Ipinaliwanag ang Monero CLSAG Signatures

Noong 17 Oktubre 2020, sa block 2,210,720, tahimik na pinalitan ng Monero ang cryptographic engine na nasa likod ng bawat transaksyon. Sa "Oxygen Orion" hard fork, isinantabi ang lumang MLSAG ring signature at pinalitan ito ng CLSAG — at ang resulta ay halos 25% na mas maliliit na transaksyon at 10–20% na mas mabilis na verification, magdamag lang. Kung nakapagpadala ka na ng XMR, o naglipat ka ng Bitcoin papuntang Monero gamit ang serbisyo tulad ng MoneroSwapper, naprotektahan ang transaksyon mo ng CLSAG signature nang hindi mo man lang namamalayan.

Para sa karamihan, parang black box ang privacy ng Monero: pumapasok ang barya, lumalabas na hindi na matunton. Pero may pangalan at istruktura ang "mahika" na nagtatago kung sino ang nagpadala ng ano. Ang CLSAG ang bahaging nagpapatunay na "akin ang isa sa mga output na ito at minsan ko lang ito ginagastos" — nang hindi inilalantad kung alin sa mga ito ang sa iyo. Tatalakayin ng artikulong ito kung ano talaga ang CLSAG, paano ito gumagana, bakit nito pinalitan ang nauna rito, at saan ito nakaupo sa roadmap ng Monero habang papalapit na ang mga bagong proof tulad ng FCMP++.

Ano ba Talaga ang Ibig Sabihin ng CLSAG

Acronym ang CLSAG, at bawat letra ay naglalarawan ng tunay na katangian ng iskema. Ibig sabihin nito ay Concise Linkable Spontaneous Anonymous Group signatures. Galing ang disenyo sa isang research paper noong 2019 nina Brandon Goodell, Sarang Noether, at isang contributor na kilala bilang RandomRun, at dumaan ito sa peer review at audit bago umabot sa mainnet.

• Concise: siksik at maliit ang signature. Mas kaunti ang scalar na ginagawa ng CLSAG kada ring member kumpara sa iskemang pinalitan nito — at dito mismo nanggagaling ang tipid sa laki.
• Linkable: kung magagastos nang dalawang beses ang iisang output, makikita ito ng network. Nagagawa ito sa pamamagitan ng key image, isang deterministic na fingerprint na pumipigil sa double-spending nang hindi inilalantad ang gumastos.
• Spontaneous: walang setup ceremony at walang pakikipag-ugnayan sa mga taong ang output ay lalabas sa ring mo. Puwede kang kumuha ng mga decoy mula sa blockchain nang wala silang kaalaman o pahintulot.
• Anonymous: mapapatunayan ng isang verifier na balido ang signature pero hindi niya masasabi kung sino sa mga ring member ang talagang nag-authorize nito.
• Group: ginawa ang signature para sa isang grupo — ang ring — sa halip na para sa iisang nakikilalang key.

Pagsama-samahin mo ang mga katangiang iyon at makukuha mo ang ubod ng sender privacy ng Monero: isang balidong signature na nagpapatunay ng awtorisasyon ng isang tao sa loob ng grupo ng mga posibleng kandidato, habang nananatiling nakatago ang tunay na pumirma at imposible ang double-spend.

Paano Gumagana ang CLSAG sa Loob

Para maintindihan ang CLSAG kailangan mo munang maintindihan kung ano ang sinusubukang gawin ng isang ring signature, at pagkatapos makita kung paano pinaliit ng CLSAG ang patunay. Gumagamit ang mga transaksyon ng Monero ng RingCT, na pinagsasama ang dalawang bagay na parehong dapat manatiling pribado: sino ang gumagastos (sender ambiguity) at magkano (amount confidentiality). Hinahawakan ng CLSAG ang unang kalahati. Bulletproofs+ naman ang humahawak sa ikalawa.

Ang problema sa ring signature

Kapag ginastos mo ang isang output ng Monero, gumagawa ang wallet mo ng ring: ang tunay mong output kasama ang ilang decoy na output na kinuha mula sa chain. Mula nang "Fluorine Fermi" upgrade noong Agosto 2022, naka-fix sa 16 ang ring size, ibig sabihin ang bawat paggastos ay nagtatago kasama ng 15 decoy. Ang isang panlabas na nagmamasid ay nakakakita ng 16 na kandidatong output at hindi masabi kung alin doon ang totoong ginagastos.

Ang hamon ay ang pagpirma sa paraang nagpapatunay na "kontrolado ko ang private key para sa isa sa 16 na output na ito" nang hindi tumatagas kung alin. Iyan mismo ang ginagawa ng isang ring signature. Ang trick ay ang paggawa ng loop ng mga cryptographic na hamon na nagsasara lang kung alam ng pumirma ang isang tunay na private key, habang magkakapareho ang itsura ng bawat link kapag tiningnan mula sa labas.

Key images at proteksyon laban sa double-spend

Ang panganib sa nakatagong gumastos ay ang double-spending: kung walang makakakita kung aling output ang ginastos mo, ano ang pumipigil sa iyong gastusin itong muli? Ang sagot ay ang key image. Bawat output ay may eksaktong isang balidong key image, na kinakalkula bilang ang private key na pinarami ng hash-to-point ng public key. Mathematically itong nakatali sa output pero wala itong inilalantad kung sinong ring member ang gumawa nito.

Bawat key image na nagamit na ay naitatala sa chain. Kapag may dumating na bagong transaksyon, sinusuri ng mga node kung lumitaw na dati ang key image nito. Kung oo, tinatanggihan ang transaksyon bilang double-spend. Ito ang dahilan kung bakit ligtas ang nakatagong-gumastos na modelo ng Monero — ang linkability na nasa "L" ng CLSAG.

Paano pinapaliit ng aggregation ang signature

Narito ang puso kung bakit "concise" ang CLSAG. Sa isang RingCT transaction, bawat ring member ay nakaugnay sa dalawang public key: ang one-time output key (patunay ng pagmamay-ari) at ang amount commitment (patunay na balanse ang halaga ng input at output). Ang naunang iskema, ang MLSAG, ay pumipirma sa magkabilang key nang hiwalay, na gumagawa ng dalawang response scalar para sa bawat ring member.

Pinagsasama ng CLSAG ang dalawang iyon sa iisang ring. Gumagamit ito ng aggregation coefficient — na nakukuha nang deterministic sa pamamagitan ng pag-hash sa ring at sa mga commitment nito — para itiklop ang dalawang key sa iisang pinagsamang verification equation. Ang resulta ay iisang response scalar kada ring member sa halip na dalawa, dagdag pa ang iisang initial challenge at ang key image.

Para sa isang ring na 11, kailangan ng MLSAG ng halos 22 response scalar kada input; halos 12 lang ang kailangan ng CLSAG. Ang iisang pagbabagong iyon ang nagputol ng halos isang-kapat sa karaniwang transaksyong may dalawang input.

Ang mahalaga, ipinapakita ng security proof na hindi pinapahina ng aggregation na ito ang kahit ano. Nananatiling hindi mapeke at anonymous ang CLSAG sa ilalim ng parehong mga assumption tulad ng dati, kahit laban sa isang kalaban na puwedeng pumili ng ilan sa mga key sa ring. Nakakakuha ka ng mas maliit at mas mabilis na signature nang walang ipinagpapalit sa privacy o seguridad — isang bihirang malinis na panalo sa cryptography.

CLSAG vs MLSAG: Ano ang Nagbago

Ang MLSAG (Multilayered Linkable Spontaneous Anonymous Group signatures) ang nagpaandar sa RingCT mula sa paglunsad nito noong Enero 2017 hanggang sa fork noong 2020. Ang CLSAG ay isang direkta, drop-in na kapalit na pinapanatili ang parehong trust model habang inaalis ang sobrang taba. Inilalagom ng talahanayan sa ibaba ang mga praktikal na pagkakaiba.

Ang mas maliliit na signature ay mahalaga para sa higit pa sa estetika. Ang mas mababang transaction weight ay nangangahulugan ng mas mababang bayarin, mas kaunting blockchain bloat, at mas mabilis na sync time para sa mga node. Dahil magkakapareho ang istruktura ng bawat transaksyon ng Monero, ang mga tipid na iyon ay nag-iipon sa buong network at nagpapabuti sa fungibility — walang transaksyong nakakatangi bilang mas mura o mas mahal batay sa kasaysayan nito.

Paano Kasya ang CLSAG sa Isang Transaksyon ng Monero

Hindi kailanman nagtatrabaho mag-isa ang CLSAG. Isa lang itong bahagi ng RingCT transaction, kasama ng stealth address, amount commitment, at range proof. Narito ang pinasimpleng lifecycle ng isang paggastos, mula sa sandaling magdesisyon ang wallet mong magpadala hanggang sa sandaling tanggapin ito ng isang node.

1. Pumili ng decoy: pumipili ang wallet ng 15 decoy na output mula sa chain gamit ang gamma distribution na ginagaya ang totoong pattern ng paggastos, pagkatapos idinaragdag ang tunay mong output para makabuo ng ring na 16.
2. Bumuo ng commitment: itinatago ang halaga ng input at output sa likod ng mga Pedersen commitment, at gumagawa ng pseudo-output commitment para makumpirma ng verifier na katumbas ang input sa output nang hindi nakikita ang halaga.
3. Kalkulahin ang key image: kinukuha ng wallet ang key image para sa output na ginagastos, na susuriin mamaya ng network laban sa set nito ng mga nagamit nang key image.
4. Pumirma gamit ang CLSAG: gumagawa ang wallet ng iisang pinagsamang ring signature sa ibabaw ng ring ng mga one-time key at commitment key, na nagsasara ng cryptographic loop dahil lang may hawak itong isang tunay na private key.
5. Idikit ang range proof: pinapatunayan ng Bulletproofs+ na nasa balidong saklaw ang bawat halaga ng output, kaya walang makakagawa ng barya mula sa wala gamit ang negatibong output.
6. I-broadcast at i-verify: kumakalat ang transaksyon sa pamamagitan ng Dandelion++ para malabo ang pinagmulang IP nito, at vine-verify ng mga node ang CLSAG signature, ang mga commitment, ang range proof, at ang pagiging kakaiba ng key image bago ito i-relay.

Tip: hindi mo kailanman kino-configure ang alinman dito. Ang ring size, decoy selection, at signature scheme ay lahat ipinapatupad ng consensus, kaya ang dalawang wallet sa parehong bersyon ng network ay gumagawa ng hindi mapagkakaiba na mga transaksyon.

Isang Halimbawa sa Totoong Buhay

Isipin mong nag-swap ka ng 0.5 BTC papuntang XMR sa pamamagitan ng MoneroSwapper at kalaunan ay nagpadala ka ng bahagi ng Monero na iyon sa isang hardware wallet. Sa sandaling pindutin mo ang send, bumubuo ang wallet mo ng ring na 16 na output. Nasa loob ang tunay mong output, pero ganoon din ang 15 na walang kaugnayang output mula sa ibang user na hindi pumayag sumali at hindi malalaman na sumali pala sila.

Ang CLSAG signature na nilikha ng wallet mo ay nagpapatunay sa bawat node sa Mundo na lehitimo mong kontrolado ang isa sa 16 na iyon — nang hindi sinasabi kung alin. Ang isang exchange na nagmamasid sa chain, isang blockchain analytics firm, o isang mausisang nagmamasid ay nakakakita ng balidong transaksyon na may 16 na pantay na posibleng pinagmulan. Walang heuristic na maaasahang makakapagtukoy sa totoo, na siya mismong punto.

Ihambing mo ito sa isang transparent na chain tulad ng Bitcoin, kung saan pampubliko ang eksaktong input na ginagastos. Sa Bitcoin, ang 0.5 BTC na iyon ay may permanente at matutuntong kasaysayan. Sa Monero, pinuputol ng CLSAG ang ugnayan sa bawat hop, na siyang dahilan kung bakit dumadaan sa Monero ang mga user na nag-iingat sa privacy.

Bakit Mahalaga Ito sa mga Pilipino

Sa Pilipinas, malalim na ang ugat ng paggamit ng crypto — mula sa play-to-earn na uso noong 2021 hanggang sa remittance ng mga OFW na hinahanap ang mas mababang bayarin kaysa sa tradisyunal na padala. Kinikilala ng Bangko Sentral ng Pilipinas (BSP) ang mga Virtual Asset Service Provider sa ilalim ng sarili nitong framework, at obligadong magtala ng kita mula sa crypto sa Bureau of Internal Revenue (BIR). Ibig sabihin, totoong usapin ang privacy at fungibility para sa Pilipinong gumagamit ng XMR — hindi lang teknikal na detalye.

Ang CLSAG ang dahilan kung bakit ang isang halaga na pumasok sa Monero ay hindi maitatatak ng "kasaysayan." Sa isang transparent na chain, kapag nakatanggap ka ng barya na may bahid na pinagmulan, puwede itong tanggihan ng exchange o markahan bilang kahina-hinala. Sa Monero, dahil magkakapareho ang itsura ng bawat transaksyon, walang baryang "marumi" o "malinis" — pantay ang lahat. Para sa freelancer na binabayaran sa crypto, o sa pamilyang tumatanggap ng padala, ang fungibility na ito ay nangangahulugan na hindi sila parurusahan dahil sa nakaraan ng baryang natanggap nila.

Tandaan din: ang privacy ay hindi katumbas ng pag-iwas sa buwis. Kahit naka-Monero ka, may responsibilidad ka pa ring sundin ang patnubay ng BIR sa pag-uulat ng kita. Ang teknolohiyang CLSAG ay tungkol sa fungibility at proteksyon laban sa surveillance — hindi ito panangga laban sa lehitimong obligasyon mo sa batas.

Ang Daan sa Hinaharap: FCMP++ at Seraphis

Mahusay ang CLSAG, pero may istrukturang hangganan ito: ang anonymity set ay nakatakda sa ring size. Sa 16 na member, nagtatago ang tunay mong paggastos kasama ng 15 decoy — malakas, pero may limitasyon. Taon-taong gumagawa ang research community ng Monero ng mas malaking bagay.

Ang FCMP++ (Full-Chain Membership Proofs) ang planadong kahalili. Sa halip na magtago sa 16 na output, pinapatunayan ng FCMP++ ang membership laban sa bawat output na umiral na sa chain — isang anonymity set na nasa sampu-sampung milyon sa halip na 16. Patuloy na umusad ang development at auditing sa buong 2025, na ang upgrade ay nakatarget sa isang hinaharap na hard fork. Kapag dumating ito, magreretiro na ang ring signature na kilala natin, kasama ang CLSAG.

Katabi ng FCMP++ ang Seraphis transaction protocol at ang Jamtis addressing scheme, na sama-samang nagmo-modernisa kung paano binubuo at ina-address ang mga output ng Monero. Ang aral ay hindi na laos na ang CLSAG — sinisigurado nito ang network ngayon at sa darating pang panahon — kundi na hindi tumitigil ang Monero sa pagpapabuti ng mga garantiya nito sa privacy. Ang CLSAG mismo ay kahalili ng MLSAG, at nagpapatuloy ang siklo.

FAQ

Ano ang ibig sabihin ng CLSAG?

Ang CLSAG ay nangangahulugang Concise Linkable Spontaneous Anonymous Group signatures. Bawat salita ay naglalarawan ng katangian: siksik ang signature, natutukoy ang double-spend, walang kailangang koordinasyon sa pagitan ng mga ring member, nakatago ang tunay na pumirma, at ginawa ang patunay para sa isang grupo sa halip na para sa iisang nakikilalang key.

Kailan nagsimulang gamitin ng Monero ang CLSAG?

Na-activate ang CLSAG sa mainnet ng Monero noong "Oxygen Orion" hard fork sa 17 Oktubre 2020, sa block height 2,210,720. Pinalitan nito ang MLSAG, na nagseguro sa mga RingCT transaction mula pa noong Enero 2017.

Gaano kalaki ang ipinaliit ng CLSAG sa mga transaksyon ng Monero?

Ang tipikal na transaksyong may dalawang input ay lumiit ng halos 25%, at naging halos 10–20% na mas mabilis ang verification. Ang tipid ay nanggagaling sa pagsasama ng dalawang response scalar kada ring member tungo sa iisa, na binabawasan ang datos na nakaimbak sa chain at ang trabahong ginagawa ng mga node para i-verify ito.

Pinapahina ba ng CLSAG ang privacy o seguridad ng Monero?

Hindi. Ibinibigay ng CLSAG ang parehong sender ambiguity at proteksyon laban sa double-spend tulad ng MLSAG. Pormal na napatunayan at independiyenteng na-audit ang seguridad nito, kasama ang paglaban sa mga atake kung saan kontrolado ng kalaban ang ilan sa mga key sa ring. Mahigpit itong isang mas episyenteng bersyon ng parehong mga garantiya.

Mapapalitan ba ang CLSAG?

Sa kalaunan, oo. Ang FCMP++ (Full-Chain Membership Proofs) na upgrade ay dinisenyo para palitan nang buo ang ring signature, na nagpapalawak ng anonymity set mula 16 na ring member tungo sa buong blockchain. Aktibo itong sinusulong at ina-audit sa buong 2025, na nakatarget sa isang hinaharap na hard fork, pero sinisigurado ng CLSAG ang network hanggang sa darating iyon.

Konklusyon

Ang CLSAG ay isa sa mga upgrade na nagpapatunay na ang mahusay na cryptography ay puwedeng parehong hindi nakikita at may malaking epekto. Pinaliit, pinamura, at pinabilis nito ang pag-verify ng bawat transaksyon ng Monero habang pinapanatili ang sender privacy at proteksyon laban sa double-spend na bumubuo sa pagkakakilanlan ng barya — lahat ito nang hindi kinakailangang kumilos ang mga user. Ang pag-unawa rito ay nagpapaliwanag kung ano talaga ang ibig sabihin ng "hindi matunton": hindi mahika, kundi isang maingat na ginawang ring signature na may nakakabit na key image.

Kung nais mong gamitin ang privacy na iyon, ang pinakamadaling landas ay ang pag-aari ng Monero nang hindi mo ibinibigay ang iyong pagkakakilanlan sa simula pa lang. Puwede kang bumili ng Monero nang anonymous sa pamamagitan ng MoneroSwapper nang walang account at walang KYC, at bawat output na matatanggap mo ay ipagtatanggol ng parehong CLSAG signature na inilarawan dito sa sandaling gastusin mo ito.