Кольцевые подписи Monero: как XMR скрывает отправителя
Кольцевые подписи Monero: как XMR скрывает каждого отправителя
Когда вы подписываете транзакцию в сети Bitcoin, сеть видит ваш адрес, историю баланса и конкретный UTXO, который был израсходован. Когда вы подписываете транзакцию Monero в 2026 году, сеть видит кольцо из шестнадцати возможных подписантов — и математически не может доказать, кто из них был именно вами. Это архитектурное решение, отточенное за десятилетие криптографических исследований — от документа CryptoNote 2014 года до современных кольцевых подписей CLSAG, — и есть причина, по которой Monero остаётся единственной крупной криптовалютой первого уровня с обязательной приватностью на уровне протокола.
Это руководство разбирает, как именно работают кольцевые подписи, почему хардфорк августа 2022 года оказался переломным, что изменится после активации FCMP++ и каким образом каждый обмен, проведённый через MoneroSwapper, автоматически наследует эти гарантии. Криптографического образования не требуется — но готовьтесь к конкретной математике, а не к общим рассуждениям.
Почему кольцевые подписи лежат в основе приватности Monero
Любой публичный блокчейн решает одну и ту же бухгалтерскую задачу: доказать, что монета существует, доказать, что отправитель ею владеет, и не позволить потратить её дважды. Bitcoin решает эту задачу через прозрачные входы и множество UTXO, доступное для аудита любому желающему. Monero решает её с помощью трёх взаимодополняющих техник — кольцевых подписей, скрытых адресов и RingCT, — причём именно кольцевые подписи отвечают за сокрытие отправителя.
Без обфускации отправителя даже полностью зашифрованные суммы продолжают утекать в виде метаданных. Компании сетевого надзора вроде Chainalysis и CipherTrace построили свои оценки именно на том, что поле отправителя в Bitcoin хранится в открытом виде. Кольцевые подписи Monero уничтожают эту поверхность атаки полностью. Каждый вход транзакции подписывается не одним ключом, а множеством, а верификатор лишь подтверждает, что *кто-то* из этого множества санкционировал расход.
- Неопределённость отправителя: реальный плательщик вычислительно неотличим от пятнадцати ложных кандидатов, подобранных из предыдущих выходов сети.
- Отсутствие доверенной церемонии: в отличие от схем zk-SNARK, требующих ритуальной генерации параметров, кольцевые подписи опираются только на стандартные допущения о сложности задач на эллиптической кривой Curve25519.
- Обязательность, а не опция: каждая транзакция Monero с момента запуска в 2014 году несёт кольцевую подпись. В сети нет «прозрачного режима», который надзорные фирмы могли бы взять за базовую точку анализа.
- Взаимозаменяемость по построению: поскольку выходы нельзя надёжно проследить до отправителя, ни одна монета не может быть «помечена», занесена в чёрный список или отвергнута биржей со ссылкой на её прошлое.
Именно с последним пунктом сталкиваются регуляторы Евросоюза и Южной Кореи начиная с волны делистингов 2024 года: к протоколу, который отказывается раскрывать, кто и кому что переслал, невозможно применить эвристики FATF Travel Rule. В российских реалиях это же свойство объясняет, почему Monero остаётся одной из немногих сетей, по которой Росфинмониторинг не в состоянии выстроить полноценный граф транзакций даже после внесённых в 2024 году поправок к закону «О цифровых финансовых активах». Кольцевые подписи — техническая причина, по которой Monero выжил там, где «прозрачные» приватные альткоины вроде Verge или Beam ушли в забвение.
Как именно устроена кольцевая подпись Monero
Этот раздел можно пропустить, если вам достаточно рабочей интуиции — но если вы хотите понять, почему математика держится, конструкция куда изящнее, чем рисуют большинство популярных объяснений. Действующая схема CLSAG заменила более старый алгоритм MLSAG на хардфорке 13 августа 2022 года, сократив размер подписи примерно на 25% при сохранении тех же гарантий безопасности.
Основная идея: подпись от имени группы
Классическая цифровая подпись доказывает: «Я, владелец приватного ключа x, санкционирую эту транзакцию». Кольцевая подпись доказывает: «Один из владельцев приватных ключей x₁, x₂, …, x₁₆ санкционировал эту транзакцию, и вы не можете определить, кто именно». Верификатор проверяет единственное уравнение, которое сходится только при условии, что подписант знает хотя бы один приватный ключ из набора, — но из этого уравнения нельзя извлечь информацию о том, какой именно ключ был использован.
В реализации Monero «кольцо» формируется кошельком отправителя в момент построения транзакции. Кошелёк выбирает реальный расходуемый выход плюс пятнадцать ложных выходов из прошлых блоков, взвешивает их гамма-распределением, отражающим реалистичный возраст расходования XMR (более свежие выходы тратят чаще), и собирает в подпись.
Образ ключа: защита от двойной траты без раскрытия отправителя
Очевидное возражение: если сеть не различает, какой именно выход был реально потрачен, что мешает потратить одну и ту же монету дважды в двух разных кольцах? Ответ — образ ключа (key image): детерминированный хэш, полученный из реального приватного ключа и уникальный для конкретного выхода. Каждая транзакция публикует свой образ ключа вместе с кольцевой подписью. Узлы поддерживают множество уже встреченных образов, и любой дубликат отбрасывается сразу.
Принципиально важно, что образ ключа — это однонаправленная функция. Знание образа ничего не говорит ни о самом приватном ключе, ни о том, какой именно выход в кольце был израсходован. Образ позволяет сети распознать повтор и только повтор. Это и есть тот криптографический примитив, который позволяет Monero одновременно обеспечивать несвязываемость *и* корректный денежный учёт в одном конверте.
Выбор ложных выходов: где раньше прятались утечки приватности
Ранний Monero (2014–2017) позволял пользователям выбирать размер кольца вручную, что создавало очевидную проблему: любой, кто использовал кольцо размера 1 (только сам), отслеживался тривиально, а небольшие кольца поддавались статистическим атакам. С хардфорка октября 2022 года протокол навязывает размер кольца ровно 16 для каждой транзакции. Унифицированность сама по себе является свойством приватности — когда все транзакции выглядят одинаково, анонимное множество разрастается до всей цепочки.
Выбор ложных выходов следует гамма-распределению, откалиброванному под реальные шаблоны расходования XMR. Чисто случайный выбор делал бы новые выходы избыточно представленными (они попадали бы во множество колец до того, как будут реально потрачены), а старые — недопредставленными, давая статистическому противнику зацепку. Гамма-модель приближает то, как монеты на самом деле двигают пользователи и биржи, и реальная трата естественно растворяется в фоновом шуме цепочки.
CLSAG, Bulletproofs+ и эволюция с 2014 года
Кольцевые подписи в Monero — не зафиксированная конструкция. Каждый крупный хардфорк начиная с 2017 года либо ужесточал криптографию, либо уменьшал размер подписи, либо делал и то и другое одновременно. Понимание хронологии помогает объяснить, почему сетевая криминалистика, «работавшая» в 2018 году, к 2026-му безнадёжно устарела.
| Эра | Схема | Год | Ключевое изменение |
|---|---|---|---|
| Генезис | CryptoNote / LSAG | 2014 | Первые кольцевые подписи, размер кольца на выбор. |
| RingCT | MLSAG + обязательства Педерсена | Янв 2017 | Скрывает не только отправителя, но и сумму. |
| Bulletproofs | MLSAG + Bulletproofs | Окт 2018 | Доказательства диапазона короче на ~80%, комиссии падают. |
| Фиксированное кольцо 11 | MLSAG | Мар 2019 | Обязательный размер кольца против отпечатков. |
| CLSAG | CLSAG + Bulletproofs | Авг 2022 | На ~25% меньше, проверка быстрее. |
| Bulletproofs+ | CLSAG + Bulletproofs+ | Авг 2022 | Ещё ~5–7% сокращения размера. |
| Кольцо 16 | CLSAG | Авг 2022 | Расширенное анонимное множество на каждый вход. |
| FCMP++ (план) | Full-Chain Membership Proofs | 2026 | Анонимное множество = вся цепочка, ~100M+ выходов. |
Главное предстоящее обновление — FCMP++ (Full-Chain Membership Proofs Plus Plus), активация которого запланирована на конец 2026 года. Вместо подбора 15 ложных выходов со всей цепочки, каждая транзакция будет доказывать принадлежность к *полному* множеству исторических выходов. Анонимное множество подскакивает с 16 примерно до 100 миллионов, причём криптографическое доказательство достаточно компактно для проверки за миллисекунды.
Если представить нынешние кольцевые подписи как иголку в стоге из 16 соломинок, то FCMP++ заменяет стог на целое пшеничное поле — а верификатор всё равно подтверждает, что иголка где-то там есть.
Именно поэтому разработчики Monero описывают грядущую архитектуру Seraphis/Jamtis как обновление поколения, а не очередную инкрементальную заплату. Оно не просто расширяет существующий конверт приватности — оно уничтожает саму концепцию «кольца» как конечного выбираемого множества.
Пошагово: что происходит, когда вы отправляете 0.5 XMR
Проследим конкретную транзакцию. Вы открываете Feather Wallet или Cake Wallet, вставляете адрес получателя, вводите 0.5 XMR и нажимаете «Отправить». Под капотом разворачивается следующая последовательность — большая её часть занимает меньше двух секунд на ноутбуке среднего класса.
- Выбор выхода: кошелёк определяет, какие из ваших непотраченных выходов покрывают 0.5 XMR плюс комиссию. Допустим, выбирается выход на 0.7 XMR.
- Подбор ложных выходов: кошелёк запрашивает у узла (вашего или удалённого) пятнадцать правдоподобных decoy-выходов из взвешенного гамма-распределения по истории сети.
- Сборка кольца: ваш реальный выход перемешивается в кольцо из шестнадцати. Порядок рандомизирован, чтобы позиция сама по себе ничего не выдавала.
- Генерация скрытого адреса: публичный адрес получателя преобразуется в одноразовый stealth-выход, который можно обнаружить только его ключом просмотра. Опубликованный адрес получателя никогда не появляется на цепочке.
- Обязательства Педерсена: суммы (0.5 отправляется, 0.199 сдача, ~0.001 комиссия) шифруются в обязательства Педерсена. Доказательства диапазона (Bulletproofs+) подтверждают, что каждая величина неотрицательна, не раскрывая её значения.
- Подпись CLSAG: кошелёк формирует единственную подпись CLSAG, одновременно доказывающую принадлежность к кольцу и привязывающую образ ключа. Это криптографическое сердце транзакции.
- Распространение через Dandelion++: подписанная транзакция попадает в mempool по схеме Dandelion++ («стебель — затем пушинка»), которая маскирует IP исходного узла.
- Подтверждение: примерно через две минуты транзакция входит в блок. Десять подтверждений (~20 минут) — стандартный порог финальности, на который ориентируются большинство бирж и торговцев.
С точки зрения внешнего наблюдателя в цепочке видны только: шестнадцать членов кольца (один реальный, пятнадцать ложных), один образ ключа (защита от двойной траты), два stealth-выхода (ваш — для сдачи, его — для платежа) и два обязательства Педерсена. Сумма, отправитель и получатель скрыты криптографически.
Кольцевые подписи на практике: обмен через MoneroSwapper
Теория — это одно. Наблюдать, как гарантии приватности переживают реальный обмен — совсем другое. Когда вы меняете Bitcoin на Monero через MoneroSwapper, BTC-нога сделки полностью прозрачна в сети Bitcoin — этого не избежать, поскольку у Bitcoin нет встроенной приватности. Но в тот момент, когда средства становятся XMR, эстафету подхватывают кольцевые подписи.
Допустим, фрилансер из Краснодара в 2026 году получает BTC от европейского заказчика. Чтобы оплатить аренду в рублях через P2P-обменник, она отправляет BTC на депозитный адрес MoneroSwapper и получает XMR на свой stealth-адрес в Cake Wallet. С этого момента любой провайдер цепочного анализа, изучающий баланс XMR, видит только выходы, защищённые кольцевыми подписями. Нет ни одной связи между BTC-ногой сделки и её последующими платежами в Monero — нет общего адреса, нет кластеризации, нет того графа «вход–выход», на котором держится аналитика Bitcoin.
Именно поэтому обменники без KYC, маршрутизирующие через Monero, стали стандартной рекомендацией для путешественников, журналистов и малого бизнеса в юрисдикциях с агрессивным финансовым надзором. Приватность не «прикручена» на уровне обменника — она математически гарантирована нижележащим протоколом в тот самый момент, когда средства оказываются на стороне XMR.
Часто задаваемые вопросы
Чем кольцевая подпись отличается от обычной цифровой подписи?
Обычная подпись доказывает, что транзакцию санкционировал один конкретный приватный ключ — верификатор точно узнаёт, кто подписал. Кольцевая подпись доказывает, что сообщение подписал *один из N* приватных ключей, не раскрывая, какой именно. В Monero N в настоящий момент равно 16: каждый вход транзакции подписан неотличимым множеством из шестнадцати возможных плательщиков.
Может ли сетевая аналитика когда-либо деанонимизировать кольцевую подпись Monero?
Статистические атаки против раннего Monero (до 2017 года) работали, когда размеры колец были крошечными или выбираемыми. С момента хардфорка августа 2022 года, навязавшего кольцо размера 16 с гамма-взвешенным выбором ложных выходов, ни одна рецензируемая работа не продемонстрировала надёжной деанонимизации на уровне протокола. Операционные ошибки — переиспользование адресов за пределами Monero, утечки метаданных на биржах, временные корреляции — остаются реальной поверхностью атаки.
Почему размер кольца ограничен 16, а не больше?
Размер подписи и стоимость проверки растут с размером кольца, а более крупные кольца заставляют каждый узел хранить, синхронизировать и проверять больше данных. Шестнадцать — нынешний оптимум между размером анонимного множества и раздуванием цепочки. Грядущее обновление FCMP++ полностью обходит этот компромисс, заменяя кольцо компактным доказательством принадлежности ко всей цепочке и расширяя эффективное анонимное множество до всех когда-либо созданных выходов.
Что такое образ ключа простыми словами?
Образ ключа — это уникальный «отпечаток», полученный из реального приватного ключа, который тратится. Каждая транзакция публикует один такой отпечаток. Узлы отслеживают все увиденные образы и отбрасывают любые повторы — именно так Monero предотвращает двойную трату. Принципиально важно, что образ ключа нельзя обратить, чтобы вычислить приватный ключ или конкретный выход, из которого он получен, — он лишь сигнализирует о дубликатах.
Устойчивы ли кольцевые подписи Monero к квантовым вычислениям?
Пока нет. Текущие подписи CLSAG опираются на задачу дискретного логарифма над Curve25519, которую достаточно крупный квантовый компьютер мог бы взломать алгоритмом Шора. Monero Research Lab отслеживает кандидатов на постквантовые схемы (на основе решёток и хэш-функций), а Seraphis проектируется с прицелом на будущие маршруты квантовоустойчивой миграции. На 2026 год реальной квантовой угрозы в продакшене нет, но дорожная карта эту долгосрочную проблему признаёт.
Меняется ли работа кольцевых подписей при использовании аппаратного кошелька?
Нет. Trezor Safe 3 и устройства Ledger с поддержкой Monero выполняют ту же операцию подписи CLSAG, что и программный кошелёк, только внутри своего защищённого элемента. Сборка кольца, выбор ложных выходов и генерация образа ключа происходят идентично. Ценность аппаратного кошелька — в том, что ваш ключ траты остаётся офлайн, а не в изменении криптографического протокола.
Заключение
Кольцевые подписи — это не маркетинговая фича, которой Monero хвалится в рекламных материалах: это несущая стена, на которой держится весь протокол. От оригинального дизайна CryptoNote 2014 года, через MLSAG и Bulletproofs, к нынешнему CLSAG с обязательным размером кольца 16 и далее к FCMP++ во второй половине 2026-го, каждое уточнение ужесточало одно и то же фундаментальное обещание: отправителя транзакции XMR невозможно идентифицировать никому, кто наблюдает за цепочкой.
Эта гарантия и делает Monero пригодным к использованию в качестве настоящей наличности в интернете — и именно её наследует каждый обмен, маршрутизированный через MoneroSwapper, в момент, когда средства попадают на сторону XMR. Если хотите перевести теорию в практику, следующий шаг прост: настройте кошелёк с поддержкой CLSAG (подойдут Feather, Cake или официальный Monero GUI), затем проведите небольшой обмен через сервис без KYC и понаблюдайте, насколько мало ваша транзакция раскрывает в цепочке. Остальное сделает математика.
🌍 Читать на