Vad är ring signatures?
Ring signatures är en kryptografisk teknik som döljer vem som skickar en Monero-transaktion. När en plånbok initierar en betalning blandas avsändarens riktiga nyckel med 15 lockbetefnycklar, kallade decoys, hämtade från befintliga outputs på blockkedjan. En extern observatör ser 16 möjliga avsändare men kan inte avgöra vilken som är den verkliga.
Tekniken ursprungligen publicerades av Rivest, Shamir och Tauman 2001 under titeln "How to Leak a Secret". Grundidén är att en grupp deltagare kan producera en giltig signatur utan att avslöja vem i gruppen som skapade den. CryptoNote-protokollet anpassade tekniken för blockkedjor 2013 och lade grunden för det som Monero bygger på sedan starten 2014.
Jämfört med Bitcoin syns avsändaren tydligt på kedjan. Varje Bitcoin-transaktion listar exakta ingångsadresser, vilket gör det möjligt att klustrera adresser och spåra betalningsflöden bakåt. Med ring signatures saknas den direkta kopplingen: den riktiga signeraren är matematiskt dold bland decoys och går inte att urskilja utan tillgång till den privata nyckeln.
Ring signatures löser avsändarproblemet, men är ett av flera lager i Monero. Stealth addresses döljer mottagaren, RingCT krypterar beloppet och Bulletproofs komprimerar range proofs för effektivare verifiering. Läs hela genomgången i guiden om Moneros integritet.
Hur väljs decoys?
Plånboken väljer decoys automatiskt via en gamma-fördelning som efterliknar hur riktiga användare spenderar. Nyligen skapade outputs plockas oftare än äldre, eftersom en riktig spendare statistiskt har outputs som skapades relativt nyligen. Utan gamma-fördelning skulle en naiv uniform selection röja den äkta avsändaren via tajmingsanalys.
Gamma-fördelningens parametrar har kalibrerats mot empiriska spend-mönster från kedjedata och uppdaterats i flera hardforks. Den nuvarande kurvan minimerar identifierbarhet mot kända statistiska angrepp, inklusive newest-output-heuristiken som beskrevs i forskning från Princeton och Carnegie Mellon 2018.
Varje transaktion publicerar en kryptografisk nyckelbild, key image, som är unik för den verkliga output som spenderas. Nätverket jämför alla nyckelbilder mot varandra och avvisar dubbletter omedelbart. Det förhindrar dubbelspendering utan att avslöja vilken output i ringen som är den riktiga: key image avslöjar att en specifik output är spenderad, men inte vilken av de 16 i ringen det gäller.
Decoy-selection-algoritmen är öppen källkod i monero-project på GitHub. Användaren kan tekniskt byta strategi i avancerade plånboksinställningar, men rekommenderas använda standardinställningen. En avvikande strategi gör transaktionen statistiskt annorlunda från mängden och minskar anonymiteten i stället för att öka den.
CLSAG-signaturen
CLSAG, Concise Linkable Spontaneous Anonymous Group signatures, ersatte det tidigare signaturformatet MLSAG i hardforken oktober 2020. Uppgraderingen var resultatet av forskning av Goodell, Noether och RandomRun publicerad 2019 och implementerades efter en oberoende revision av Trail of Bits.
Förändringen var rent teknisk och påverkade inte anonymitetsnivån för användaren. Det kryptografiska skyddet är likvärdigt, men representationen av signaturen i protokollet är mer kompakt. Signaturens storlek minskade med cirka 25 procent jämfört med MLSAG, och verifieringstiden sjönk med ungefär 10 procent.
Resultatet märks framför allt i transaktionskostnader. Lägre signaturstorlek ger direkt lägre blockutrymme per transaktion, vilket reducerar avgifterna. Noder behöver också bearbeta och lagra mindre data per block, vilket sänker kostnaden för att driva infrastruktur i nätverket.
CLSAG är i dag det aktiva signaturformatet i Monero och förblir det tills Seraphis-uppgraderingen aktiveras. Seraphis introducerar ett nytt transaktionsprotokoll som på sikt ersätter CLSAG, men tidplanen beror på testresultat och är planerad till 2026 till 2027.
Ring size-historik
Ringstorleken i Monero har höjts stegvis sedan starten 2014 och är nu fast på 16. Varje ökning motiverades av ny forskning om statistiska angrepp och av behovet att erbjuda ett tillräckligt anonymity set mot kända motpartskategorier.
| År | Ring size | Anledning |
|---|---|---|
| 2014 | 4 (3 decoys) | CryptoNote-ursprung, minimum mot EAE-attack |
| 2016 | 5 | Höjt minimum efter MRL-forskning |
| 2018 | 7 | Bulletproofs-uppgraderingen, lägre transaktionskostnad möjliggjorde större ring |
| 2020 | 11 | CLSAG-uppgraderingen, minskad signaturstorlek kompenserade ökat antal decoys |
| 2022 | 16 | Bulletproofs+ och view tags, fast ring size i protokollet |
Det att ring size är fast i protokollet sedan 2022 är ett medvetet val. Om användaren själv fick välja ringstorlek skulle transaktioner med ovanligt stora ringar sticka ut i mängden och göra avsändaren lättare att profilera. Enhetlighet ger starkare anonymitet än valfrihet: alla transaktioner ser identiska ut för en utomstående analytiker.
Historiska transaktioner med lägre ring size ger fortfarande sämre skydd och filtreras aktivt bort ur decoy-poolen av moderna plånböcker. Outputs skapade före 2017 utgör i praktiken inget skyddande anonymity set längre, eftersom plånbokens decoy-selection-algoritm undviker att inkludera dem.
FCMP och framtiden
Full Chain Membership Proofs, förkortat FCMP, är den planerade ersättaren till ring signatures och är den mest genomgripande uppgraderingen sedan RingCT 2017. Med FCMP fungerar hela blockkedjans UTXO-set som anonymity set, i stället för 16 handplockade decoys. Anonymity set växer från 16 till tiotals miljoner outputs.
Det kryptografiska fundamentet i FCMP bygger på curve trees, algebraiska strukturer som gör det möjligt att bevisa att en output finns i en stor mängd utan att avslöja vilken output det gäller. Verifieringstiden förblir praktisk trots det dramatiskt större anonymity setet, eftersom bevisens storlek växer logaritmiskt snarare än linjärt med antalet outputs.
Seraphis-protokollet och Jamtis-adressformatet är nödvändiga förutsättningar för FCMP. Seraphis separerar adresslogiken från transaktionsprotokollet, vilket möjliggör ett nytt adressformat utan att bryta bakåtkompatibiliteten. Jamtis ger bättre stöd för vynycklar, delade kontohierarkier och offline-signering, vilket förbättrar användbarheten utan att försämra integriteten.
Monero Research Lab har publicerat proof-of-concept-implementationer under 2024 och 2025. Aktivering i en hardfork förväntas 2026 till 2027 beroende på testresultat och oberoende säkerhetsrevisioner. Uppgraderingen är planerad som bakåtkompatibel: befintliga plånböcker kan migrera under en övergångsperiod utan att förlora historik eller tidigare outputs.
FCMP löser också ett teoretiskt problem med nuvarande ring signatures: eftersom anonymity set är begränsat till 16 outputs är statistiska angrepp möjliga med tillräcklig information om kedjetrafikmönster. Med hela UTXO-setet som anonymity set försvinner attackytan för den typen av heuristik.
Finansieringen av FCMP, Seraphis och Jamtis sker via Moneros Community Crowdfunding System, CCS, där enskilda forskare och utvecklare föreslår uppgifter med en prislapp i XMR. Modellen har finansierat allt från Bulletproofs-implementationen 2018 till CLSAG-revisionen 2020 och pågående Seraphis-arbete. Djupare läsning om Monero som teknologi finns i grundguiden om vad Monero är.
Vanliga frågor om ring signatures
Vad är en ring signature i Monero?
En ring signature är en kryptografisk teknik som blandar avsändarens riktiga nyckel med 15 lockbetefnycklar, kallade decoys, hämtade från blockkedjan. Resultatet är att en extern observatör ser 16 möjliga avsändare men inte kan avgöra vilken som är den riktiga. Tekniken döljer vem som skickar en transaktion utan att påverka verifieringen av att transaktionen är giltig.
Hur stor är ring size i Monero 2026?
Monero använder fast ring size 16 sedan hardforken i augusti 2022. Det innebär att varje transaktion inkluderar 15 decoys plus den verkliga avsändarens output. Ring size är fast i protokollet och kan inte ändras av användaren, ett medvetet val för att alla transaktioner ska se likadana ut på kedjan.
Vad är CLSAG och hur skiljer det sig från MLSAG?
CLSAG, Concise Linkable Spontaneous Anonymous Group signatures, ersatte MLSAG i hardforken oktober 2020. CLSAG minskar signaturens storlek med cirka 25 procent och sänker verifieringstiden med ungefär 10 procent jämfört med MLSAG. Resultatet är lägre transaktionsavgifter och billigare noddrift utan att anonymitetsnivån försämras.
Vad innebär FCMP för ring signatures?
FCMP, Full Chain Membership Proofs, planeras ersätta ring signatures i en kommande hardfork under 2026 till 2027. Med FCMP fungerar hela blockkedjans UTXO-set som anonymity set, i stället för dagens 16 decoys. Anonymity set växer från 16 till tiotals miljoner outputs, vilket eliminerar de statistiska angrepp som riktas mot det begränsade decoy-antalet i nuvarande ring signatures. Jämför hur tekniken ställer sig mot andra sekretessmetoder i artikeln om privacy coins.
