问RSA盲签名与DSA盲签名

EN

嗯，我认为很难对这个问题给出一个真正客观和完整的答案。

就我个人而言，我认为您可能经常遇到RSA盲签名的原因在于它的简单性。不过，我不太确定您是否会经常在实际实现中看到它，因为已经有了一项专利(据我所知，该专利最近已经过期)。在随机预言模型中，在交互假设下(一个更多的RSA反转假设)，可以证明RSA盲签名是安全的，参见这里。有些人可能会说，在某些交互假设下证明安全性并不是很好，但我们没有更好的理由支持这个方案。然而，从理论的角度来看，一个好的方面是RSA盲签名是圆最优的，即两个移动(一条给签名者的消息和一条反向消息)，因此自动并发安全，也就是说，一个不需要考虑由于交织不同的签名会话而受到的攻击。

Schnorr类型的盲签名(例如盲DSA签名)在概念上并不那么简单(虽然也不是很复杂)，而且总是至少三步(因此不是绕过最优)。从可证明的安全性角度来看，它们可以在随机预言模型中被证明是安全的，但据我所知，所有的缩减都需要分叉引理，因此并不是很紧。您必须自己决定是否愿意接受交互假设或对离散日志假设的松散简化。

如果您在离散日志设置中寻找实际的盲签名，您还可以查看BLS盲签名，它是圆最优的，可以在交互假设(与RSA盲签名方案非常类似)的随机甲骨文模型中被证明是安全的。但是，它们需要gap Diffie组，即DDH容易实现的组，因此需要配对。

从实现的角度来看，我认为很难给出一个一般性的答案，因为它实际上取决于您要在基于离散日志的设置中实例化盲签名的组类型。