Stealth Address กับ Ring Signature ใน Monero ต่างกันยังไง
Stealth Address กับ Ring Signature ใน Monero ต่างกันยังไง
เดือนเมษายน 2026 ที่ผ่านมา ธุรกรรม Monero ผ่านเครือข่ายไปประมาณ 1.2 ล้านรายการ และไม่มีสักรายการเดียวที่เปิดเผยผู้ส่ง ผู้รับ หรือจำนวนเงินที่แท้จริงบน public ledger อันเป็นสาธารณะ คุณสมบัตินี้ไม่ได้มาจากกลไกเข้ารหัสตัวเดียว แต่อาศัยอย่างน้อยสามชั้นที่ทำงานทับซ้อนกัน ซึ่งสองในนั้นทำให้มือใหม่และแม้แต่ผู้ใช้ Bitcoin ที่อยู่ในวงการมานานสับสนอยู่บ่อย ๆ นั่นคือ stealth address และ ring signature ทั้งสองชื่อฟังดูคล้ายกัน ถูกพูดถึงในย่อหน้าเดียวกันในบทความอธิบาย Monero แทบทุกชิ้น และมักถูกเรียกอย่างหลวม ๆ ว่า "สิ่งที่ทำให้ Monero ไม่ระบุตัวตน" แต่จริง ๆ แล้วทั้งสองปกป้องคนละด้านของธุรกรรมเดียวกัน และการสับสนระหว่างกันจะทำให้คุณคิดวิเคราะห์ไม่ออกว่าผู้สังเกตการณ์บนเชนเห็นหรือไม่เห็นอะไรกันแน่
ที่ MoneroSwapper เราเจอคำถามนี้แทบทุกวัน — ส่วนใหญ่มาจากผู้ใช้ที่เพิ่งใช้หน้าสว็อปของเรา สังเกตว่าไม่ต้องทำ KYC แล้วอยากเข้าใจเหตุผลทางคริปโตกราฟีจริง ๆ ที่อยู่เบื้องหลัง บทความนี้จะแกะกลไกทั้งสองตัวออกมาทีละชั้น พาดูว่าทั้งคู่ทับซ้อนกันตรงไหน ไม่ทับซ้อนกันตรงไหน และถ้าตัวใดตัวหนึ่งหายไปจากโปรโตคอลในวันพรุ่งนี้ จะมีอะไรรั่วออกมาบ้าง อ่านจบแล้วคุณจะรู้ชัดว่าแต่ละกลไกแก้ปัญหาอะไร และทำไมการดึงตัวใดตัวหนึ่งออกจะทำให้การรับประกันความเป็นส่วนตัวของ Monero พังทั้งระบบ
ทำไมการสับสนสองตัวนี้ทำให้ภาพในหัวพังตั้งแต่ต้น
คนที่คิดเรื่องความเป็นส่วนตัวของ Monero โดยรวมทุกอย่างไว้ในถังเดียวที่เรียกว่า "ของลับ ๆ ของ Monero" มักทำผิดสามแบบที่ทำนายได้ พวกเขาเชื่อว่าการแชร์ view key ให้คนอื่นไม่เป็นไรเพราะ "ring signature ก็ปกป้องทุกอย่างอยู่แล้ว" คิดเอาเองว่าการเพิ่ม ring size จะทำให้ความเป็นส่วนตัวฝั่งผู้รับแข็งแกร่งขึ้นไปด้วย และเข้าใจผิดว่าผู้รับเงินถูกซ่อนด้วยกลไกตัวเดียวกับที่ซ่อนการเลือก input ของผู้ส่ง ทั้งสามข้อนี้ผิดทั้งหมด และทั้งสามนำไปสู่ความผิดพลาดในการใช้งานจริง
การแยกระหว่าง "ความเป็นส่วนตัวฝั่งผู้ส่ง" กับ "ความเป็นส่วนตัวฝั่งผู้รับ" คือการแบ่งที่มีประโยชน์ที่สุดที่ควรจำให้ขึ้นใจ Monero ใช้คริปโตกราฟีคนละชุดกับสองด้านนี้เพราะปัญหามันคนละแบบ การซ่อนว่าใครเป็นคนจ่ายเงินให้คุณ คือการทำให้ output บนเชน "ไม่สามารถเชื่อมโยงกลับ" มายังที่อยู่ที่คุณเผยแพร่ ส่วนการซ่อนว่าคุณกำลังจ่ายจาก output ตัวใดในอดีต คือการทำให้ input ของคุณ "แยกแยะไม่ออก" จากกลุ่มเหยื่อล่อ (decoy) ปัญหาทั้งสองนี้ไม่สมมาตรกัน
- ความเป็นส่วนตัวฝั่งผู้รับ: จัดการโดย stealth address (one-time output key ที่สร้างจากที่อยู่สาธารณะของผู้รับ)
- ความเป็นส่วนตัวฝั่งผู้ส่ง: จัดการโดย ring signature (โดยเฉพาะ CLSAG ตั้งแต่ hardfork ตุลาคม 2020)
- ความเป็นส่วนตัวของจำนวนเงิน: จัดการโดย RingCT พร้อม range proofs แบบ Bulletproofs+ — เป็นชั้นที่สามที่แยกจากสองตัวบน
เมื่อมีคนถามว่า "Monero ตามรอยได้มั้ย?" คำตอบที่ตรงไปตรงมาจะขึ้นอยู่กับว่าผู้ถามกำลังนึกถึงชั้นไหนในสามชั้นนี้อยู่ การรั่วของ view key ทำลายแค่ชั้นแรก การเลือก ring ที่อ่อนแอทำลายแค่ชั้นสอง และข้อบกพร่องใน Bulletproofs+ ในอนาคต (ถ้ามี) จะทำลายแค่ชั้นสาม ทั้งสามชั้นล้มได้อย่างอิสระจากกัน เพราะแบบนั้นการเข้าใจแต่ละชั้นแยกกันถึงสำคัญ ไม่ใช่จับยัดรวมเป็นก้อนเดียว
Stealth Address คืออะไรจริง ๆ
stealth address คือ public key แบบใช้ครั้งเดียวที่ผู้ส่งสร้างขึ้นในจังหวะที่จ่ายเงินให้คุณ ทุกครั้งที่ใครก็ตามจ่ายเงินมายังที่อยู่ Monero เดียวกันที่คุณเผยแพร่ ปลายทางบนเชนจะเป็นคีย์ใหม่ที่ไม่เกี่ยวข้องกันทางคณิตศาสตร์ ไม่มีสองธุรกรรมใดที่มีปลายทางเดียวกัน ถึงแม้จะเข้ากระเป๋าเดียวกัน ในนาทีเดียวกัน จากผู้ส่งคนเดียวกันก็ตาม
การสร้างกลไกนี้อาศัย Diffie-Hellman บนเส้นโค้งวงรี (elliptic-curve) ที่อยู่ที่คุณเผยแพร่ออกไปจะเข้ารหัส public point สองตัว: ตัวหนึ่งผูกกับ spend key ของคุณ อีกตัวผูกกับ view key เมื่ออลิซจ่ายเงินให้คุณ กระเป๋าของอลิซจะสร้าง scalar สุ่มขึ้นมาตัวหนึ่ง คูณกับจุด view key ของคุณเพื่อให้ได้ shared secret แล้วเอา secret นั้นไปแฮช แล้วบวกค่าแฮชเข้ากับจุด spend key ของคุณ ผลลัพธ์คือ destination key แบบใช้ครั้งเดียวที่ถูกเขียนลงใน output ของธุรกรรม อลิซจะเผยแพร่เฉพาะ ephemeral public point ของเธอ — ค่า secret ที่ใช้สร้าง destination ไม่สามารถถูกกู้คืนจากสิ่งใดบนเชนได้
กระเป๋าของคุณหาเงินที่ส่งมาให้ตัวเองได้ยังไง
กระเป๋าของคุณใช้ view key ทำ Diffie-Hellman แบบย้อนกลับเทียบกับทุก output ที่มันเห็น ถ้าคณิตศาสตร์ลงตัว กระเป๋าก็รู้ว่า output นั้นเป็นของคุณ ถ้าไม่ลงตัว output นั้นจะถูกเพิกเฉยไปเงียบ ๆ นี่คือเหตุผลที่การรันกระเป๋า Monero ต้องสแกนเชนทั้งสาย ไม่ใช่แค่ค้นที่อยู่จาก index แบบเชนอื่น เพราะบนเชนไม่มี "ที่อยู่" ให้ค้นเลย
ที่สำคัญคือมีแต่ spend key ของคุณเท่านั้นที่ใช้จ่าย output ได้จริง view key เผยให้รู้ว่า output ไหนเป็นของคุณ แต่ไม่สามารถเอาเงินไปไหนได้ ด้วยเหตุนี้ Monero จึงรองรับกระเป๋าแบบ view-only ได้ — นักบัญชี ผู้ตรวจสอบ หรือบริการดูบัญชีอย่างเดียว สามารถยืนยันรายได้โดยไม่ได้รับสิทธิ์ในการดูดเงินออก เหมาะมากสำหรับธุรกิจไทยที่อยากให้ผู้สอบบัญชีดูยอดได้โดยไม่ต้องมอบสิทธิ์การโอน
subaddress ขยายแนวคิดเดียวกันออกไป
ผู้ใช้ส่วนใหญ่ไม่เคยแชร์ที่อยู่หลักของตัวเอง ที่ทำกันจริงคือแจก subaddress ออกไป — เป็นที่อยู่สาธารณะที่สร้างจาก keypair หลักโดยใช้ index คงที่ subaddress แต่ละตัวไม่สามารถเชื่อมโยงกลับไปหาที่อยู่หลัก หรือเชื่อมต่อกันเองได้ ถึงแม้คนคนเดียวจะถือ subaddress ทั้งหมดอยู่ก็ตาม นี่คือกลไกที่ทำให้เครื่องมือร้านค้า หน้าบริจาค และ deposit flow ของ MoneroSwapper เอง สร้างที่อยู่แยกต่อลูกค้าได้: ทุกคำสั่งซื้อจะได้ subaddress ใหม่ ผู้สังเกตการณ์บนเชนจึงไม่มีทางรวม subaddress ทั้งหมดเข้าเป็นกระเป๋าเดียวได้
ข้อผิดพลาดด้านความเป็นส่วนตัวที่เราเห็นมือใหม่ทำบ่อยที่สุดคือใช้ที่อยู่หลักตัวเดียวซ้ำกันทุกที่ โปรโตคอลให้ subaddress ไม่จำกัดมาฟรี ๆ — เอามาใช้เถอะครับ
Ring Signature คืออะไรจริง ๆ
ring signature คือลายเซ็นดิจิทัลที่สร้างขึ้นในนามของกลุ่ม โดยที่ผู้ตรวจสอบยืนยันได้ว่า "มีสมาชิกหนึ่งคนในกลุ่มนี้เซ็น" แต่ไม่สามารถบอกได้ว่าเป็นคนไหน Monero ใช้ ring signature เพื่อซ่อนว่า output ใดในอดีตกำลังถูกใช้เป็น input ของธุรกรรมใหม่
เวลาคุณจ่ายเงิน กระเป๋าจะเลือก output อื่น ๆ บนเชนที่ไม่ใช่ของคุณอีกสิบห้าตัว แล้วเอามารวมกับ input จริงของคุณกลายเป็น ring ขนาดสิบหก ลายเซ็นจะใช้ได้ก็ต่อเมื่อสมาชิกหนึ่งในสิบหกตัวถือ spend key ที่ตรงกัน — แต่ผู้ตรวจสอบ (และเชนสาธารณะ) บอกไม่ได้ว่าใคร output ของคุณกับเหยื่อล่อสิบห้าตัวที่ไม่เกี่ยวข้องกันจึงกลายเป็นผู้ต้องสงสัยที่น่าเชื่อพอ ๆ กันว่าเป็น input จริงที่ถูกจ่าย
CLSAG และสถานะปัจจุบัน
โครงสร้างเฉพาะของ Monero เรียกว่า CLSAG (Concise Linkable Spontaneous Anonymous Group signatures) ซึ่งแทนที่ MLSAG ตั้งแต่ hardfork ตุลาคม 2020 CLSAG ทำให้ขนาดธุรกรรมเล็กลงประมาณ 25% และตรวจสอบเร็วขึ้นราว 20% โดยที่ระดับความปลอดภัยเท่ากัน ring size เป็นค่าที่กำหนดตายตัวทั้งโปรโตคอลตั้งแต่ปี 2019 — เริ่มจาก 11 แล้วเป็น 16 ตั้งแต่ hardfork สิงหาคม 2022 เป็นต้นมา การที่ ring size เป็นค่าเดียวกันทั่วทั้งเครือข่ายสำคัญมาก เพราะถ้าขนาดมันแปรเปลี่ยนได้ ตัวเลขนั้นเองก็จะเป็นข้อมูลรั่วเกี่ยวกับซอฟต์แวร์กระเป๋า ประเภทธุรกรรม หรือพฤติกรรมของผู้ใช้
key image กันการใช้ซ้ำ
เนื่องจากไม่มีใครเห็นว่า input ตัวจริงเป็นตัวไหน โปรโตคอลจึงต้องมีกลไกแยกต่างหากเพื่อป้องกัน double spending กลไกนั้นคือ key image: ค่าที่คำนวณได้แน่นอน (deterministic) จาก spend key และ one-time output key output แต่ละตัวสร้าง key image ที่เป็นไปได้แค่ค่าเดียว และเครือข่ายจะปฏิเสธทุกธุรกรรมที่ใช้ key image ที่เคยปรากฏมาก่อน image ตัวนี้ไม่เปิดเผยอะไรเกี่ยวกับตัวตนของ output แต่รับประกันการใช้ครั้งเดียว
เทียบข้างต่อข้าง: แต่ละกลไกซ่อนอะไรบ้าง
ตารางด้านล่างทำให้การแบ่งงานชัดเจน สังเกตว่าไม่มีกลไกเดี่ยวตัวไหนที่ซ่อนทั้งผู้ส่ง ผู้รับ และจำนวนเงินได้ครบ Monero ต้องการทั้งสามชั้นพร้อมกันเพื่อให้คุณสมบัติความเป็นส่วนตัวเป็นแบบที่ผู้ใช้ส่วนใหญ่นึกถึง
| คุณสมบัติ | Stealth Address | Ring Signature (CLSAG) |
|---|---|---|
| ซ่อนอะไร | การเชื่อมโยงระหว่างที่อยู่ที่เผยแพร่ กับปลายทาง output บนเชน | การเชื่อมโยงระหว่าง output บนเชน กับธุรกรรมที่ใช้ output นั้นไป |
| ด้านไหนของธุรกรรม | ฝั่งผู้รับ (output) | ฝั่งผู้ส่ง (input) |
| กลไกพื้นฐาน | Diffie-Hellman บนเส้นโค้งวงรี + การแฮช | linkable spontaneous anonymous group signature |
| พารามิเตอร์ที่ปรับได้ | ไม่มี — derivation ทำครั้งเดียวต่อ output | ring size (ปัจจุบันคงที่ที่ 16) |
| อะไรทำให้พัง | การรั่วของ view key ไปยังฝ่ายตรงข้าม | การโจมตีแบบ poison output, ฮิวริสติก EAE, anonymity set ที่เล็กผิดปกติ |
| สิ่งที่ไม่ได้ซ่อน | จำนวนเงินในธุรกรรม, input ของผู้ส่ง | ปลายทาง, จำนวนเงิน, จังหวะเวลา |
| ต้นทุนต่อธุรกรรม | น้อยมาก — เพิ่ม scalar multiplication ครั้งเดียว | มากกว่า — แปรตาม ring size ปัจจุบันเป็นสัดส่วนใหญ่สุดของขนาดธุรกรรม |
ข้อสังเกตที่ควรหยุดคิดสักครู่: stealth address ไม่ใช่การเดาแบบความน่าจะเป็น แต่เป็นการรับประกันเชิงคริปโตกราฟีอย่างหนักแน่นว่าปลายทาง output ไม่สามารถถูกเชื่อมโยงกลับไปหาที่อยู่ของผู้รับโดยไม่มี view key ในทางตรงข้าม ring signature เป็นเชิงสถิติ — ความมั่นใจของผู้สังเกตการณ์อยู่ที่ราว 1 ใน 16 เป็นค่าเริ่มต้น และตัวเลขนั้นอาจลดลงเมื่อเจอผู้โจมตีที่ควบคุมกระบวนการเลือก decoy ได้ หรือเป็นเจ้าของสมาชิก ring จำนวนมาก
ทั้งสองทำงานร่วมกันในธุรกรรม Monero จริงยังไง
เพื่อให้เห็นว่าทำไมตัวใดตัวเดียวจึงไม่พอ ลองไล่ดูการจ่ายเงินครั้งหนึ่ง อลิซต้องการส่ง 2 XMR ให้บ็อบ โดยเอา Monero address ของบ็อบมาจากหน้าบริจาคสาธารณะ
- กระเป๋าของอลิซคำนวณ stealth output มันสร้าง ephemeral scalar ทำ Diffie-Hellman กับจุด view key ของบ็อบ แล้วสร้าง destination public key แบบใช้ครั้งเดียว เขียนลงในรายการ output ของธุรกรรม ไม่มีใครที่นั่งดูเชนอยู่ที่จะเชื่อมโยง output นั้นกับที่อยู่สาธารณะของบ็อบได้
- กระเป๋าของอลิซเลือก ring เพื่อใช้จ่ายในธุรกรรมนี้ อลิซต้องใช้ output เดิมของตัวเองตัวหนึ่ง กระเป๋าจะหยิบ output จริงตัวนั้น แล้วเลือก decoy อีกสิบห้าตัวจากชุด output ทั้งช่วงล่าสุดและในอดีตของเชน การเลือก decoy ใช้การแจกแจงแกมมา (gamma distribution) ที่เผยแพร่ไว้ ซึ่งสะท้อนพฤติกรรมการใช้จ่ายของผู้ใช้จริง
- กระเป๋าของอลิซเซ็นด้วย CLSAG ลายเซ็นพิสูจน์ว่าสมาชิกหนึ่งในสิบหกตัวของ ring ยินยอมให้ใช้จ่าย ผู้ตรวจสอบไม่รู้เลยว่าเป็นตัวไหน key image ที่แนบมากับลายเซ็นจะการันตีว่า output จริงตัวนั้นจะถูกใช้ซ้ำไม่ได้อีก
- กระเป๋าของอลิซซ่อนจำนวนเงินด้วย RingCT ทั้ง input และ output ถูกเข้ารหัสเป็น Pedersen commitment range proof แบบ Bulletproofs+ ทำหน้าที่โน้มน้าวเครือข่ายว่าไม่มี output ใดเกินยอด input รวม โดยไม่เปิดเผยตัวเลขจริง
- กระเป๋าของบ็อบสแกนบล็อกใหม่ บ็อบใช้ view key ทำ Diffie-Hellman เทียบกับทุก output ในบล็อก เมื่อคณิตศาสตร์ตรงกับการจ่ายของอลิซ output นั้นก็เปิดตัวเองออกมา บ็อบรู้ว่าได้รับ 2 XMR แล้ว แต่เชนเองยังคงเห็นเป็นแค่ก้อนข้อมูลที่อ่านไม่ออก
ลองดึง stealth address ออก กระเป๋าของบ็อบก็ยังหาการจ่ายเจอ แต่บริษัทวิเคราะห์เชนทุกเจ้าก็เจอเหมือนกัน: การจ่ายทุกครั้งไปยังที่อยู่ของบ็อบจะลงปลายทางเดียวกัน และประวัติเงินเข้าทั้งหมดของเขาจะเปิดสาธารณะ ลองดึง ring signature ออก การใช้จ่ายของอลิซจะชี้ตรงไปยัง output ก่อนหน้าตัวเดียวเป๊ะ ๆ เปิดเผยกราฟธุรกรรมของกระเป๋าเธอออกมาทั้งหมด ดึง RingCT ออก จำนวนเงินก็จะรั่ว ทำให้อีกสองชั้นถูกถอดความเป็นนิรนามผ่านการเทียบมูลค่าได้ง่ายขึ้นมาก แต่ละชั้นปกป้องจากผู้ไม่ประสงค์ดีคนละแบบ
ตัวอย่างจริง: การสว็อปบน MoneroSwapper
ลองคิดถึงผู้ใช้ที่ฝาก 0.05 BTC เข้า MoneroSwapper แล้วรับ XMR ที่ subaddress ที่เพิ่งสร้างใหม่ใน Feather wallet ของตัวเอง บัญชี ledger สองเส้นบันทึกคนละส่วนของการแลกนี้ และสิ่งที่ผู้สังเกตการณ์แต่ละฝั่งเห็นนั้นน่าสนใจมาก
ฝั่ง Bitcoin ที่อยู่ฝากเงินมองเห็นได้ชัดเจน เครื่องมือวิเคราะห์เชน เช่น Chainalysis, Elliptic, TRM Labs จะแท็กให้เป็นที่อยู่ของบริการสว็อปแบบไม่เก็บเงินลูกค้า หากพวกเขามีฮิวริสติกสำหรับรูปแบบ deposit ของเรา จำนวนเงิน ช่วงเวลา และ UTXO ต้นทางเปิดเผยหมด นี่เป็นเรื่องปกติของ Bitcoin และเป็นเหตุผลหนึ่งที่ผู้ใช้ในไทยมองหา Monero ตั้งแต่แรก โดยเฉพาะหลังจากที่หน่วยงานกำกับดูแลเริ่มเชื่อมโยงข้อมูลธุรกรรมเข้ากับ KYC ของกระดานเทรดในประเทศ ส่วน swap engine ของเราจะส่ง BTC ไปยัง liquidity pool และเส้นทางบนเชน BTC ก็จบที่พูลนั้น
ฝั่ง Monero ภาพต่างกันโดยสิ้นเชิง ธุรกรรมจ่ายออกของเราสร้าง stealth output ผูกกับ subaddress ของผู้ใช้ สำหรับผู้สังเกตการณ์บนเชน output ดังกล่าวคือ public key สด ๆ ไม่มีร่องรอยใดที่เชื่อมโยงกับ MoneroSwapper หรือผู้ใช้รายนั้น ธุรกรรมใช้ ring ขนาดสิบหก ประกอบด้วย output ของเราหนึ่งตัวและ decoy อีกสิบห้าตัว ดังนั้นแม้แต่การใช้จ่ายของเราเองก็ระบุไม่ได้ตรง ๆ จากสถานะเชนล้วน ๆ RingCT บดบังจำนวนเงินที่จ่ายออกแม่นยำ ผลลัพธ์คือผู้สังเกตการณ์ที่รู้ว่ามีการสว็อปเกิดขึ้น ก็ยังพิสูจน์ไม่ได้ว่าธุรกรรม Monero ตัวไหนในบล็อกที่เกี่ยวข้องคือการจ่ายออก และ subaddress ตัวไหนเป็นผู้รับ
ความไม่สมมาตรนี้ — BTC เข้าแบบโปร่งใส XMR ออกแบบทึบ — คือเหตุผลทั้งหมดของการใช้ Monero เป็นชั้นความเป็นส่วนตัว แทนที่จะใช้เป็นสกุลเงินสำหรับทุกธุรกรรมแบบ end-to-end stealth address ทำให้ output ของการสว็อปไม่เชื่อมโยงกับที่อยู่ผู้ใช้ ส่วน ring signature ทำให้การจ่ายออกของเราไม่สามารถถูกสืบย้อนผ่านประวัติของ hot wallet ของเราได้
คำถามที่พบบ่อย
stealth address ถูกถอดความเป็นนิรนามได้ไหม
ทำได้เฉพาะคนที่ถือ view key ของที่อยู่ผู้รับ view key เผยว่า output ใดเป็นของกระเป๋าใด แต่ใช้จ่ายไม่ได้ ถ้าคุณแชร์ view key ให้บุคคลที่สาม — เช่น เพื่อแสดงสภาพคล่องให้ผู้สอบบัญชี — ฝ่ายนั้นจะเห็นเงินเข้าทั้งหมดของคุณตลอดไป รวมทั้งที่เคยเข้ามาในอดีตด้วย จัดการ view key เหมือนข้อมูลอ่อนไหวขั้นสูง ไม่ใช่ "รหัสอ่านอย่างเดียว" ที่จะแปะลงเว็บบอร์ดได้แบบสบาย ๆ
ทำไม Monero ขยับ ring size เป็น 16
hardfork Fluorine Fermi เดือนสิงหาคม 2022 ขยับ ring size จาก 11 เป็น 16 เพื่อขยาย anonymity set ต่อการใช้จ่ายหนึ่งครั้ง สิบหกถือว่าใกล้จุดที่เหมาะสมที่สุด ตรงที่การเพิ่ม decoy มากกว่านี้ให้กำไรด้านความเป็นส่วนตัวลดลง แต่ต้นทุนด้านขนาดธุรกรรมโตขึ้น รุ่นต่อไปคือ FCMP++ (full-chain membership proofs) คาดว่าจะแทนที่ ring ขนาดคงที่ด้วยการพิสูจน์เหนือชุด output ทั้งหมด ซึ่งทำให้ anonymity set กลายเป็นทั้งเชนโดยพฤตินัย
ring signature จะหายไปกับ FCMP++ ไหม
ใช่ ในที่สุด FCMP++ คือผู้สืบทอด CLSAG สำหรับความเป็นส่วนตัวฝั่งผู้ส่ง และอยู่ระหว่างการพัฒนาอย่างจริงจัง ณ ปี 2026 มันจะใช้โครงสร้างคริปโตกราฟีคนละแบบ — Curve Trees บวกกับ SAL proof — เพื่อพิสูจน์ว่า input อยู่ในชุด UTXO ทั้งหมด แทนที่จะเป็น ring ขนาดสิบหกสมาชิก ส่วน stealth address ไม่ได้รับผลกระทบและจะยังถูกใช้ต่อ ทั้งสองชั้นเป็นอิสระจากกันมาตั้งแต่แรก เพราะแบบนั้นถึงสามารถอัปเกรดตัวหนึ่งโดยไม่ต้องแตะอีกตัวได้
ในชีวิตประจำวัน ตัวไหนสำคัญกว่ากัน
สำหรับการรับเงิน stealth address ทำงานเกือบทั้งหมด — ถ้าไม่มี ที่อยู่ใดที่เผยแพร่ออกไปก็จะเปิดทุกการจ่ายที่เคยเข้ามาทั้งหมด สำหรับการใช้จ่าย ring signature คือสิ่งที่กันไม่ให้กราฟธุรกรรมของกระเป๋าคุณกลายเป็นบันทึกสาธารณะ ทั้งคู่สำคัญ แต่สำคัญในสถานการณ์คนละแบบ ร้านค้าที่รับ Monero พึ่ง stealth address มากกว่า ส่วนผู้ส่งที่ใส่ใจความเป็นส่วนตัวพึ่ง ring signature มากกว่า
บริการสว็อปอย่าง MoneroSwapper ต้องการ key ใด ๆ จากผมไหม
ไม่ ผู้ใช้ส่งให้แค่ที่อยู่ Monero ปลายทาง (หรือ subaddress) เท่านั้น swap engine สร้าง stealth output ด้วยวิธีเดียวกับที่ผู้ส่งทั่วไปทำ โดยไม่เข้าถึง spend key หรือ view key ของผู้ใช้เลย นี่คือเหตุผลเชิงโครงสร้างที่การสว็อป Monero แบบไม่ KYC เป็นไปได้ตั้งแต่ต้น: ไม่มีอะไรในตัวคริปโตกราฟีที่บังคับให้บริการต้องระบุตัวตนผู้ใช้ และไม่มีอะไรในความเป็นส่วนตัวของผู้ใช้ที่ต้องไปฝากความเชื่อใจไว้กับบริการ
สรุป
stealth address กับ ring signature ไม่ใช่ชื่อสองชื่อของสิ่งเดียวกัน ทั้งคู่แก้ปัญหาคนละครึ่งของความเป็นส่วนตัว — ตัวหนึ่งซ่อนว่าเงินกำลังไปไหน อีกตัวซ่อนว่าเงินมาจากไหน — และล้มภายใต้แบบจำลองภัยคุกคามคนละชุด เข้าใจการแบ่งงานนี้คือความต่างระหว่างการมอง Monero เป็นกล่องวิเศษ กับการคิดวิเคราะห์ท่าทีด้านความเป็นส่วนตัวของตัวเองได้จริง ถ้าคุณอยากใช้ทั้งสองชั้นโดยไม่ต้องจมรายละเอียดการเขียนโค้ด นั่นแหละคือสิ่งที่ MoneroSwapper ถูกสร้างขึ้นมาทำ: สว็อปแบบไม่ระบุตัวตน ไม่ KYC ที่ส่งมอบ stealth output สด ๆ ปกป้องด้วย ring สิบหกสมาชิกให้ทุกครั้ง