطوة بخطوة

من المفيد أن ترى التسلسل الذي تمرّ به محفظتك عندما تضغط «إرسال». فالتشفير معقّد، لكن سير العمل واضح ومباشر:

1. اختيار المُخرَج الحقيقي. تحدّد محفظتك مُخرَجًا تتحكّم به وتملك مفتاح إنفاقه، كبيرًا بما يكفي لتغطية الدفعة إضافةً إلى الرسوم.
2. جمع 15 طُعمًا. باستخدام آلية أخذ العيّنات وفق توزيع غاما، تنتقي المحفظة 15 مُخرَجًا آخر من البلوكتشين لتضعها إلى جانب مُخرَجك داخل الحلقة.
3. حساب صورة المفتاح. تُشتقّ من المفتاح الخاص للمُخرَج الحقيقي، وهذا الوسم هو ما سيتيح للشبكة كشف أيّ إنفاق مزدوج مستقبلي للمُخرَج ذاته.
4. إنشاء توقيع CLSAG. تبني المحفظة توقيعًا واحدًا يغطّي الحلقة بأكملها، ولا يكون صحيحًا إلا لأنك تملك مفتاح أحد الأعضاء — دون أن يشير إلى أيّ عضوٍ بعينه.
5. إرفاق التزامات RingCT وبراهين المدى. تُثبت Bulletproofs+ أن المبالغ المخفيّة غير سالبة وأنها متوازنة على نحوٍ صحيح، وكل ذلك دون الكشف عن القيم.
6. البثّ عبر Dandelion++. تنتشر المعاملة وفق نمط ترحيلٍ يحافظ على الخصوصية ويُموّه العُقدة التي أطلقتها أولًا، ما يُحبِط محاولات كشف الهويّة على مستوى عنوان IP في طبقة الـ mempool.

التوقيع الحلقي لا يُشفّر معاملتك — بل يجعلها غير قابلة للتمييز عن 15 بديلًا معقولًا. الخصوصية هنا تنبع من الغموض، لا من إخفاء البيانات.

مقارنة التوقيعات الحلقية بمقاربات الخصوصية الأخرى

ليست Monero المشروع الوحيد الذي يعالج الخصوصية على السلسلة، لكن مقاربتها تحمل مفاضلات مميّزة مقارنةً بالبدائل الرئيسية. يلخّص الجدول أدناه موقع التوقيعات الحلقية بينها.

الفارق الجوهري يكمن في كلمة افتراضيًا. ففي CoinJoin أو المجمّعات المحميّة، تكون الخصوصية أمرًا يتعيّن على المستخدم اختياره عمدًا، والأقلّية التي تختاره تبرز للعيان. أما في Monero، فلا يوجد وضع شفّاف يمكن الانسحاب إليه — كل عملية إنفاق تستخدم توقيعًا حلقيًا، وبالتالي فإن الحشد الباحث عن الخصوصية هو قاعدة المستخدمين كلّها. وهذا تحديدًا ما يدعم قابلية الاستبدال.

أما نقطة الضعف التي يجدر الاعتراف بها بصدق فهي مجموعة إخفاء الهويّة. فستة عشر عضوًا أفضل بمراحل من الصفر، لكنها رقم محدود. والخصم الذي يملك موارد كافية ويستطيع استبعاد بعض الطُّعوم عبر معلومات خارجية يضيّق دائرة الاحتمالات. وهذا القيد بالذات هو ما صُمِّمت الترقية القادمة للبروتوكول لمحوه.

الطريق أمامنا: FCMP++ ومجموعة إخفاء هويّة بحجم السلسلة كاملة

أهمّ تغيير قادم لخصوصية المُرسِل في Monero هو FCMP++ — اختصارًا لـ Full-Chain Membership Proofs، أي «براهين العضوية لكامل السلسلة». فبدلًا من إثبات «أن مُخرَجي واحد من هذه الـ16»، يُثبت المُنفِق «أن مُخرَجي واحد من كل مُخرَجٍ وُجِد على الإطلاق على السلسلة». ومع تسجيل ما يفوق 100 مليون مُخرَج حتى الآن، يتحوّل ذلك بمجموعة إخفاء الهويّة من 16 إلى مجموعةٍ بحجم البلوكتشين بأكمله.

تعتمد FCMP++ على بنية تشفيرية مختلفة — بناء «أشجار المنحنى» (Curve Trees) الذي يتيح للمُثبِت أن يبرهن على عضويّته في مجموعة هائلة الحجم عبر برهانٍ مُدمَج وقابل للتحقّق بكفاءة. والأهمّ أنها، مثل أدوات Monero الحالية، تتجنّب أيّ إعدادٍ موثوق، وهو ما طالما شكّل نقطة خلافٍ في التصاميم القائمة على SNARK.

على امتداد عام 2025، مرّت FCMP++ بمراجعة شيفرة وعمليات تدقيق تشفيري مستقلّة موّلها المجتمع، ومن المقرّر أن تصل جنبًا إلى جنب مع الإصلاح الأوسع لبروتوكول المعاملات Seraphis ومخطّط العنونة Jamtis. وتهدف هذه التغييرات مجتمعةً إلى إحالة الحلقة المحدودة إلى التقاعد بالكامل. وإلى أن يُفعَّل التحديث الصلب المعنيّ على الشبكة الرئيسية، تبقى حلقة الأعضاء الـ16 الموصوفة في هذا الدليل هي الطريقة الفعلية التي تعمل بها المعاملات الحيّة تمامًا — أي أن شيئًا لا يتغيّر اليوم بشأن الحصول على XMR أو الاحتفاظ به.

ولتقريب الفكرة عمليًا: مجموعة إخفاء هويّة بحجم السلسلة كاملة تعني أن آليات اختيار الطُّعوم، وتوزيعات غاما، والجدل الطويل حول حجم الحلقة «الصحيح» تصبح كلّها بلا معنى. فالسؤال «أيٌّ من الـ16 هو الحقيقي؟» يحلّ محلّه السؤال «أيٌّ من المئة مليون وأكثر هو الحقيقي؟» — وهو سؤال بلا إجابة مفيدة لأيّ مُحلِّل.

الأسئلة الشائعة

هل يمكن تتبُّع توقيع Monero الحلقي وصولًا إلى المُرسِل الحقيقي؟

ليس انطلاقًا من التوقيع نفسه. فالتوقيع يُثبت أن أحد أعضاء الحلقة الـ16 هو المُنفِق الحقيقي دون أن يشير إليه، وصورة المفتاح لا يمكن ربطها بهويّتك. وتعتمد محاولات كشف الهويّة عمومًا على بيانات وصفية خارجية — تسريبات عنوان IP، أو سجلّات KYC لدى منصّات التداول، أو آليات اختيار طُعوم ضعيفة من حقبٍ سابقة — لا على كسر التشفير نفسه. واتّباع مسار حصولٍ بلا KYC وتشغيل عُقدة جيّدة الصيانة يُغلِق معظم هذه القنوات الجانبية.

ما هو حجم حلقة Monero الحالي؟

ستة عشر. تشمل كل معاملة مُخرَجك الحقيقي إضافةً إلى 15 طُعمًا، وهذا الحجم ثابت وإلزامي لجميع المستخدمين منذ التحديث الصلب في أغسطس 2022. والحجم الموحَّد للحلقة هو بحدّ ذاته إجراء خصوصية، لأن أحجام الحلقات المتغيّرة كانت ستتيح تمييز المعاملات ببصمتها البنيوية.

ما الفرق بين التوقيع الحلقي وRingCT؟

كلٌّ منهما يحمي شيئًا مختلفًا. فالتوقيع الحلقي يُخفي مَن يُنفِق، بينما يُخفي RingCT (أي Ring Confidential Transactions) كم يُنفَق. وهما يعملان معًا في كل معاملة، جنبًا إلى جنب مع العناوين الخفيّة التي تُخفي المُستقبِل. والطبقات الثلاث جميعها ضرورية لتحقيق خصوصية كاملة.

لماذا لا أستطيع إنفاق مُخرَج Monero مباشرةً دون طُعوم؟

تستطيع ذلك من الناحية النظرية في حدود البروتوكول، لكن فعل ذلك سيكشف علنًا أيّ مُخرَجٍ تُنفِقه بالضبط ويربطه بمعاملتك السابقة، مدمّرًا الخصوصية بالنسبة لك ولأيّ شخصٍ كان مُخرَجه قد استُخدِم سابقًا طُعمًا لمعاملتك. ولهذا تفرض Monero الحلقة على مستوى الإجماع (consensus) — فلا سبيل لإرسال معاملة Monero «شفّافة».

هل ستجعل FCMP++ وحدات XMR الموجودة لديّ أكثر خصوصيةً تلقائيًا؟

نعم، بمجرّد تفعيلها. ولأن الخصوصية في Monero خاصيّةٌ في البروتوكول لا في العملات الفردية، فإن ترقيةً مستقبليةً نحو براهين العضوية لكامل السلسلة ستوسّع نطاق مجموعة إخفاء الهويّة الأكبر لتشمل عمليات الإنفاق التي تتمّ بعد التحديث، دون أيّ إجراءٍ مطلوب من حاملي العملات. فالعملات التي تملكها اليوم ليست «موسومة»؛ بل تُنفَق ببساطة وفق القواعد السارية وقت إجراء المعاملة.

الخلاصة

التوقيعات الحلقية هي السبب الذي يتيح لمُرسِل Monero أن يُثبت ملكيّته لحقّ الإنفاق دون أن يكشف أيّ مُخرَجٍ يُنفِقه — توقيع CLSAG واحد يغطّي حلقةً من 16 عضوًا، تُرسيه صورة مفتاحٍ تحظر الإنفاق المزدوج دون كشف هويّة أحد. وباقترانها مع العناوين الخفيّة وRingCT، تجعل من الخصوصية الوضع الافتراضي بدلًا من ميزةٍ تختار تفعيلها، وهذا الوضع الافتراضي هو ما يمنح XMR قابليّتها للاستبدال. ومع اقتراب FCMP++، تتهيّأ مجموعة إخفاء الهويّة للنموّ من حلقةٍ ثابتة إلى السلسلة بأكملها.

فهم الآلية هو الخطوة الأولى؛ أما الخطوة الثانية فهي الحصول على XMR دون التفريط في الخصوصية التي تعلّمت عنها للتوّ. تتيح لك MoneroSwapper أن تشتري Monero بشكلٍ مجهول دون حساب ودون سجلّات، بحيث تصل عملاتك وهي محميّة فعلًا بكل طبقةٍ ورد وصفها هنا — وفي اللحظة التي تستقرّ فيها في محفظتك، تنغلق الحلقة من حولها.