RSA firma cieca contro la firma di un * casuale * hash

2

La mia comprensione è che la caratteristica chiave di una firma RSA cieca è che il firmatario non è a conoscenza del contenuto del messaggio che viene firmato.

In che modo è diverso dall'applicare semplicemente un salt casuale al messaggio e inserirlo? Non darei l'hash a quell'input della funzione di firma RSA per ottenere la stessa cosa?

Chiunque conosca il messaggio, la chiave pubblica salt e del firmatario può quindi verificare la firma. Oppure, chi ha l'hash e la chiave pubblica del firmatario può verificare la firma. Nel frattempo, il firmatario conosce solo l'hash di ciò che sta per firmare, quindi sembra che esegua lo stesso compito: il firmatario non è a conoscenza del contenuto del messaggio effettivo e non può collegare l'hash firmato al messaggio originale senza sapere il messaggio originale.

Qual è la logica alla base dell'introduzione delle firme RSA cieche, piuttosto che utilizzare il metodo sopra descritto?

C'è qualche proprietà che anche dopo che il messaggio originale è stato rivelato a un utente malintenzionato , non può ancora essere collegato al messaggio firmato? che non linkabilità?

    
posta Gregory Magarshak 25.08.2017 - 00:16
fonte

1 risposta

1

Sì. Lo scollegamento è uno degli obiettivi di sicurezza che devono essere raggiunti.

Per questo, viene eseguito il primo hash del messaggio, quindi aggiungi un po 'di casualità, quindi assegnalo al firmatario per la firma. In questo modo, anche dopo aver inviato una firma e un messaggio, l'hash del messaggio sarà facilmente calcolato dalla parte ricevente, non sarà in grado di colludere con il firmatario per conoscere l'identità del mittente.

    
risposta data 29.09.2017 - 17:16
fonte

Leggi altre domande sui tag