Penjelasan Tanda Tangan CLSAG di Monero

Pada 17 Oktober 2020, tepatnya di blok 2.210.720, Monero diam-diam mengganti mesin kriptografi di balik setiap transaksinya. Hard fork bernama "Oxygen Orion" memensiunkan tanda tangan cincin MLSAG yang lama dan menggantinya dengan CLSAG — hasilnya, dalam semalam, ukuran transaksi menyusut sekitar 25% dan proses verifikasi menjadi 10–20% lebih cepat. Kalau Anda pernah mengirim XMR, atau memindahkan Bitcoin ke Monero lewat layanan seperti MoneroSwapper, transaksi Anda sudah dilindungi tanda tangan CLSAG tanpa Anda sadari sedikit pun.

Kebanyakan orang memperlakukan privasi Monero sebagai kotak hitam: koin masuk, lalu keluar dalam bentuk yang tak bisa dilacak. Padahal, "sihir" yang menyembunyikan siapa mengirim apa itu punya nama dan struktur yang jelas. CLSAG adalah komponen yang memungkinkan Anda membuktikan "saya memiliki salah satu dari output ini dan membelanjakannya tepat satu kali" — tanpa pernah mengungkap output mana yang benar-benar milik Anda. Artikel ini menguraikan apa itu CLSAG, bagaimana cara kerjanya, mengapa ia menggantikan pendahulunya, dan di mana posisinya dalam peta jalan Monero ketika bukti kriptografi yang lebih baru seperti FCMP++ mulai mendekati jaringan.

Apa Sebenarnya Kepanjangan CLSAG

CLSAG adalah sebuah akronim, dan setiap hurufnya menggambarkan sifat nyata dari skema ini. CLSAG adalah singkatan dari Concise Linkable Spontaneous Anonymous Group signatures. Desainnya lahir dari makalah riset tahun 2019 yang ditulis Brandon Goodell, Sarang Noether, dan seorang kontributor yang dikenal dengan nama RandomRun. Skema ini sudah ditinjau sejawat (peer-reviewed) dan diaudit sebelum akhirnya diaktifkan di mainnet.

• Concise (ringkas): tanda tangannya padat. CLSAG menghasilkan jauh lebih sedikit skalar per anggota cincin dibanding skema sebelumnya — dan dari sinilah penghematan ukuran berasal.
• Linkable (dapat ditautkan): jika output yang sama pernah dibelanjakan dua kali, jaringan bisa mendeteksinya. Ini dilakukan lewat key image, sebuah sidik jari deterministik yang mencegah pembelanjaan ganda tanpa membongkar identitas si pembelanja.
• Spontaneous (spontan): tidak ada upacara penyiapan (setup ceremony) dan tidak perlu kerja sama dari orang-orang yang output-nya muncul di cincin Anda. Anda bisa menarik umpan (decoy) dari blockchain tanpa sepengetahuan atau persetujuan mereka.
• Anonymous (anonim): seorang verifikator bisa memastikan tanda tangan itu sah, tetapi tidak bisa tahu anggota cincin mana yang sebenarnya memberi otorisasi.
• Group (kelompok): tanda tangan dibuat atas nama sebuah kelompok — yaitu cincin (ring) — bukan atas nama satu kunci tunggal yang bisa diidentifikasi.

Satukan semua sifat itu, dan Anda mendapatkan inti dari privasi pengirim Monero: sebuah tanda tangan sah yang membuktikan otorisasi oleh seseorang di dalam sekumpulan kandidat yang sama-sama masuk akal, sambil tetap menyembunyikan penanda tangan sebenarnya dan membuat pembelanjaan ganda mustahil dilakukan.

Cara Kerja CLSAG di Balik Layar

Untuk memahami CLSAG, Anda perlu memahami dulu apa yang ingin dicapai oleh tanda tangan cincin, lalu melihat bagaimana CLSAG membuat buktinya lebih kecil. Transaksi Monero memakai RingCT, yang menggabungkan dua hal yang keduanya wajib tetap rahasia: siapa yang membelanjakan (ambiguitas pengirim) dan berapa jumlahnya (kerahasiaan nominal). CLSAG menangani bagian pertama. Bulletproofs+ menangani bagian kedua.

Masalah pada tanda tangan cincin

Ketika Anda membelanjakan sebuah output Monero, dompet (wallet) Anda menyusun sebuah cincin: output asli Anda ditambah sejumlah output umpan yang ditarik dari rantai. Sejak pembaruan "Fluorine Fermi" pada Agustus 2022, ukuran cincin dipatok tetap di angka 16, artinya setiap pembelanjaan bersembunyi di antara 15 umpan. Pengamat dari luar hanya melihat 16 output kandidat dan tidak bisa menentukan mana satu yang benar-benar dibelanjakan.

Tantangannya adalah menandatangani dengan cara yang membuktikan "saya mengendalikan kunci privat untuk salah satu dari 16 output ini" tanpa membocorkan yang mana. Tanda tangan cincin melakukan persis itu. Triknya adalah membangun sebuah lingkaran tantangan kriptografi yang hanya akan menutup (closed loop) jika penanda tangan benar-benar tahu satu kunci privat yang asli, sementara setiap mata rantainya tampak identik dari luar.

Key image dan perlindungan pembelanjaan ganda

Bahaya dari pengirim yang tersembunyi adalah pembelanjaan ganda (double-spending): kalau tidak ada yang bisa melihat output mana yang Anda belanjakan, apa yang mencegah Anda membelanjakannya lagi? Jawabannya adalah key image. Setiap output punya tepat satu key image yang valid, dihitung dari kunci privat yang dikalikan dengan hasil hash-to-point dari kunci publik. Nilai ini terikat secara matematis pada output tersebut, tetapi tidak membocorkan apa pun tentang anggota cincin mana yang menghasilkannya.

Setiap key image yang pernah dipakai dicatat langsung di blockchain. Saat sebuah transaksi baru tiba, node memeriksa apakah key image-nya sudah pernah muncul sebelumnya. Kalau sudah, transaksi ditolak karena dianggap pembelanjaan ganda. Inilah yang membuat model pengirim-tersembunyi Monero tetap aman — yaitu sifat keterhubungan (linkability) yang diwakili huruf "L" pada CLSAG.

Bagaimana agregasi memperkecil tanda tangan

Di sinilah jantung dari mengapa CLSAG disebut "concise" alias ringkas. Dalam sebuah transaksi RingCT, setiap anggota cincin dikaitkan dengan dua kunci publik: kunci output sekali-pakai (one-time key, untuk membuktikan kepemilikan) dan komitmen nominal (amount commitment, untuk membuktikan nilai input dan output seimbang). Skema sebelumnya, MLSAG, menandatangani kedua kunci itu secara terpisah, sehingga menghasilkan dua skalar respons untuk setiap anggota cincin.

CLSAG meleburnya menjadi satu cincin tunggal. Ia memakai koefisien agregasi — yang diturunkan secara deterministik dengan cara meng-hash cincin beserta komitmennya — untuk melipat kedua kunci tadi ke dalam satu persamaan verifikasi gabungan. Hasilnya: satu skalar respons per anggota cincin, bukan dua, ditambah satu tantangan awal dan satu key image.

Untuk cincin berisi 11 anggota, MLSAG membutuhkan sekitar 22 skalar respons per input; CLSAG hanya butuh kira-kira 12. Perubahan tunggal itulah yang memangkas ukuran transaksi dua-input biasa hingga sekitar seperempatnya.

Yang paling penting, bukti keamanan menunjukkan bahwa agregasi ini tidak melemahkan apa pun. CLSAG tetap tak bisa dipalsukan (unforgeable) dan tetap anonim di bawah asumsi yang sama seperti sebelumnya, bahkan terhadap lawan yang bisa memilih sebagian kunci di dalam cincin. Anda mendapat tanda tangan yang lebih kecil dan lebih cepat tanpa harus mengorbankan privasi atau keamanan — sebuah kemenangan bersih yang jarang terjadi dalam dunia kriptografi.

CLSAG vs MLSAG: Apa yang Berubah

MLSAG (Multilayered Linkable Spontaneous Anonymous Group signatures) menjadi tenaga penggerak RingCT sejak peluncurannya pada Januari 2017 sampai hard fork 2020. CLSAG adalah pengganti langsung yang bersifat drop-in — mempertahankan model kepercayaan yang sama sambil memangkas "lemak" yang berlebih. Tabel di bawah merangkum perbedaan praktisnya.

Tanda tangan yang lebih kecil bukan sekadar soal estetika. Bobot transaksi yang lebih ringan berarti biaya (fee) yang lebih murah, pembengkakan blockchain yang lebih sedikit, dan waktu sinkronisasi node yang lebih cepat. Karena setiap transaksi Monero terlihat sama secara struktur, penghematan itu berlipat ganda di seluruh jaringan dan memperkuat fungibilitas — tidak ada satu transaksi pun yang menonjol sebagai lebih murah atau lebih mahal berdasarkan riwayatnya.

Bagaimana CLSAG Menyatu dalam Sebuah Transaksi Monero

CLSAG tidak pernah bekerja sendirian. Ia hanya satu komponen dari transaksi RingCT, berdampingan dengan alamat siluman (stealth address), komitmen nominal, dan bukti rentang (range proof). Berikut adalah siklus hidup yang disederhanakan dari sebuah pembelanjaan, dari momen dompet Anda memutuskan mengirim sampai momen sebuah node menerimanya.

1. Memilih umpan: dompet memilih 15 output umpan dari rantai menggunakan distribusi gamma yang meniru pola pembelanjaan nyata, lalu menambahkan output asli Anda sehingga terbentuk cincin berisi 16.
2. Membangun komitmen: nominal input dan output disembunyikan di balik komitmen Pedersen, dan sebuah komitmen pseudo-output dibuat agar verifikator bisa memastikan total input sama dengan total output tanpa pernah melihat angkanya.
3. Menghitung key image: dompet menurunkan key image untuk output yang akan dibelanjakan, yang nantinya akan diperiksa jaringan terhadap kumpulan key image yang sudah terpakai.
4. Menandatangani dengan CLSAG: dompet menghasilkan satu tanda tangan cincin teragregasi atas cincin kunci sekali-pakai dan kunci komitmen, menutup lingkaran kriptografi semata-mata karena ia memegang satu kunci privat yang asli.
5. Melampirkan bukti rentang: Bulletproofs+ membuktikan setiap nominal output berada dalam rentang yang valid, sehingga tidak ada yang bisa menciptakan koin dari ketiadaan lewat output bernilai negatif.
6. Menyiarkan dan memverifikasi: transaksi disebarkan lewat Dandelion++ untuk mengaburkan IP asalnya, lalu node memverifikasi tanda tangan CLSAG, komitmen, bukti rentang, serta keunikan key image sebelum meneruskannya.

Tips: Anda tidak pernah mengatur satu pun hal ini secara manual. Ukuran cincin, pemilihan umpan, dan skema tanda tangan semuanya dipaksakan oleh konsensus, jadi dua dompet pada versi jaringan yang sama akan menghasilkan transaksi yang tak bisa dibedakan.

Contoh Nyata

Bayangkan Anda menukar 0,5 BTC menjadi XMR lewat MoneroSwapper, lalu mengirim sebagian Monero itu ke sebuah dompet perangkat keras (hardware wallet). Begitu Anda menekan tombol kirim, dompet Anda langsung merakit cincin berisi 16 output. Output asli Anda ada di dalamnya, tetapi begitu pula 15 output tak terkait milik pengguna lain yang tidak pernah setuju ikut serta dan tidak akan pernah tahu bahwa mereka diikutsertakan.

Tanda tangan CLSAG yang dihasilkan dompet Anda membuktikan kepada setiap node di seluruh dunia bahwa Anda memang sah mengendalikan salah satu dari 16 output itu — tanpa menyebutkan yang mana. Sebuah bursa (exchange) yang memantau rantai, sebuah firma analitik blockchain, atau seorang pengamat yang penasaran hanya akan melihat satu transaksi sah dengan 16 sumber yang sama-sama masuk akal. Tidak ada heuristik yang bisa secara andal menebak mana yang asli — dan justru itulah intinya.

Bandingkan dengan rantai transparan seperti Bitcoin, di mana input persis yang dibelanjakan bersifat publik. Di Bitcoin, 0,5 BTC tadi membawa riwayat permanen yang bisa dilacak. Di Monero, CLSAG memutus tautan itu di setiap langkah perpindahan — itulah alasan utama mengapa pengguna yang peduli privasi memilih menyalurkan nilai lewat Monero.

Konteks bagi Pengguna di Indonesia

Bagi pembaca di Indonesia, pemahaman teknis ini punya bobot tersendiri. Sejak Januari 2025, pengawasan aset kripto resmi berpindah dari Bappebti ke Otoritas Jasa Keuangan (OJK), dan kepatuhan terhadap aturan anti pencucian uang (AML) serta KYC semakin diperketat di bursa-bursa lokal. Sejumlah platform di berbagai negara, termasuk di kawasan Asia, sudah menghapus pencatatan (delisting) koin privasi demi memenuhi tekanan regulator.

Tren itu membuat sebagian orang keliru menyimpulkan bahwa privasi sama dengan ilegalitas. Padahal CLSAG menunjukkan hal sebaliknya: privasi finansial adalah properti rekayasa kriptografi yang dirancang teliti, bukan celah hukum. Memahami cara kerjanya membantu Anda menjelaskan, baik kepada diri sendiri maupun kepada pihak lain, bahwa kerahasiaan transaksi Monero dibangun di atas matematika yang terbuka dan teraudit — bukan trik gelap.

Jalan ke Depan: FCMP++ dan Seraphis

CLSAG memang sangat baik, tetapi ia punya batas struktural: kumpulan anonimitas (anonymity set) dibatasi oleh ukuran cincin. Dengan 16 anggota, pembelanjaan asli Anda bersembunyi di antara 15 umpan — kuat, tetapi tetap terbatas. Komunitas riset Monero sudah bertahun-tahun membangun sesuatu yang jauh lebih besar.

FCMP++ (Full-Chain Membership Proofs) adalah penerus yang direncanakan. Alih-alih bersembunyi di antara 16 output, FCMP++ membuktikan keanggotaan terhadap setiap output yang pernah ada di rantai — sebuah kumpulan anonimitas dalam skala puluhan juta, bukan sekadar 16. Pengembangan dan auditnya berjalan mantap sepanjang 2025, dengan target peluncuran pada hard fork mendatang. Begitu ia aktif, tanda tangan cincin seperti yang kita kenal sekarang, termasuk CLSAG, akan dipensiunkan.

Berdampingan dengan FCMP++ terdapat protokol transaksi Seraphis dan skema pengalamatan Jamtis, yang bersama-sama memodernkan cara output Monero dibentuk dan dialamatkan. Pesan yang perlu ditangkap bukanlah bahwa CLSAG sudah usang — ia mengamankan jaringan saat ini dan masih akan begitu untuk beberapa waktu ke depan — melainkan bahwa Monero tidak pernah berhenti menyempurnakan jaminan privasinya. CLSAG sendiri dulunya adalah penerus MLSAG, dan siklus ini terus berlanjut.

Tanya Jawab (FAQ)

Apa kepanjangan dari CLSAG?

CLSAG adalah singkatan dari Concise Linkable Spontaneous Anonymous Group signatures. Setiap kata menggambarkan satu sifat: tanda tangannya ringkas, pembelanjaan ganda bisa dideteksi, tidak diperlukan koordinasi antaranggota cincin, penanda tangan asli tersembunyi, dan bukti dibuat atas nama sebuah kelompok alih-alih satu kunci yang bisa diidentifikasi.

Kapan Monero mulai memakai CLSAG?

CLSAG diaktifkan di mainnet Monero pada hard fork "Oxygen Orion", tanggal 17 Oktober 2020, di ketinggian blok 2.210.720. Ia menggantikan MLSAG, yang sudah mengamankan transaksi RingCT sejak Januari 2017.

Seberapa kecil CLSAG membuat transaksi Monero?

Transaksi dua-input yang umum menyusut sekitar 25%, dan verifikasinya menjadi kira-kira 10–20% lebih cepat. Penghematan itu berasal dari agregasi dua skalar respons per anggota cincin menjadi satu, yang sekaligus mengurangi data yang tersimpan di rantai maupun beban kerja node saat memverifikasinya.

Apakah CLSAG melemahkan privasi atau keamanan Monero?

Tidak. CLSAG memberikan ambiguitas pengirim dan perlindungan pembelanjaan ganda yang sama seperti MLSAG. Keamanannya sudah dibuktikan secara formal dan diaudit secara independen, termasuk ketahanannya terhadap serangan di mana lawan mengendalikan sebagian kunci di dalam cincin. Ia murni versi yang lebih efisien dari jaminan yang sama.

Apakah CLSAG akan digantikan?

Pada akhirnya, ya. Pembaruan FCMP++ (Full-Chain Membership Proofs) dirancang untuk menggantikan tanda tangan cincin sepenuhnya, memperluas kumpulan anonimitas dari 16 anggota cincin menjadi seluruh blockchain. Pembaruan ini berada dalam pengembangan dan audit aktif sepanjang 2025, menargetkan hard fork mendatang, tetapi CLSAG-lah yang mengamankan jaringan hingga saat itu tiba.

Kesimpulan

CLSAG adalah salah satu pembaruan yang membuktikan bahwa kriptografi yang baik bisa sekaligus tak terlihat dan berdampak besar. Ia membuat setiap transaksi Monero lebih kecil, lebih murah, dan lebih cepat diverifikasi sambil tetap menjaga privasi pengirim serta perlindungan pembelanjaan ganda yang menjadi ciri khas koin ini — semua tanpa pengguna perlu menggerakkan satu jari pun. Memahaminya menghilangkan misteri tentang apa arti "tak terlacak" sebenarnya: bukan sihir, melainkan tanda tangan cincin yang dirakit dengan cermat dan dilengkapi key image.

Kalau Anda ingin benar-benar memanfaatkan privasi itu, jalan termudah adalah memperoleh Monero tanpa harus menyerahkan identitas Anda sejak awal. Anda bisa membeli Monero secara anonim lewat MoneroSwapper tanpa akun dan tanpa KYC, dan setiap output yang Anda terima akan dilindungi oleh tanda tangan CLSAG yang sama seperti yang dijelaskan di sini begitu Anda membelanjakannya.