Hur CLSAG kommer att förbättra Moneros effektivitet

Som protokoll befinner sig Monero för närvarande i ett konstant tillstånd av innovation. Genom att använda forskning inom både on-chain- och off-chain-lösningar letar Monero-gemenskapen efter områden att förbättra för att göra Monero mer privat, mer skalbar och mer tillgänglig för alla. En av de senaste innovationerna är ersättningen av det länkbara ringsignaturschemat MLSAG med en drop-in-ersättning CLSAG, som står för Concise Linkable Spontaneous Anonymous Group.

På ytnivå kommer implementeringen av CLSAG att minska de vanligaste 2 input, 2 output-transaktionerna med 25%. Vi kommer också att se en minskning av verifieringstiden med 10 %.

Men vad är egentligen CLSAG? Vad gör den och hur skiljer den sig från den gamla versionen, MLSAG? Låt oss ta en minut och påminna oss själva om varför och hur ringsignaturer fungerar så att vi bättre kan förstå detta koncept. Ringsignaturer möjliggör icke-interaktiva ingångar som inte kan särskiljas av vittnen med hjälp av anonymitetsuppsättningar från tidigare utgångar som valts av undertecknaren. Enkelt uttryckt innebär det att en användare kan dölja sina utdata som används i en transaktion tillsammans med orelaterade utdata, och de kan göra allt detta utan att någon annan behöver delta. Allt du behöver är en kopia av blockchain. Var och en av dessa utgångar verkar oftast vara lika sannolik att vara den faktiska som skickas, och döljer därmed metadata om avsändaren.

Detta medför dock ett litet problem. Vad händer om en användare konstruerar en ringsignatur med alla falska utgångar? Hur skulle någon kunna veta att den okände avsändaren inte har rätt att skicka någon av dem? Skulle den här användaren kunna spendera falska pengar? Svaret är nej. Ringsignaturen innehåller en metod för att bevisa att minst en av utgångarna ägs av den okände avsändaren, utan att avslöja vilken det är. Faktum är att både CLSAG och MLSAG (hädanefter kända som SAG) är den del av ringsignaturen som bevisar detta. Intressant nog bevisar den samtidigt att transaktionsbeloppet, även om det är dolt bakom konfidentiella transaktioner (RingCT), balanserar. Att SAGs bevisar två saker, att en utgång ägs av någon i ringen, och att transaktionen balanserar, är viktigt och faktiskt där besparingarna i storlek och verifiering ligger. Om det här börjar bli förvirrande, oroa dig inte, vi kommer snart till en rolig och lättförståelig analogi.

Det gamla signaturschemat MLSAG (Multilayered Linkable Spontaneous Anonymous Group) bevisar de två ovannämnda sakerna i en ringsignatur, men det gör varje sak separat. Användningen av separata beräkningar för signerings- och åtagandenycklar innebär långsammare operationer. En modern dator kan göra dessa beräkningar på några millisekunder, vilket inte verkar vara mycket, och för en transaktion är det faktiskt inte det. Men när vi tänker på det stora antalet transaktioner i Moneros blockkedja, och att en nod som synkroniserar från grunden måste ladda ner och verifiera var och en av dem, börjar bytes och millisekunder snabbt att staplas upp.

CLSAG kombinerar den matematik som krävs för att bevisa båda till en, samt beräknar båda på en gång, och den gör det på ett säkert sätt. Vad betyder detta på ett säkert sätt? För att reda ut detta, och förhoppningsvis göra det hela mer begripligt, ska vi utforska den utlovade roliga analogin.

Låt oss säga att du behöver gå till både livsmedelsbutiken och järnhandeln för att köpa två olika saker: mat och giftiga rengöringskemikalier. Du vill inte att de ska blandas, för om det sker en olycka kommer kemikalierna att spillas på maten och göra den oätlig. Du bestämmer dig för att vara supersäker och kör från ditt hus till mataffären, köper maten och kör sedan tillbaka till ditt hus. Först när du har lastat av maten sätter du dig i bilen igen, kör till järnaffären och tillbaka till ditt hus med kemikalierna. Du har gjort två separata resor för att säkerställa att alla inköp är säkra. Även om det verkligen är säkert är det ineffektivt. Detta representerar MLSAG, där två olika uppsättningar matematik lagras och två olika "resor" görs för att beräkna dem.

Men du bestämmer dig för att du vill ha ett snabbare sätt att göra det på. Det är för mycket bortkastad tid. Visst, att göra det en eller två gånger kommer inte att stjäla ditt liv, men att behöva göra det om och om igen, timmarna börjar lägga upp. Du börjar undra om du kan göra en resa istället. Från ditt hus, till mataffären, till järnaffären och tillbaka hem. Du kan inte bara slänga in allt i bilen på måfå. Det är inte säkert. Istället anger du olika platser i bilen för olika saker, och ser till att allt passar snyggt på sin plats. På så sätt kan du på ett säkert sätt göra en resa till båda butikerna och hålla sakerna borta från varandra. Detta representerar CLSAG. Det finns nu bara en uppsättning matematik lagrad i denna transaktion för att bevisa dessa två saker, och det görs på ett sådant sätt att de inte stör varandra. En resa måste fortfarande göras, men du har minskat antalet ganska drastiskt.

Allt detta låter ganska spännande. Är det möjligt att vi kan hitta andra genvägar, eller andra sätt att spara tid och utrymme? Svaret är både ja och nej. Enligt nuvarande MRL-forskare är det sannolikt inte möjligt att ytterligare modifiera konstruktionerna av SAG-typ för bättre storlek eller hastighet, men andra konstruktioner som Arcturus, Omniring, RCT3 eller Triptych ger mycket bättre storleksskalning och verifieringsfördelar med hjälp av andra matematiska metoder. Var och en av dessa "nästa generations" metoder för entydiga undertecknarprotokoll har dock sina egna kompromisser i implementeringsdetaljer och genomgår aktiv forskning och utredning.

Monero är trots allt alltid nyskapande.