La mia comprensione è che la caratteristica chiave di una firma RSA cieca è che il firmatario non è a conoscenza del contenuto del messaggio che viene firmato.
In che modo è diverso dall'applicare semplicemente un salt casuale al messaggio e inserirlo? Non darei l'hash a quell'input della funzione di firma RSA per ottenere la stessa cosa?
Chiunque conosca il messaggio, la chiave pubblica salt e del firmatario può quindi verificare la firma. Oppure, chi ha l'hash e la chiave pubblica del firmatario può verificare la firma. Nel frattempo, il firmatario conosce solo l'hash di ciò che sta per firmare, quindi sembra che esegua lo stesso compito: il firmatario non è a conoscenza del contenuto del messaggio effettivo e non può collegare l'hash firmato al messaggio originale senza sapere il messaggio originale.
Qual è la logica alla base dell'introduzione delle firme RSA cieche, piuttosto che utilizzare il metodo sopra descritto?
C'è qualche proprietà che anche dopo che il messaggio originale è stato rivelato a un utente malintenzionato , non può ancora essere collegato al messaggio firmato? che non linkabilità?