חתימות CLSAG של Monero — הסבר מלא
חתימות CLSAG של Monero — הסבר מלא
ב‑17 באוקטובר 2020, בבלוק מספר 2,210,720, ביצעה רשת Monero החלפה שקטה של המנוע הקריפטוגרפי שעומד מאחורי כל עסקה ועסקה. מזלג הקשיח (hard fork) שנקרא "Oxygen Orion" הוציא משירות את חתימת הטבעת הישנה, MLSAG, והחליף אותה ב‑CLSAG — והתוצאה הייתה עסקאות קטנות בכ‑25% ואימות מהיר ב‑10–20% כמעט בן‑לילה. אם אי פעם שלחתם XMR, או העברתם ביטקוין ל‑Monero דרך שירות כמו MoneroSwapper, העסקה שלכם הוגנה על ידי חתימת CLSAG בלי שהרגשתם בכך כלל.
רוב האנשים מתייחסים לפרטיות של Monero כאל קופסה שחורה: מטבעות נכנסים, ומטבעות בלתי ניתנים למעקב יוצאים. אבל לקסם שמסתיר מי שלח מה יש שם ויש מבנה. CLSAG הוא הרכיב שמאפשר לכם להוכיח "אני הבעלים של אחת מהתפוקות האלה ואני מוציא אותה בדיוק פעם אחת" — מבלי לחשוף איזו תפוקה היא שלכם. המאמר הזה מפרק לגורמים מהו CLSAG, איך הוא עובד, מדוע הוא החליף את קודמו, והיכן הוא ממוקם במפת הדרכים של Monero כשהוכחות חדשות יותר כמו FCMP++ מתקרבות אל הרשת.
מה המשמעות האמיתית של ראשי התיבות CLSAG
CLSAG הוא ראשי תיבות, וכל אות מתארת תכונה ממשית של השיטה. זה קיצור של Concise Linkable Spontaneous Anonymous Group — חתימות קבוצה אנונימיות, ספונטניות, ניתנות לקישור ותמציתיות. התכנון נולד ממאמר מחקר משנת 2019 מאת ברנדון גודל (Brandon Goodell), סראנג נות'ר (Sarang Noether) ותורם המוכר בכינוי RandomRun, והוא עבר ביקורת עמיתים וביקורת אבטחה (audit) לפני שהגיע לרשת הראשית.
- Concise (תמציתי): החתימה דחוסה. CLSAG מייצר הרבה פחות סקלרים לכל חבר טבעת מאשר השיטה שהחליף, וזה בדיוק המקור לחיסכון בנפח.
- Linkable (ניתן לקישור): אם אותה תפוקה נוצלה אי פעם פעמיים, הרשת יכולה לזהות זאת. הדבר נעשה באמצעות תמונת מפתח (key image) — טביעת אצבע דטרמיניסטית שמונעת הוצאה כפולה מבלי לחשוף את המוציא.
- Spontaneous (ספונטני): אין טקס הקמה ואין צורך בשיתוף פעולה בין האנשים שהתפוקות שלהם מופיעות בטבעת שלכם. אתם יכולים למשוך פיתיונות (decoys) מהבלוקצ'יין בלי ידיעתם ובלי הסכמתם.
- Anonymous (אנונימי): מאמת יכול לוודא שהחתימה תקפה, אך אינו יכול לדעת מי מחברי הטבעת אישר אותה בפועל.
- Group (קבוצה): החתימה נעשית בשם קבוצה — הטבעת — ולא בשם מפתח יחיד וניתן לזיהוי.
שלבו את התכונות הללו יחד ותקבלו את הליבה של פרטיות השולח ב‑Monero: חתימה תקפה שמוכיחה אישור מצד מישהו בקבוצה של מועמדים סבירים, תוך שמירה על זהות החותם האמיתי בסתר ומניעה מוחלטת של הוצאות כפולות.
איך CLSAG עובד מתחת למכסה המנוע
כדי להבין את CLSAG צריך להבין מה חתימת טבעת מנסה להשיג, ואז לראות כיצד CLSAG מקטין את ההוכחה. עסקאות Monero משתמשות ב‑RingCT, שמשלב שני דברים שחייבים שניהם להישאר פרטיים: מי מוציא (עמימות השולח) וכמה (חיסיון הסכום). CLSAG מטפל במחצית הראשונה. Bulletproofs+ מטפל בשנייה.
בעיית חתימת הטבעת
כשאתם מוציאים תפוקה של Monero, הארנק שלכם בונה טבעת: התפוקה האמיתית שלכם בתוספת מספר תפוקות פיתיון שנמשכות מהשרשרת. מאז שדרוג "Fluorine Fermi" באוגוסט 2022 גודל הטבעת קבוע על 16, כלומר כל הוצאה מסתתרת בין 15 פיתיונות. משקיף חיצוני רואה 16 תפוקות מועמדות ואינו יכול לדעת איזו מהן מוצאת באמת.
האתגר הוא לחתום באופן שמוכיח "אני שולט במפתח הפרטי של אחת מ‑16 התפוקות האלה" בלי לדלוף איזו. חתימת טבעת עושה בדיוק את זה. הטריק הוא בניית לולאה של אתגרים קריפטוגרפיים שנסגרת רק אם החותם יודע מפתח פרטי אמיתי אחד, בעוד כל חוליה נראית זהה מבחוץ.
תמונות מפתח והגנה מפני הוצאה כפולה
הסכנה בשולח נסתר היא הוצאה כפולה: אם איש אינו יכול לראות איזו תפוקה הוצאתם, מה מונע מכם להוציא אותה שוב? התשובה היא תמונת המפתח. לכל תפוקה יש בדיוק תמונת מפתח תקפה אחת, המחושבת כמפתח הפרטי כפול גיבוב‑לנקודה (hash‑to‑point) של המפתח הציבורי. היא קשורה מתמטית לתפוקה אך אינה חושפת דבר על השאלה איזה חבר טבעת הפיק אותה.
כל תמונת מפתח שאי פעם נעשה בה שימוש נרשמת על השרשרת. כשמגיעה עסקה חדשה, הצמתים בודקים אם תמונת המפתח שלה הופיעה בעבר. אם כן, העסקה נדחית כהוצאה כפולה. זה מה שהופך את מודל השולח‑הנסתר של Monero לבטוח — תכונת הקישוריות שמסומנת ב‑"L" של CLSAG.
איך האגרגציה מכווצת את החתימה
כאן נמצא לב העניין מדוע CLSAG הוא "תמציתי". בעסקת RingCT כל חבר טבעת משויך לשני מפתחות ציבוריים: מפתח התפוקה החד‑פעמי (שמוכיח בעלות) ומחויבות הסכום (שמוכיחה שערכי הקלט והפלט מתאזנים). השיטה הקודמת, MLSAG, חתמה על שני המפתחות בנפרד, וייצרה שני סקלרי תגובה לכל חבר טבעת.
CLSAG מקפל את זה לטבעת אחת. הוא משתמש במקדמי אגרגציה — הנגזרים דטרמיניסטית מגיבוב הטבעת ומחויבויותיה — כדי לקפל את שני המפתחות למשוואת אימות משולבת אחת. התוצאה היא סקלר תגובה אחד לכל חבר טבעת במקום שניים, בתוספת אתגר התחלתי יחיד ותמונת המפתח.
עבור טבעת של 11, MLSAG נזקקה לכ‑22 סקלרי תגובה לכל קלט; CLSAG נזקקת לכ‑12. השינוי היחיד הזה הוא מה שקיצץ עסקה טיפוסית בעלת שני קלטים בכרבע.
חשוב מכך, הוכחת האבטחה מראה שהאגרגציה הזו אינה מחלישה דבר. CLSAG נותרת בלתי ניתנת לזיוף ואנונימית תחת אותן הנחות כמו קודם, אפילו מול יריב שיכול לבחור חלק מהמפתחות בטבעת. אתם מקבלים חתימה קטנה ומהירה יותר ללא שום פשרה בפרטיות או באבטחה — ניצחון נקי ונדיר בקריפטוגרפיה.
CLSAG מול MLSAG: מה השתנה
MLSAG (Multilayered Linkable Spontaneous Anonymous Group signatures) הפעילה את RingCT מהשקתה בינואר 2017 ועד למזלג של 2020. CLSAG היא תחליף ישיר ו"חלק" (drop‑in) ששומר על אותו מודל אמון תוך גיזום השומן. הטבלה שלהלן מסכמת את ההבדלים המעשיים.
| תכונה | MLSAG (2017–2020) | CLSAG (2020–היום) |
|---|---|---|
| סקלרים לכל חבר טבעת | 2 (אחד לכל שכבת מפתח) | 1 (מאוגרג) |
| נפח חתימה טיפוסי לעסקה עם 2 קלטים | בסיס | קטן בכ‑25% |
| מהירות אימות | בסיס | מהיר ב‑10–20% |
| הבטחת פרטיות | עמימות שולח + קישוריות | זהה |
| אבטחה מול מפתחות עוינים | מוכחת | מוכחת (עברה ביקורת פורמלית מחדש) |
| הפעלה | השקת RingCT, ינואר 2017 | מזלג Oxygen Orion, אוקטובר 2020 |
החתימות הקטנות חשובות ליותר מאשר אסתטיקה. משקל עסקה נמוך יותר פירושו עמלות נמוכות יותר, פחות נפיחות בבלוקצ'יין, וזמני סנכרון מהירים יותר לצמתים. מכיוון שכל עסקת Monero נראית זהה מבחינה מבנית, החיסכון הזה מצטבר על פני הרשת כולה ומשפר את ההחלפיוּת (fungibility) — אף עסקה אינה בולטת כזולה או יקרה יותר על סמך ההיסטוריה שלה.
כיצד CLSAG משתלב בעסקת Monero
CLSAG לעולם אינו עובד לבדו. הוא רכיב אחד מעסקת RingCT, לצד כתובות חמקן (stealth addresses), מחויבויות סכום והוכחות טווח. להלן מחזור החיים המפושט של הוצאה, מהרגע שהארנק שלכם מחליט לשלוח ועד הרגע שצומת מקבל אותה.
- בחירת פיתיונות: הארנק בוחר 15 תפוקות פיתיון מהשרשרת באמצעות התפלגות גמא שמחקה דפוסי הוצאה אמיתיים, ואז מוסיף את התפוקה האמיתית שלכם כדי ליצור טבעת של 16.
- בניית מחויבויות: סכומי הקלט והפלט מוסתרים מאחורי מחויבויות פדרסן (Pedersen commitments), ונוצרת מחויבות פסאודו‑פלט כך שהמאמת יכול לוודא שהקלטים שווים לפלטים מבלי לראות את הערכים.
- חישוב תמונת המפתח: הארנק גוזר את תמונת המפתח עבור התפוקה המוצאת, אותה תבדוק הרשת מאוחר יותר מול מאגר תמונות המפתח שכבר נוצלו.
- חתימה עם CLSAG: הארנק מפיק חתימת טבעת מאוגרגת יחידה על פני טבעת המפתחות החד‑פעמיים ומפתחות המחויבות, וסוגר את הלולאה הקריפטוגרפית אך ורק משום שברשותו מפתח פרטי אמיתי אחד.
- צירוף הוכחות טווח: Bulletproofs+ מוכיח שכל סכום פלט נמצא בטווח תקף, כך שאיש אינו יכול ליצור מטבעות יש מאין באמצעות פלט שלילי.
- שידור ואימות: העסקה מתפשטת דרך Dandelion++ כדי לטשטש את כתובת ה‑IP שממנה יצאה, והצמתים מאמתים את חתימת ה‑CLSAG, את המחויבויות, את הוכחות הטווח ואת ייחודיות תמונת המפתח לפני שהם מעבירים אותה הלאה.
טיפ: אתם לעולם אינכם מגדירים דבר מכל זה. גודל הטבעת, בחירת הפיתיונות ושיטת החתימה נאכפים כולם על ידי הקונצנזוס, כך ששני ארנקים על אותה גרסת רשת מפיקים עסקאות בלתי ניתנות להבחנה זו מזו.
דוגמה מהעולם האמיתי
דמיינו שאתם מחליפים 0.5 BTC ל‑XMR דרך MoneroSwapper ולאחר מכן שולחים חלק מאותו Monero לארנק חומרה. ברגע שאתם לוחצים על "שלח", הארנק שלכם מרכיב טבעת של 16 תפוקות. התפוקה האמיתית שלכם שם, אבל גם 15 תפוקות לא קשורות ממשתמשים אחרים שמעולם לא הסכימו להשתתף ולעולם לא יידעו שהשתתפו.
חתימת ה‑CLSAG שהארנק שלכם מייצר מוכיחה לכל צומת על פני כדור הארץ שאתם שולטים בלגיטימיות באחת מ‑16 התפוקות — מבלי לומר באיזו. בורסה שצופה בשרשרת, חברת ניתוח בלוקצ'יין או משקיף סקרן רואים עסקה תקפה עם 16 מקורות סבירים באותה מידה. אין שום היוריסטיקה שבוחרת באמינות את האמיתי, וזו בדיוק הנקודה.
השוו זאת לשרשרת שקופה כמו ביטקוין, שבה הקלט המדויק שמוצא הוא ציבורי. בביטקוין, אותם 0.5 BTC נושאים היסטוריה קבועה וניתנת למעקב. ב‑Monero, CLSAG חותך את הקישור בכל קפיצה, וזו הסיבה שמשתמשים מודעי‑פרטיות מנתבים ערך דרך Monero מלכתחילה.
הדרך שלפנינו: FCMP++ ו‑Seraphis
CLSAG מצוין, אבל יש לו תקרה מבנית: קבוצת האנונימיות חסומה לגודל הטבעת. עם 16 חברים, ההוצאה האמיתית שלכם מסתתרת בין 15 פיתיונות — חזק, אך סופי. קהילת המחקר של Monero בילתה שנים בבניית משהו גדול יותר.
FCMP++ (Full‑Chain Membership Proofs) הוא היורש המתוכנן. במקום להסתתר בין 16 תפוקות, FCMP++ מוכיח חברוּת מול כל תפוקה שאי פעם התקיימה על השרשרת — קבוצת אנונימיות בגודל עשרות מיליונים במקום 16. הפיתוח והביקורת התקדמו בהתמדה לאורך 2025, והשדרוג מיועד למזלג קשיח עתידי. כשהוא ינחת, חתימות הטבעת כפי שאנו מכירים אותן, כולל CLSAG, יוצאו משירות.
לצד FCMP++ ניצבים פרוטוקול העסקאות Seraphis וסכמת הכתובות Jamtis, שיחד מודרניזים את האופן שבו תפוקות Monero נוצרות וממוענות. המסקנה אינה ש‑CLSAG מיושן — הוא מאבטח את הרשת ממש עכשיו, ויעשה זאת עוד זמן מה — אלא ש‑Monero לעולם אינו מפסיק לשפר את הבטחות הפרטיות שלו. CLSAG עצמו היה יורש של MLSAG, והמעגל נמשך.
טעויות נפוצות בהבנת CLSAG
בגלל שהנושא טכני, צצות סביבו לא מעט אי‑הבנות. שווה לפזר כמה מהן, כי הן משפיעות על האופן שבו אנשים מבינים את הפרטיות של Monero בפועל.
- "הפיתיונות הם משתמשים מזויפים." לא. 15 הפיתיונות הם תפוקות אמיתיות לחלוטין של אנשים אחרים, שנבחרו מהשרשרת. דווקא העובדה שהם אמיתיים היא מה שהופך את ההסתתרות בתוכם למשכנעת — אין שום סימן שמבדיל בין "אמיתי" ל"פיתיון".
- "תמונת המפתח חושפת את הארנק שלי." לא. תמונת המפתח ייחודית לכל תפוקה ומונעת הוצאה כפולה, אך היא אינה מקושרת לכתובת שלכם ואינה מאפשרת לקשר בין שתי הוצאות שונות שלכם.
- "חתימה קטנה יותר פירושה פחות אבטחה." ההפך הוא הנכון מבחינת היעילות, ומבחינת האבטחה — אין שינוי. ההוכחה הפורמלית מראה ש‑CLSAG שומר על אותה רמת ביטחון בדיוק.
- "CLSAG מסתיר גם את הסכום." לא. את הסכום מסתירים מחויבויות פדרסן והוכחות Bulletproofs+. CLSAG אחראי אך ורק לעמימות השולח.
בארץ, שבה מודעות הציבור לפרטיות פיננסית הולכת וגוברת ולצד זה גם הרגולציה סביב נכסים דיגיטליים, הבנה מדויקת של מה כל רכיב עושה חשובה במיוחד. CLSAG אינו "מחיקת היסטוריה" — הוא שכבה מתמטית שמבטיחה שאף אחד לא יכול להצביע בוודאות על המקור של הוצאה מסוימת.
שאלות נפוצות
מה המשמעות של CLSAG?
CLSAG הוא ראשי תיבות של Concise Linkable Spontaneous Anonymous Group signatures — חתימות קבוצה תמציתיות, ניתנות לקישור, ספונטניות ואנונימיות. כל מילה מתארת תכונה: החתימה דחוסה, הוצאות כפולות ניתנות לזיהוי, אין צורך בתיאום בין חברי הטבעת, החותם האמיתי מוסתר, וההוכחה נעשית בשם קבוצה ולא בשם מפתח יחיד וניתן לזיהוי.
מתי Monero התחילה להשתמש ב‑CLSAG?
CLSAG הופעלה ברשת הראשית של Monero במהלך המזלג הקשיח "Oxygen Orion" ב‑17 באוקטובר 2020, בגובה בלוק 2,210,720. היא החליפה את MLSAG, שאבטחה עסקאות RingCT מאז ינואר 2017.
בכמה CLSAG הקטינה את עסקאות Monero?
עסקה טיפוסית בעלת שני קלטים התכווצה בכ‑25%, והאימות נעשה מהיר בכ‑10–20%. החיסכון נובע מאגרגציה של שני סקלרי תגובה לכל חבר טבעת לכדי אחד, מה שמצמצם הן את הנתונים הנשמרים על השרשרת והן את העבודה שהצמתים מבצעים כדי לאמת אותם.
האם CLSAG מחלישה את הפרטיות או האבטחה של Monero?
לא. CLSAG מספקת את אותה עמימות שולח והגנה מפני הוצאה כפולה כמו MLSAG. האבטחה שלה הוכחה פורמלית ועברה ביקורת בלתי תלויה, כולל עמידות בפני התקפות שבהן יריב שולט בחלק מהמפתחות בטבעת. זו פשוט גרסה יעילה יותר של אותן הבטחות בדיוק.
האם CLSAG תוחלף?
בסופו של דבר, כן. שדרוג FCMP++ (Full‑Chain Membership Proofs) נועד להחליף את חתימות הטבעת לחלוטין, ולהרחיב את קבוצת האנונימיות מ‑16 חברי טבעת לבלוקצ'יין כולו. הוא היה בפיתוח וביקורת פעילים לאורך 2025, ומיועד למזלג קשיח עתידי, אך CLSAG מאבטחת את הרשת עד אז.
סיכום
CLSAG הוא אחד מאותם שדרוגים שמוכיחים שקריפטוגרפיה טובה יכולה להיות גם בלתי נראית וגם רבת השפעה. הוא הפך כל עסקת Monero לקטנה, זולה ומהירה יותר לאימות, תוך שמירה על פרטיות השולח וההגנה מפני הוצאה כפולה שמגדירות את המטבע — וכל זאת בלי שהמשתמשים נדרשו להניע אצבע. הבנתו מפיגה את המסתורין סביב מה ש"בלתי ניתן למעקב" באמת אומר: לא קסם, אלא חתימת טבעת בנויה בקפידה עם תמונת מפתח מורכבת עליה.
אם אתם רוצים להפעיל את הפרטיות הזו, הדרך הקלה ביותר היא לרכוש Monero מבלי למסור את זהותכם מלכתחילה. אתם יכולים לקנות Monero באנונימיות דרך MoneroSwapper ללא חשבון וללא KYC, וכל תפוקה שתקבלו תוגן על ידי אותן חתימות CLSAG המתוארות כאן ברגע שתוציאו אותה.
🌍 קרא בשפה