问盲签名

EN

盲签名的不可链接性意味着什么？我搜索了wiki，但仍然无法准确理解。

不可链接性基本上意味着当非盲签名被揭示时，签名者不能将非盲消息链接到它所签名的盲消息之一。

在盲签名(如RSA)中，如果存在一个有效的原始签名对(m，s)，那么盲消息和相应的签名对( m‘，s')也是有效的，但它是对手的存在伪造(即使m’在盗版中可能没有意义或随机)，那么为什么它可以是安全签名呢？

要用盲RSA签名对消息m进行签名，只有(m,s)是有效的。盲签名s'只对盲消息哈希“有效”，而不是任何消息m'，因为在签名之前应该对消息进行散列。

更准确地说，要对消息m签名，用户需要执行以下操作:计算消息哈希H(m)，选择一个随机r并计算r^e (其中e是公共验证密钥)以盲化哈希，将r^eH(m)发送给签名者，获得盲签名\sigma'=rH(m)^d ( d是秘密签名密钥)，并将其取消到\sigma=r^{-1}\sigma'=H(m)^d。然后，(m,\sigma)被定义为有效当且仅当H(m)=\sigma^e。因此，知道\sigma'对于r^eH(m)是“有效的”并不会自动给您消息m'，这样(m',\sigma')是有效的。