问盲RSA签名中填充方案的可用性？

EN

DrLecter的回答看起来不正确。Afaik几乎所有RSA填充方案都已被废弃。我相信光明磊落的RSA今天会使用PSS填充，但正如我在https://crypto.stackexchange.com/a/60728/764中解释的那样，任何直接从签名者那里获取随机性的填充都会违反盲目性。

事实上，盲RSA需要一个全域哈希(FDH)来填充，而PSS等并不提供。如果您甚至截断填充到地板(Log)，就像我认为的PSS那样，那么每个签名都会泄漏1/6或12位的匿名信息。如果像一些老的那样保留许多确定的位，那么您的盲签名方案就会变得毫无价值。

您可以轻松地实现FDH :首先，从消息哈希创建流密码S。第二，运行一个循环，从S拉动上限(Log)位数r并重复，直到r< N，换句话说，我们的流密码的块计数器不断增加。你的循环很快就结束了，因为N应该大约位于两次幂之间的一半，但是很明显，你可能会探索一些技巧，比如在1.3 *2^地板(Log N)下面避开N，或者只在N的256位上循环。

如果您想要恢复PSS的某些阴影，可以将签名者的随机性结合起来，因为我们在验证签名时会验证填充。

如果你相信RSA-KTI，那么就没有伪造攻击。不过，我还是会将签名者的公钥N合并到消息哈希中，因为这样做不需要花费任何费用，并且可以防止对RSA-KTI的多个RSA密钥的分期攻击。