CLSAG がモネロの効率を改善する方法

プロトコルとして、Monero は現在、絶え間ない革新の状態にあります。オンチェーンとオフチェーンの両方のソリューションの研究を利用して、Monero コミュニティは、Monero をよりプライベートで、よりスケーラブルで、すべての人がよりアクセスしやすいものにするために改善すべき領域を探しています。最近の技術革新の 1 つは、リンク可能なリング署名スキーム MLSAG を、Concise Linkable Spontaneous Anonymous Group の略であるドロップイン置換 CLSAG に置き換えることです。

表面レベルでは、CLSAG の実装により、最も一般的な 2 入力、2 出力トランザクションが 25% 減少します。また、検証時間も 10% 短縮されます。

では、CLSAG とは正確には何なのでしょうか?古いバージョンの MLSAG との違いは何ですか?この概念をよりよく理解できるように、リング署名の理由と方法を思い出してみましょう。リング署名は、署名者が選択した以前の出力の匿名セットを使用することにより、非対話型の証人の区別のつかない入力を可能にします。簡単に言うと、ユーザーは、トランザクションで使用される出力を無関係な出力と一緒に非表示にすることができ、他の誰かが参加する必要なく、これらすべてを実行できます。必要なのはブロックチェーンのコピーだけです。これらの出力のそれぞれは、ほとんどの場合、実際に送信されたものである可能性が等しく、送信者に関するメタデータが隠されているように見えます。

ただし、これには少し問題があります。ユーザーがすべてのおとり出力を使用してリング署名を作成した場合はどうなるでしょうか?未知の送信者がそれらのいずれかを送信する権限を持っていないことを、誰がどうやって知ることができますか?このユーザーは偽のお金を使うことができますか?答えはノー。リング署名には、出力の少なくとも 1 つが未知の送信者によって所有されていることを証明する方法が含まれています。実際、CLSAG と MLSAG (以降、SAG と呼びます) の両方が、これを証明するリング署名の一部です。興味深いことに、同時に、機密取引 (RingCT) の背後に隠されていますが、取引の金額が均衡していることも証明されています。 SAG が 2 つのことを証明すること、つまり、1 つの出力がリング内の誰かによって所有されていること、およびトランザクションのバランスが取れていることが重要であり、実際にサイズと検証の節約がどこにあるのかが重要です。これが混乱している場合でも、心配しないでください。すぐに、楽しくてわかりやすい例えにたどり着きます。

古い署名スキームである MLSAG (Multilayered Linkable Spontaneous Anonymous Group) は、前述の 2 つのことをリング署名で証明しますが、それぞれを別々に行います。署名鍵とコミットメント鍵に別々の計算を使用すると、操作が遅くなります。最新のコンピューターは、これらの計算を数ミリ秒で実行できますが、これは大したことではないように思われます。実際、1 つのトランザクションではそうではありません。しかし、Monero ブロックチェーン上のトランザクションの膨大な数と、ゼロから同期するノードがそれぞれをダウンロードして検証する必要があることを考慮すると、バイト数とミリ秒数が急速に積み上がり始めます。

CLSAG は、両方を証明するために必要な数学を 1 つに結合し、両方を一度に計算します。これは安全な方法で行われます。これは安全な方法で何を意味しますか？さて、これを解決するために、そしてうまくいけば全体がより意味のあるものになるように、その約束された楽しい類推を探ってみましょう。

食料品店と金物店の両方に行って、食品と有毒な洗浄剤という 2 つの異なるものを手に入れる必要があるとしましょう。事故が発生した場合、化学物質が食品にこぼれ、食べられなくなるため、それらが混ざり合うことは望ましくありません。あなたは非常に安全であることに決め、家から食料品店まで車で行き、食べ物を買ってから車で家に戻ります。食料を降ろしてから車に戻り、金物店に行き、化学薬品を持って家に戻ります。すべての購入の安全性を確保するために、2 つの別々の旅行を行いました。確かに安全ですが、非効率的です。これは、2 つの異なる数学セットが保存され、それらを計算するために 2 つの異なる「トリップ」が行われる MLSAG を表します。

ただし、これを行うためのより高速な方法が必要であると判断しました。時間の無駄が多すぎる。確かに、1 回か 2 回実行するだけで命が奪われることはありませんが、これを何度も繰り返さなければならないため、時間がかかり始めます。代わりに 1 回の旅行を行うことができるかどうか疑問に思い始めます。あなたの家から、食料品店、金物店、そして家に帰ります。でたらめに車にすべてを放り込むことはできません。安全ではありません。代わりに、車内のさまざまな場所にさまざまなものを指定し、すべてがその場所にきちんと収まるようにします。そうすることで、安全に両方の店舗に一度に行くことができ、物を互いに遠ざけることができます。これはCLSAGを表しています。これら 2 つのことを証明するために、このトランザクションに格納されている数学のセットは 1 つだけであり、互いに干渉しないように処理されています。まだ旅行をしなければなりませんが、あなたは旅行の数を大幅に減らしました。

これらすべてが非常にエキサイティングに聞こえます。他のショートカットや、時間とスペースを節約する他の方法を見つけることはできますか?答えはイエスとノーです。現在の MRL の研究者によると、サイズや速度を向上させるために SAG 型の構造をさらに変更することはおそらく不可能です。ただし、Arcturus、Omniring、RCT3、Triptych などの他の構造では、さまざまな数学的方法を使用して、はるかに優れたサイズのスケーリングと検証の利点が得られます。ただし、署名者があいまいなプロトコルに対するこれらの「次世代」アプローチのそれぞれには、実装の詳細に独自のトレードオフが伴い、活発な研究と調査が行われています。

結局のところ、Monero は常に革新的です。