Ring Signatures ng Monero: Paano Itinatago ng XMR ang Sender
Ring Signatures ng Monero: Paano Lubusang Itinatago ng XMR ang Sender
Kapag pumirma ka ng Bitcoin transaction, nakikita ng buong network ang address mo, ang kasaysayan ng iyong balanse, at ang eksaktong UTXO na ginastos mo. Kapag pumirma ka naman ng Monero transaction sa 2026, ang nakikita ng network ay isang singsing ng labing-anim na posibleng pumirma — at hindi ito mathematically mapatutunayan kung sino ang totoong nagpadala sa kanila. Ang ganitong desisyon sa disenyo, na pinabuti ng mahigit isang dekadang cryptographic research mula sa CryptoNote whitepaper ng 2014 hanggang sa kasalukuyang CLSAG ring signatures, ang dahilan kung bakit ang Monero ang nag-iisang malaking Layer-1 cryptocurrency na may mandatoryong privacy sa antas ng protocol.
Sa gabay na ito, ipapaliwanag natin kung paano talaga gumagana ang ring signatures, bakit mahalaga ang hard fork noong Agosto 2022, ano ang magbabago kapag na-activate na ang FCMP++, at paano awtomatikong namamana ng bawat swap na ginagawa mo sa MoneroSwapper ang mga garantiyang ito. Hindi kailangang may degree ka sa cryptography — pero asahan mong may konkretong math dito, hindi puro paliguy-ligoy lang.
Bakit Nasa Puso ng Privacy ng Monero ang Ring Signatures
Bawat pampublikong blockchain ay sumasagot sa parehong problema sa accounting: patunayan na may umiiral na coin, patunayan na may-ari ito ng sender, at pigilan na magasta ito ng dalawang beses. Sa Bitcoin, nalulutas ito gamit ang transparent na inputs at isang UTXO set na ma-audit ng kahit sino. Sa Monero, nalulutas ito sa pamamagitan ng tatlong magkakapatong na teknik — ring signatures, stealth addresses, at RingCT — at ang ring signatures ang layer na nagtatago sa sender.
Kung walang sender obfuscation, kahit pa naka-encrypt nang buo ang amounts, lumalabas pa rin ang metadata. Ang mga chain-surveillance firms gaya ng Chainalysis at CipherTrace ay binuo ang kanilang halaga sa katotohanang plaintext ang sender field ng Bitcoin. Buong-buong sinisira ng ring signatures ng Monero ang surface na ito. Ang bawat transaction input ay nilalagdaan hindi ng isang key kundi ng isang set, at ang verifier ang nagpapatunay lang na *may isang tao* sa set na nag-awtorisa ng pagastos.
- Sender ambiguity: Ang totoong gumastos ay computationally hindi makikilala sa labinlimang decoys na kinuha mula sa mga nakaraang outputs ng chain.
- Walang trusted setup: Hindi gaya ng zk-SNARK schemes na umaasa sa ceremonial parameter generation, ang ring signatures ay umaasa lamang sa standard elliptic-curve assumptions sa Curve25519.
- Mandatory, hindi optional: Bawat Monero transaction mula nang ilunsad ito noong 2014 ay may dalang ring signature. Walang "transparent mode" na maaasahan ng surveillance firms para sa baseline analysis.
- Fungibility sa pamamagitan ng construction: Dahil hindi mapag-aralang aabot pabalik sa sender ang outputs, walang coin na puwedeng ma-tag, ma-blacklist, o tanggihan ng exchange dahil sa nakaraang kasaysayan nito.
Ang huling puntong iyon ang pinakapinaglalabanan ng mga regulators sa EU at South Korea simula nang mga 2024 delisting waves: hindi mo maipapatupad ang travel-rule heuristics sa isang protocol na tumatanggi ipakita kung sino ang nagpadala ng ano sa kanino. Ang ring signatures ang teknikal na dahilan kung bakit nakaligtas ang Monero habang naglaho sa kawalan ang mga transparent na privacy coins gaya ng Verge o Beam.
Paano Talaga Gumagana ang Ring Signature ng Monero
Puwede mong laktawan ang seksyong ito kung kailangan mo lang ng mental model — pero kung gusto mong intindihin kung bakit matibay ang math, mas eleganteng konstruksyon ito kaysa karaniwang ipinapaliwanag. Ang kasalukuyang scheme, CLSAG, ang pumalit sa lumang MLSAG algorithm noong hard fork ng Agosto 13, 2022 at pinaliit ang signature size ng halos 25% habang pinananatili ang parehong security guarantees.
Ang Pangunahing Ideya: Paglagda Para sa Isang Grupo
Pinatutunayan ng tradisyonal na digital signature ang "Ako, may hawak ng private key x, ang nag-awtorisa ng transaksyong ito." Pinatutunayan naman ng ring signature ang "isa sa mga may-ari ng private keys x₁, x₂, …, x₁₆ ang nag-awtorisa ng transaksyong ito, at hindi mo malalaman kung sino." Tinitignan lang ng verifier ang isang equation na masasara lamang kung alam ng prover ang kahit isang private key sa set, pero hindi sinasabi ng equation kung aling key ang ginamit.
Sa implementation ng Monero, ang "ring" ay binubuo sa oras ng paggawa ng transaksyon ng wallet ng sender. Pumipili ang wallet ng totoong spend output kasama ang labinlimang decoy outputs mula sa mga nakaraang block, binibigyang-timbang ang mga ito gamit ang gamma distribution na tumutugma sa makatotohanang edad ng pagastos ng XMR (mas malaki ang tsansa na magastos ang mas bagong outputs), at pinagsasama ang mga ito sa signature.
Key Images: Pinipigilan ang Double-Spending Nang Hindi Inilalantad ang Spender
Ang halatang tutol: kung hindi alam ng network kung aling output ang totoong ginastos, ano ang pumipigil sa isang tao na gastusin ang parehong coin nang dalawang beses sa dalawang magkaibang singsing? Ang sagot ay ang key image — isang deterministikong hash na nagmumula sa totoong private key na natatangi sa partikular na output na iyon. Bawat transaksyon ay naglalathala ng key image nito katabi ng ring signature. Pinapanatili ng mga node ang isang set ng mga nakitang key images, at agad-agad na tinatanggihan ang anumang duplicate.
Mahalagang banggitin, ang key image ay isang one-way function. Ang pagkakaalam dito ay walang sinasabi tungkol sa pinagbabatayang private key o kung aling output sa ring ang ginastos. Pinahihintulutan lamang nito ang network na makilala ang isang repeat. Ito ang cryptographic primitive na nagpapahintulot sa Monero na mag-alok ng parehong unlinkability *at* tamang monetary accounting sa loob ng iisang sobre.
Decoy Selection: Kung Saan Dating Nakatago ang Karamihan ng Privacy Leaks
Sa mga unang araw ng Monero (2014–2017), pinayagan ang mga user na pumili ng ring sizes nang manu-mano, na lumikha ng isang halatang problema: kung sinuman ang gumamit ng ring size 1 (siya mismo lang) ay madaling matunton, at kahit ang maliliit na rings ay maaaring atakihin gamit ang istatistika. Ngayon, ipinag-uutos ng protocol ang ring size na eksaktong 16 para sa bawat transaksyon mula nang hard fork ng Oktubre 2022. Ang pagkakapareho mismo ay isang katangian ng privacy — kapag pareho ang hitsura ng bawat transaksyon, ang anonymity set ay ang buong chain mismo.
Ang decoy selection ay sumusunod sa isang gamma distribution na nakakalibrate batay sa totoong pattern ng pagastos sa XMR. Kung purong-random ang pagpili, magiging over-represented ang mga bagong outputs (lumilitaw sila sa maraming singsing bago pa magastos) at under-represented naman ang mga lumang outputs, na nagbibigay sa mga statistical adversaries ng puntong makakapitan. Tinatantya ng gamma model kung paano talagang gumagalaw ng coins ang mga tao at exchanges, kaya natural na nasasanib ang totoong gastos sa nakapalibot na ingay ng chain.
CLSAG, Bulletproofs+, at ang Ebolusyon Mula 2014
Hindi pirmihang disenyo ang ring signatures sa Monero. Bawat malaking hard fork mula 2017 ay nagpaigting ng cryptography, nagpaliit ng signature size, o pareho. Tumutulong ang pag-unawa sa timeline para ipaliwanag kung bakit luma na sa 2026 ang on-chain forensics na "umubra" noong 2018.
| Panahon | Scheme | Taon | Mahalagang pagbabago |
|---|---|---|---|
| Genesis | CryptoNote / LSAG | 2014 | Orihinal na ring signatures, opsiyonal ang ring size. |
| RingCT | MLSAG + Pedersen commits | Ene 2017 | Itinatago rin ang halaga, hindi lang sender. |
| Bulletproofs | MLSAG + Bulletproofs | Okt 2018 | Lumiit ng ~80% ang range proofs, bumaba ang fees. |
| Fixed ring 11 | MLSAG | Mar 2019 | Mandatoryong ring size laban sa fingerprinting. |
| CLSAG | CLSAG + Bulletproofs | Ago 2022 | ~25% mas maliit, mas mabilis ang verification. |
| Bulletproofs+ | CLSAG + Bulletproofs+ | Ago 2022 | ~5–7% pang dagdag na pagliit ng laki. |
| Ring 16 | CLSAG | Ago 2022 | Mas malaking anonymity set bawat input. |
| FCMP++ (binabalak) | Full-Chain Membership Proofs | 2026 | Anonymity set = buong chain, ~100M+ outputs. |
Ang pinakakaaalam na upgrade na paparating ay ang FCMP++ (Full-Chain Membership Proofs Plus Plus), na naka-target na ma-activate sa huling bahagi ng 2026. Sa halip na pumili ng 15 decoys mula sa buong chain, ang bawat transaksyon ay magpapatunay ng membership sa *buong* set ng mga makasaysayang outputs. Tumataas ang anonymity set mula 16 papunta sa halos 100 milyon, na may compact na cryptographic argument na puwedeng i-verify sa loob ng millisecond.
Kung iisipin mo ang kasalukuyang ring signatures bilang pagtatago ng karayom sa isang dayami na may 16 na piraso, pinapalitan ng FCMP++ ang dayami ng buong bukirin ng trigo — at kayang patunayan pa rin ng verifier na nandoon nga ang karayom.
Ito ang dahilan kung bakit inilalarawan ng mga developer ng Monero ang nalalapit na Seraphis/Jamtis architecture bilang generational upgrade kaysa incremental patch lang. Hindi lang nito pinapalaki ang umiiral na privacy envelope; tinatanggal mismo ang konsepto ng "ring" bilang finite at mapipiling set.
Hakbang-Hakbang: Ano ang Nangyayari Kapag Nagpadala Ka ng 0.5 XMR
Subaybayan natin ang isang konkretong transaksyon. Binubuksan mo ang Feather Wallet o Cake Wallet, kinokopya ang recipient address, ini-type ang 0.5 XMR, at pinindot ang send. Sa loob, sunod-sunod na isinasakatuparan ang sumusunod — karamihan dito ay sa loob lang ng dalawang segundo sa isang mid-range na laptop.
- Output selection: Tinutukoy ng iyong wallet kung alin sa mga unspent outputs mo ang sasaklaw sa 0.5 XMR plus ang fee. Sabihin nang pinili nito ang isang output na nagkakahalaga ng 0.7 XMR.
- Decoy fetch: Itinatanong ng wallet sa isang node (sa iyo o sa remote) ang labinlimang katanggap-tanggap na decoy outputs mula sa isang gamma-weighted distribution sa buong kasaysayan ng chain.
- Ring construction: Hinahalo ang iyong totoong output sa singsing na may labing-anim. Random ang pagkakasunod kaya walang anumang lumalabas mula sa posisyon mismo.
- Stealth address generation: Ang pampublikong address ng tatanggap ay nako-convert sa isang one-time stealth output na ang view key lamang nila ang makakakita. Hindi kailanman lumalabas sa chain ang ipinaskil na address ng tatanggap.
- Pedersen commitments: Ang mga halaga (0.5 sent, 0.199 change, ~0.001 fee) ay na-encrypt sa Pedersen commitments. Pinatutunayan ng range proofs (Bulletproofs+) na non-negative ang bawat isa nang hindi inilalantad ang halaga.
- CLSAG signing: Ang iyong wallet ay gumagawa ng iisang CLSAG signature na sabay na nagpapatunay ng ring membership at nagbabahagi sa key image. Ito ang cryptographic na puso ng transaksyon.
- Broadcast sa pamamagitan ng Dandelion++: Pumapasok ang nakapirmang transaksyon sa mempool sa pamamagitan ng Dandelion++ stem-then-fluff propagation scheme, na nagtatago ng IP ng pinanggalingang node.
- Confirmation: Pagkatapos ng halos dalawang minuto, nakukuha ang transaksyon sa isang block. Sampung confirmations (~20 minuto) ang karaniwang threshold ng finality na ginagamit ng karamihan ng mga exchanges at merchants.
Mula sa pananaw ng nakakakita, ang nakikita lang sa chain ay: labing-anim na ring members (isang totoo, labinlimang decoys), isang key image (nagpapatunay na walang double-spend), dalawang stealth output destinations (ang sa iyo para sa change, ang sa kanila para sa bayad), at dalawang Pedersen commitments. Cryptographically nakatago ang halaga, ang sender, at ang recipient.
Ring Signatures sa Praktika: Isang MoneroSwapper Swap
Isang bagay ang teorya. Ibang bagay naman ang panoorin ang privacy guarantees na manatili sa isang totoong exchange. Kapag nagsa-swap ka ng Bitcoin papuntang Monero gamit ang MoneroSwapper, transparent nang buo ang BTC leg ng kalakalan sa Bitcoin chain — hindi maiiwasan iyon, dahil walang native privacy ang Bitcoin. Pero sa sandaling maging XMR ang pondong iyon, sumasakop na ang ring signatures.
Halimbawa, isang OFW sa Dubai noong 2026 ang tumatanggap ng BTC mula sa kanyang kliyenteng nasa Estados Unidos. Para mapaabot ang remittance sa kanyang pamilya sa Pilipinas nang hindi dumadaan sa nakakapasok-pasok na BSP travel rule monitoring sa malalaking BTC inflows, ipinapadala niya ang BTC sa isang MoneroSwapper deposit address at tumatanggap ng XMR sa kanyang Cake Wallet stealth address. Mula sa puntong iyon, ang chain-analysis vendor na tumitingin sa XMR balance ay ring-signature-protected outputs lang ang nakikita. Walang link sa pagitan ng BTC leg at ng mga sumusunod na Monero payments na ginagawa niya — walang nasalo na address, walang clustering, walang input-output graph gaya ng inaasahan sa Bitcoin analytics.
Ito ang dahilan kung bakit ang mga no-KYC exchanges na dumadaan sa Monero ay naging standard na rekomendasyon para sa mga manggagawa sa ibang bansa, mga peryodista, at maliliit na negosyo sa mga heograpiyang may agresibong financial surveillance — kasama na ang Pilipinas, kung saan tumindi ang BSP scrutiny sa mga virtual asset service providers mula pa 2023. Hindi inilalagay ang privacy sa exchange layer; mathematically gigarantiya na ito ng pinagbabatayang protocol, sa sandaling pumasok ang pondo sa panig ng XMR.
FAQ
Paano naiiba ang ring signature sa regular na digital signature?
Pinatutunayan ng regular na signature na isang partikular na private key ang nag-awtorisa ng mensahe — nalalaman ng verifier nang eksakto kung sino ang pumirma. Pinatutunayan ng ring signature na *isa sa N* na private keys ang nag-awtorisa ng mensahe, nang hindi inilalantad kung sino. Sa Monero, kasalukuyang 16 ang N, ibig sabihin ang bawat transaction input ay nilalagdaan ng isang hindi-makikilalang set ng labing-anim na posibleng spender.
Kayang ma-de-anonymize ba ng chain analysis ang isang Monero ring signature?
Nagtagumpay ang mga statistical attacks laban sa mga unang Monero (bago 2017) noong maliliit pa o napipili ang ring sizes. Mula nang ipatupad ng hard fork noong Agosto 2022 ang ring size na 16 kasama ang gamma-weighted decoy selection, walang peer-reviewed paper na nagpakita ng matibay na de-anonymization sa antas ng protocol. Ang mga operational mistakes — pag-reuse ng addresses sa labas ng Monero, paglabas ng metadata sa exchanges, o timing correlations — ang totoong attack surface na natitira.
Bakit naka-cap sa 16 lang ang ring size at hindi mas mataas pa?
Ang signature size at verification cost ay tumataas kasama ng ring size, at ang mas malalaking rings ay nag-uutos sa bawat node na mag-store, mag-sync, at mag-validate ng mas maraming data. Sixteen ang kasalukuyang sweet spot sa pagitan ng laki ng anonymity-set at chain bloat. Ang darating na FCMP++ upgrade ang lubos na lulutas sa trade-off na ito sa pamamagitan ng pagpapalit ng ring ng isang maikli at sapat na full-chain membership proof, na nagpapalawak ng epektibong anonymity set sa bawat output na nalikha kailanman.
Ano ang key image, sa simpleng salita?
Ang key image ay isang natatanging fingerprint na nagmumula sa totoong private key na ginagastos. Bawat transaksyon ay naglalathala ng isa. Sinusubaybayan ng mga node ang lahat ng key images na nakita nila at tinatanggihan ang anumang inuulit, na siyang paraan kung paano pinipigilan ng Monero ang double-spending. Mahalagang banggitin, hindi maaaring i-reverse ang key image para makilala ang private key o ang partikular na output na pinagmulan nito — nagpapatunay lang ito ng duplicate.
Quantum-resistant ba ang ring signatures ng Monero?
Hindi pa. Ang kasalukuyang CLSAG ring signatures ay umaasa sa discrete logarithm problem sa Curve25519, na puwedeng masira ng isang sapat na malaking quantum computer gamit ang Shor's algorithm. Sinusubaybayan ng Monero Research Lab ang mga post-quantum candidates (lattice-based at hash-based schemes), at idinisenyo ang Seraphis na may pasok-pasok sa quantum-resistant migration paths sa hinaharap. Walang production quantum threat na umiiral sa 2026, pero kinikilala ng roadmap ang pangmatagalang alala.
Nagbabago ba ang paggana ng ring signatures kung gumagamit ako ng hardware wallet?
Hindi. Ang Trezor Safe 3 at Ledger devices na sumusuporta sa Monero ay nagpoproseso ng parehong CLSAG signing operation gaya ng software wallet, sa loob lang ng kanilang secure element. Ang ring construction, decoy selection, at key image generation ay magkakatulad ang pangyayari. Ang halaga ng hardware wallet ay ang pagpapanatiling offline ng iyong spend key, hindi ang pagbabago ng cryptographic protocol.
Konklusyon
Hindi feature na ipinapagmalaki ng Monero sa marketing copy ang ring signatures — sila ang load-bearing wall na pundasyon ng buong protocol. Mula sa orihinal na CryptoNote design noong 2014, papunta sa MLSAG at Bulletproofs, hanggang sa kasalukuyang CLSAG na may mandatoryong ring size 16, at patuloy papunta sa FCMP++ sa huling bahagi ng 2026, lahat ng pagpapahusay ay nagpaigting ng parehong pangunahing pangako: ang sender ng isang XMR transaction ay hindi puwedeng makilala ng sinumang nakatingin sa chain.
Iyon ang garantiyang nagpapagamit ng Monero bilang totoong cash sa internet, at iyon ang minamana ng bawat swap na dumadaan sa MoneroSwapper sa sandaling sumayad ang pondo sa XMR side. Kung gusto mong subukan ang teorya sa praktika, simple lang ang susunod na hakbang — mag-set up ng wallet na sumusuporta sa CLSAG (Feather, Cake, o Monero GUI ay lahat puwede), pagkatapos ay magpadaan ng maliit na swap sa isang no-KYC exchange at obserbahan kung gaano kaunti lang ang inilalantad ng iyong transaksyon sa chain. Math na ang bahala sa natitira.
🌍 Basahin sa